基本信息设置

objectid:0000

businessUnitType:2(全部:0;自营:1;商家:2)

专题类型:3354(B2C自营填5031,开放平台填3354)

豆腐块链接PV:2018223(不需要的话填空格即可)

是否需要默认专题头尾:1(1是,0否)

富文本框版块
是否增加电梯锚点(1是,0否):0

交易安全保障


一、        设立防火墙,隔离与访问控制

1)     分隔互联网与交易服务器,防止互联网用户的非法入侵

2)     用于交易服务器与企业内部网的分隔,有效保护内部网,同时防止内部网对交易服务器的入侵

3)     集成IPS防入侵检测功能,定期更新IPS规则库,入侵检测自动阻断并及时报警


二、        病毒防护及网络监控

1)     主机监控系统,实时对主机的异常文件进行安全扫描监控,防止病毒木马文件的产生

2)     网络异常流量监控系统,对镜像的网络流量进行安全监控,定期更新规则库,对异常的流量告警并做相关的安全防护措施

 

三、        用户登录验证及身份验证措施

1)     用户登录时会校验其是否机器人,如果未能通过真人机器人验证则无法完成登录

2)     用户数据传输均采用http加密传输

3)     用户数据采用加密存储

4)     登录验证服务仅支持内网访问,同时调用通过一致性HASH的方式进行签名,确保调用安全性

 

四、        交易风险防范与措施

1)     交易系统定期进行安全扫描,出现问题落实到人,及时进行修复,避免由于系统漏洞带来的风险;

2)     用户交易请求全程签名加密,确保交易数据不被篡改;

3)     交易金额进行严格校验,阻止金额不符合规则的交易;

4)     分析用户交易行为,建立黑名单机制,拦截非法交易请求;

5)     针对已生成的订单数据进行二次校验,及时关闭通过刷单等行为产生的订单;

6)     交易流程做严格的前置校验,保证交易流程的正确性;

7)     交易后台管理系统权限严格控制,做到菜单级、数据级精准控制;


五、        信息与数据的安全保障措施

1)     数据库中所有敏感字段均处于加密状态,加解密逻辑统一由公司维护,不允许自行导出解密;

2)     数据库操作权限严格控制,读写分离,线上堡垒机只开放查询权限;

3)     线上数据库密码定期修改;数据库连接参数不以明文方式存储在代码中;

4)     数据所有操作建立日志跟踪机制,确保出现问题可以溯源跟踪;

5)     数据定期进行备份,数据故障能够实现快速恢复;

6)     交易前台和商家后台做强制身份校验,保护数据隐私;

7)     强化人员安全意识,加强内外部监控;

8)     统代码不允许公布到公网上,如github等第三方代码托管平台;不允许通过QQ等外部通讯软件进行传输;未经批准,不得通过复制的方式给研发部之外的人进行拷贝;对于违反规定的人员进行相应的惩罚;


六、        交易结算的安全保障措施

1)     结算金额与车支付回款流水做比对,要求结算金额不能大于回款金额;

2)     结算单生成时候进行加密,在转账的时候会对结算单加密串进行比对,防止后台数据篡改;

3)     与车支付接口对接有权限校验,防止结算接口被调用;

4)     接收到订单MQ消息后 再次调用订单接口进行数据同步,并且同步后生成加密串,防止后台订单信息被人为修改;

5)     具有后台结算结果校验程序,每4小时一次检索当天结算记录,反推订单信息,如果有不符则发出报警邮件;

6)     每小时检索一次订单状态到达已完成,但是车支付流水没有回够应收金额的订单,发出提醒邮件;

7)     结算过程发生错误(如:调用车支付/平安付/银联接口异常等),均会发出钉钉提醒和邮件提醒;


七、        其他

该规则于2017年07月16日首次生效。