基本信息设置
objectid:0000
businessUnitType:2(全部:0;自营:1;商家:2)
专题类型:3354(B2C自营填5031,开放平台填3354)
豆腐块链接PV:2018223(不需要的话填空格即可)
是否需要默认专题头尾:(1是,0否)
交易安全保障
一、 设立防火墙,隔离与访问控制
1) 分隔互联网与交易服务器,防止互联网用户的非法入侵
2) 用于交易服务器与企业内部网的分隔,有效保护内部网,同时防止内部网对交易服务器的入侵
3) 集成IPS防入侵检测功能,定期更新IPS规则库,入侵检测自动阻断并及时报警
二、 病毒防护及网络监控
1) 主机监控系统,实时对主机的异常文件进行安全扫描监控,防止病毒木马文件的产生
2) 网络异常流量监控系统,对镜像的网络流量进行安全监控,定期更新规则库,对异常的流量告警并做相关的安全防护措施
三、 用户登录验证及身份验证措施
1) 用户登录时会校验其是否机器人,如果未能通过真人机器人验证则无法完成登录
2) 用户数据传输均采用https加密传输
3) 用户数据采用加密存储
4) 登录验证服务仅支持内网访问,同时调用通过一致性HASH的方式进行签名,确保调用安全性
四、 交易风险防范与措施
1) 交易系统定期进行安全扫描,出现问题落实到人,及时进行修复,避免由于系统漏洞带来的风险;
2) 用户交易请求全程签名加密,确保交易数据不被篡改;
3) 交易金额进行严格校验,阻止金额不符合规则的交易;
4) 分析用户交易行为,建立黑名单机制,拦截非法交易请求;
5) 针对已生成的订单数据进行二次校验,及时关闭通过刷单等行为产生的订单;
6) 交易流程做严格的前置校验,保证交易流程的正确性;
7) 交易后台管理系统权限严格控制,做到菜单级、数据级精准控制;
五、 信息与数据的安全保障措施
1) 数据库中所有敏感字段均处于加密状态,加解密逻辑统一由公司维护,不允许自行导出解密;
2) 数据库操作权限严格控制,读写分离,线上堡垒机只开放查询权限;
3) 线上数据库密码定期修改;数据库连接参数不以明文方式存储在代码中;
4) 数据所有操作建立日志跟踪机制,确保出现问题可以溯源跟踪;
5) 数据定期进行备份,数据故障能够实现快速恢复;
6) 交易前台和商家后台做强制身份校验,保护数据隐私;
7) 强化人员安全意识,加强内外部监控;
8) 系统代码不允许公布到公网上,如github等第三方代码托管平台;不允许通过QQ等外部通讯软件进行传输;未经批准,不得通过复制的方式给研发部之外的人进行拷贝;对于违反规定的人员进行相应的惩罚;
六、 交易结算的安全保障措施
1) 结算金额与车支付回款流水做比对,要求结算金额不能大于回款金额;
2) 结算单生成时候进行加密,在转账的时候会对结算单加密串进行比对,防止后台数据篡改;
3) 与车支付接口对接有权限校验,防止结算接口被调用;
4) 接收到订单MQ消息后 再次调用订单接口进行数据同步,并且同步后生成加密串,防止后台订单信息被人为修改;
5) 具有后台结算结果校验程序,每4小时一次检索当天结算记录,反推订单信息,如果有不符则发出报警邮件;
6) 每小时检索一次订单状态到达已完成,但是车支付流水没有回够应收金额的订单,发出提醒邮件;
7) 结算过程发生错误(如:调用车支付/平安付/银联接口异常等),均会发出钉钉提醒和邮件提醒;
七、 其他
该规则于2017年07月16日首次生效。