第一章 目的和范围

1.1. 目的

为营造规范、有序、安全的开放平台环境,提升开放平台合作伙伴(以下简称“服务商”或“您”)提供的应用安全性,从而保障服务商及用户的合法权益,依据《开放平台服务协议》《开放平台运营管理规则》等内容,特制定此规范。

1.2. 适用范围

本规范规定了对服务商所提供的应用在开发、部署、运营、维护和管理等方面的安全准则要求,适用于所有的服务商和相关应用的运营者。

第二章 术语和定义

术语 定义
开放平台 开放平台是基于贝尔康业务(包括外卖、团购、闪惠、点餐、排队、预订等),为第三方平台及众多软件公司,提供更加便捷的操作平台、信息传递方式、以及信息管理方式,从而提升商家经营效率、降低经营成本、提升市场竞争力、提高消费者的服务体验,并打造行业健康生态。
服务商 通过有效申请并通过审核,获得开放平台提供的技术文档、应用程序等相关服务支持的厂商及运营服务提供者。
开发者 开发者是服务商入驻成功后,开放平台为其创建的访问开放平台的身份标识,对应服务商的一个应用,一个服务商可以创建多个开发者。
企业 指贝尔康用户通过有效申请并通过验证的可以基于开放平台进行应用开发的单位,在开放平台企业也可称为“开放平台合作伙伴”,或者ISV,等同于服务商。
developerId 服务商在创建开发者的时候,开放平台会为每个开发者分配一个developerId和signkey,developerId是开发者的唯一标识。
signkey signkey是开放平台分配给开发者的密钥,用于后续的签名计算。
erpCvId 贝尔康商户线上虚拟门店唯一标识。
appkey 应用程序密钥,简称API接口验证序号,是用于验证API接入合法性的。
appSecret API接口密钥,是跟App Key配套使用的,可以简单理解成是密码,App Secret和App key是配对出现的。
信息安全 保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
安全策略 用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。
商家 在贝尔康平台或者使用ISV系统进行经营活动的法人、法人委派的行为主体、其它组织机构或自然人。
网络交易 发生在企业(或其他组织机构)之间、企业(或其他组织机构)与消费者之间、消费者之间通过网络手段缔结的商品或服务交易。
二次验证 在用户注册或登录后进行一些重要或敏感业务操作时,通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式。
加密 加密是将明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码(通常称为”密文”)。
安全事件 包括网络上攻击或入侵行为造成的安全事件,也包括应用中出现的欺诈、盗号、违禁等恶意行为。
敏感数据 依据《贝尔康数据安全管理规定》,敏感数据的范围包括C2,C3,C4级别,针对本标准中的敏感数据特指用户(消费者)的姓名、昵称、电话号码及电子邮箱,地址,商户的门店名称(poi id)、联系电话、地址等敏感数据。
信息安全风险 人为或自然的威胁,利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
WAF Web应用防护系统(Web Application Firewall,简称WAF),本文中提及的WAF是为主机提供WEB安全防护的服务,能够有效防黑客利用应用程序漏洞入侵渗透。

第三章 规范性引用文件

3.1. 《中华人民共和国网络安全法》,2021年12月1日;
3.2. 《信息系统安全等级保护基本要求》,国标GB/T 22239 – 2008,2008年6月;
3.3. 《移动智能终端安全能力技术要求》,工信部,YD/T 2407-2013,2013年4月;
3.4. 《信息系统通用安全技术要求》,GBT 20271-2006,2006年5月;
3.5. 《电子商务基本术语》,GB/T 18811;
3.6. 《信息安全技术 术语》,GB/T 25069-2010;
3.7. 《信息技术 安全技术 信息安全事件管理指南》,GB/Z 20985-2007;
3.8. 《信息安全技术 信息安全事件分类分级指南》,GB/Z 20986-2007;
3.9. 《信息技术 系统安全工程 能力成熟度模型》,GBT 20261-2006。

第四章 概述

服务商所开发的应用为贝尔康平台上的商户提供技术支撑和服务,必须具备保证其参与电子商务活动中的数据安全的能力。本规范对服务商所开发的应用所提出的安全要求包括但不限于基础设施的安全技术配置、应用的安全功能开发、用户使用的安全风险告知和服务商运营的安全保障管理等方面的要求。

第五章 基础设施安全技术配置

5.1. 云安全功能的启用

本部分是对服务商应用所依赖设施的技术配置所提出的安全要求,包括:内置的安全功能的启用、应用所依赖的主机资源(如:ECS主机和RDS等)的安全性配置和应用相关访问时的安全性配置。

5.1.1. 边界保护
安全项 具体要求
应用的安全隔离 如果同一个企业有多个应用,企业应为不同的应用申请不同的开发者,使用不同的developerId和signKey,不同的应用需要独立部署在不同的主机中,确保应用之间是被安全隔离的。
5.2. 主机的安全配置
安全项 具体要求
开启WAF 建议安全管理员,开启WAF功能,从而使应用具备以下安全功能:a)具备SQL注入攻击防御能力;b)具备Web shell上传拦截的能力;c)具备对扫描行为进行及时发现并告警和阻断的能力;d)具备针对Web用户的IP设置为白名单的能力;e)具备代码执行攻击防护能力。
5.3. 应用的安全配置
5.3.1. 访问控制
安全项 具体要求
基于白名单访问控制 应用应检查并绑定访问者的昵称白名单和访问来源的IP白名单。
基于黑名单访问控制 应用应提供黑名单的保护机制,通过黑名单来拦截非法的访问,黑名单的纬度包括IP、用户账号和终端标识。
5.3.2. 后台管理

本部分是对应用的后台管理所提出的安全要求,包括对后台管理所使用的终端的安全要求、后台管理的安全要求。

安全项 具体要求
限制登录 应用管理员应为主机“添加VPN服务器”,来限制用户对应用和管理后台的登录,通过VPN拨入或者通过特定的IP登录。
登录管理后台 应用管理员若登录主机以及访问8080端口的管理后台,应通过VPN来实现。
终端屏幕保护 应用的后台管理的终端应设置屏幕保护程序及口令保护功能。说明:后台终端的操作系统应配置锁屏保护功能,当后台管理用户操作空闲超过一定时间(如10分钟)应锁定屏幕,用户重新激活必须再次认证,防止非授权用户的非法操作(如在用户离开期间)。
禁用终端的 应用的后台管理终端应禁用Guest账户。重命名终端的默认账号
终端的病毒库更新 应用管理员应定期进行病毒库更新及全盘杀毒,防病毒软件应设置有系统全盘扫描计划(如每周执行一次),开启病毒库的自动更新。管理员指南
风险提示 服务商对于在文档中对于影响后台管理安全性的操作(如修改口令、更换密钥),应明确提示相关的风险。对于会影响应用正常运行的关键配置项和操作,文档中也应用警告标志标示,并明示其可能的影响。

6. 第六章 应用的安全功能开发

本部分是对服务商应用应实现的安全功能所提出的安全要求,包括:账号管理、身份认证、权限管理和安全审计。

6.1. 账号、认证和权限
安全项 具体要求
账号唯一 应用应为不同的用户分配不同的账号,确保一个用户一个账号,应禁止多人使用同一个账号。
账号风控 应用应接入风控,使其具备保护和管理平台账号的安全能力,能及时地识别账号的异常风险(包括但不限于账号被盗、暴力破解等问题),并给予及时的管控。
账号对应关系 a)应用应维护自有账号和贝尔康账号的对应关系;b)如果一个用户管理一个店铺,应对应这个店铺的贝尔康账号;c)如果一个用户管理多个店铺,则应同时对应多个贝尔康账号;d)用户可管理的店铺关系变动时,应通知开放平台。
多店铺绑定 如果应用涉及到一个账号访问/管理多个店铺时(多店铺绑定),应用在用户绑定关联店铺的过程中,应验证用户对店铺的真实管理权,验证应通过“组合鉴别”方式来进行。
账号锁定 应用应通过在达到六次登录尝试后锁定用户账号的方式限制反复访问尝试;锁定持续至少30 分钟,或者直到管理员启用该用户账号。
账号有效期 应用应对用户账号和应用管理员的账号设置有效期。
无用账号删除 应用应及时删除或禁止多余的、过期的用户账号,避免共享账号的存在。
账号权限回收 应用应及时清理和回收应用相关的开发账号、测试账号和后台管理账号及权限,如:相关账号使用者离职或转岗时。
初始口令 应用管理员账号的初始口令应为系统随机产生的满足口令强度要求的口令。
口令更换 应用应定期(每半年)提醒用户对口令进行修改,建议口令至少每六个月更换一次。
口令强度 口令强度应同时满足如下要求:a)应用应保存加密后的口令历史,并要求新口令与前四次使用的口令不同;b)口令不能为空;c)不允许使用默认口令;d)口令长度至少8位以上;e)包含字母大写、字母小写、数字、特殊字符其中的三种或以上,不能使用连续字母或单纯数字,不能使用键盘上连续字符;f)不能使用与用户自身强关联(如生日、姓名)的单词。
口令重置 应用应提供给用户口令重置功能,口令重置的功能需要经过服务商客服人工确认或者经过“组合鉴别”通过才能生效,且重置后的口令必须通过短信、邮件等用户绑定的可信任的渠道告知用户。
重新验证 当会话空闲超过30分钟,应用应要求用户重新验证或重新激活会话。
登录控制 应用应对登录应用的用户进行身份标识和鉴别。
组合鉴别 a)应用应支持对同一用户采用两种或两种以上组合的鉴别技术(口令验证、邮箱验证、短信验证等)实现用户身份鉴别;b)在执行敏感操作(口令修改或重置)或账号行为异常的情况下,应用应采用两种或两种以上的组合鉴别方式。说明:短信、邮箱验证可以通过发送验证信息到用户绑定的可信手机号或邮箱中,并且需要对验证信息设置过期时间,建议10分钟。
6.3. 数据保护
6.3.1. 数据获取
安全项 具体要求
获取途径 只有开放平台白名单内的服务商IP可以访问开放平台接口获取数据,服务商如需增加或变更IP地址需通知开放平台,并由开放平台审核通过后,方可访问。
6.3.2. 数据存储
安全项 具体要求
口令存储 应用对用户口令应使用安全的不可逆的加密算法进行加密保存,防止特权用户获取用户口令。
token存储 应用对其获取访问用户、商家数据的token(授权令牌),应按照平台认可的安全方案进行加密存储。
订单储存 应用的数据应该加密存储。
隐私储存 应用存储的消费者隐私数据,应按照平台认可的安全方案进行加密存储。
6.3.3. 数据传输
安全项 具体要求
传输加密 a)应用中涉及敏感数据(比如订单数据等)的传输必须进行加密传输,实现系统管理数据、鉴别信息和重要业务数据的传输保密性;b)加密算法应使用AES-128位或以上强度。
应用间的数据交互 应用涉及敏感数据(比如订单数据等)与其它应用(包括同一个企业的不同应用和不同企业的应用)的数据传输,需要保证传输的保密性。
6.3.4. 数据使用
安全项 具体要求
数据处理 应用在对其敏感数据(比如订单数据等)进行后台的处理或计算时,其相关功能的组件和模块应部署在服务商内部的系统里。
数据展示 应用应对涉及敏感数据(比如电话号码、邮箱、贝尔康昵称等)的展示,进行脱敏处理(模糊化、匿名处理等)。建议的脱敏方案:a)【手机号】显示+后 4 位。如:1050;b)【固定号码】显示区号和后三位,如0571-123;c)【邮箱】@前面的字符如果大于或等于3个字符,@前面的字符只显示其前3位且再增加2个,并且@后面显示其第1个字符、‘.’分隔符及其后面的字符,但其中间其他字符都统一替换成2个,例如:con@1.com;如果少于三位,@前面的字符全部显示且再增加2个,并且@后面显示其第1个字符、‘.’分隔符及其后面的字符,但其中间其他字符都统一替换成2个,例如tt@163.com则显示为tt@1.com;d)【贝尔康昵称】显示首/尾各1位,中间加例如:a1;e)【收货地址】隐藏区/县级以下部分的地址。

第七章 用户使用的安全风险告知

本部分是对服务商应用在被使用的过程中,用户应知晓和注意的相关安全风险所提出的安全要求,包括:通过用户手册和系统提示的途径告知用户如何有效地使用应用的安全功能,以及用户应注意和避免的不良使用行为。

安全项 具体要求
安全功能介绍 对于应用的商家用户,服务商应提供详尽全面的操作指导文档(如帮助文件和纸质文档),便于用户查询,用于指导用户使用或配置服务商提供的应用的安全功能。在文档中应写明应用中所提供的安全功能介绍,对于用户影响系统安全性的操作(如修改口令、配置权限等),在操作时应明确提示相关的风险;对于会影响应用正常运行的关键配置项和操作,文档中也应用警告标志标示,并明示其可能的影响。
应用间的数据交互 a)服务商应告知用户对口令进行安全保护,包括:检验口令强度并提示用户设置强口令、设定口令修改默认时期,到期提示修改口令、口令不得存储在本地;b)服务商应告知用户终端的安全使用需要注意的不安全的日常使用行为和基本安全建议:包括:屏保的安全设置、操作系统的及时升级、防病毒软件的有效安装、主机防火墙的正确配置、应用软件的下载与安装;c)服务商应告知用户移动终端的安全使用,包括:设置屏幕解锁口令或图案、防病毒软件的有效安装等;d)服务商应告知用户移动介质的安全管理,包括:U盾、U盘、移动硬盘的安全存放,设置用户口令等;e)服务商应告知用户互联网的安全访问的注意事项,包括:无线上网、浏览上网、电子邮件、社交网络、即时通信、网上交易等方面;f)服务商应告知用户防止基于社会工程的欺诈,包括:基于人:物理的非授权访问呢;基于电话:呼叫者电话的欺骗;基于电子邮件:钓鱼攻击、Email地址欺骗;基于即时通信软件:通过QQ、微信等的欺骗。
7.2. 系统提示
安全项 具体要求
使用风险提示 应用应在合适的界面提示用户使用应用时的安全风险及学习安全指南的建议,至少应包括:口令被盗的风险、使用默认账号的风险、使用共享账号的风险。
终端风险提示 应用应在合适的界面提示用户终端安全方面的风险及学习安全指南的建议,至少应包括:病毒感染的风险、不及时安装补丁的风险、使用访客账号的风险、使用默认账号的风险、不进行口令保护的风险、不设置屏幕保护的风险。

第八章 服务商运营的安全管理保障

本部分是对服务商在应用的开发和运营中应进行的安全管理所提出的安全要求,包括:应用开发过程的安全管理,相关的安全漏洞管理以及日常运维中的安全保障

8.1. 开发管理
安全项 具体要求
使用风险提示 应用应在合适的界面提示用户使用应用时的安全风险及学习安全指南的建议,至少应包括:口令被盗的风险、使用默认账号的风险、使用共享账号的风险。
终端风险提示 应用应在合适的界面提示用户终端安全方面的风险及学习安全指南的建议,至少应包括:病毒感染的风险、不及时安装补丁的风险、使用访客账号的风险、使用默认账号的风险、不进行口令保护的风险、不设置屏幕保护的风险。
##### 8.2. 漏洞管理
安全项 具体要求
漏洞扫描 在应用上线运行前,服务商应对前后台系统执行漏洞扫描,保证上线应用不存在漏洞,并将扫描结果提交给开放平台。
漏洞修复 服务商应对漏洞进行跟踪管理,要求高危漏洞24小时内修复,中危漏洞3天修复,低危漏洞7天修复。
渗透测试 服务商应定期为自身系统做渗透测试,如进行渗透测试,应提供给开放平台渗透测试报告,所评测应用应通过开放平台上线审核安全测试/渗透测试。上线应用不可存在如下漏洞:命令执行漏洞、用户信息泄露、代码执行漏洞、上传漏洞、SQL注入、权限漏洞、跨站脚本漏洞、CSRF漏洞、URL跳转漏洞。该测试需由贝尔康或贝尔康授权的独立第三方独立进行。针对BS架构及有WEB服务的CS架构,贝尔康安全工程师可以帮助进行针对系统的渗透测试。如无渗透测试,服务商应根据开放平台规定,办理公安部信息系统等级保护证明二级并进行测评,且需每2年测评一次,同时需将测评报告提交给开放平台。三级及以上公安部信息系统等级保护证明,应每年进行一次测评,并将测评完成后的测评报告,及时提交给开放平台。
漏洞信息通报 a)服务商发现平台存在缺陷时,应及时向开放平台通报。任何情况下,均不应隐瞒或恶意利用;b)服务商发现自研应用、操作系统及所用到的相关第三方应用程序/代码组件中存在安全漏洞时,应及时向贝尔康通报。任何情况下,均不应在生产环境下尝试验证弱点。
##### 8.3. 运维保障
安全项 具体要求
:—- :—
安全职责明确 服务商应将相关人员(开发、测试、运维、管理等)的安全职责向开放平台进行报备。安全专职负责人 服务商应指定专职的安全负责人作为与贝尔康安全团队的安全接口人,定期保持安全联络和沟通。
安全意识教育 服务商应对相关人员(开发、测试、运维、管理等)每年进行至少一次的安全意识教育,并对对安全教育和培训的情况和结果进行记录并归档保存。
安全制度学习 服务商应建立和文档化其必要的安全制度和操作流程,并要求相关人员(开发、测试、运维、管理等)每年至少一次确认自己已经阅读并了解公司的安全要求和制度流程。
安全责任书 服务商的相关人员(开发、测试、运维、管理等)应签订数据安全责任书。
安全自查 服务商应至少每年执行一次安全自查,并在环境发生重大变更时(例如收购、合并、迁址等)不定期地对线上应用执行安全评估,根据安全评估执行相应操作(如补丁管理、软件升级、系统加固等),并将该安全评估结果和安全整改情况通报给贝尔康相关的接口人。
风险处置 a)服务商应及时、有效地配合贝尔康日常的服务排查,不应做出屏蔽贝尔康IP等恶意行为。服务和端口开放 应用(含前后台)应附有详细的列表,列明应用所必须使用的系统服务和通信端口,且应仅开放应用运行所必须的系统服务和通信端口。
变更管理 a)服务商应识别应用开发和运维中的主要变更需求,并制定相关的变更方案;b)服务商应建立相关的变更流程和审批机制;c)当相关系统变更时,服务商应向所有相关人员(开发、测试、运维、管理等)通告;实施变更时,必须进行记录且应妥善保存这些记录。
应急响应 a)服务商应制定安全事件报告和处置管理制度,明确安全事件的现场处理、事件报告和后期恢复的角色职能及处理流程;b)服务商应建立负责线上应急响应的团队,明确安全事件响应的角色和责任人员/组织;c)服务商应制定有7X24应急响应计划(突发安全事件预案),并定期演练;d)服务商应监控相关软件程序的安全漏洞和威胁情报,及时修复应用及相关支撑系统的安全漏洞;e)服务商应记录和保存所有报告中的安全弱点和可疑事件,分析事件原因,监督事态发展,并采取措施避免安全事件发生。
作者:admin  创建时间:2022-03-04 11:42
最后编辑:admin  更新时间:2023-11-14 09:56