2023互聯(lián)網(wǎng)交互式服務(wù)安全管理要求 第8部分：電子商務(wù)服務(wù)

互聯(lián)網(wǎng)交互式服務(wù)安全管理要求第8部分電子商務(wù)服務(wù)目 次前言 Ⅲ引言 Ⅳ范圍 1規(guī)范性引用文件 1術(shù)語和定義 1安全管理制度 1組織機(jī)構(gòu) 2基本要求 2網(wǎng)絡(luò)與信息安全組織 2人員安全管理訪問控制管理安全技術(shù)措施

……………2……………2……………2電子商務(wù)服務(wù)安全 2基本要求用戶管理

……………2……………2信息安全審核信息安全保護(hù)

………………………3………………………4違法犯罪線索處置 4個(gè)人信息保護(hù) 5投訴 5分包管理 5安全事件管理 5Ⅰ引 言A7旨在規(guī)范和指導(dǎo)互聯(lián)網(wǎng)交互式服務(wù)提供者落實(shí)中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國數(shù)據(jù)安全法中華人民共和國個(gè)人信息保護(hù)法等法律法規(guī)規(guī)定健全完善安全管理制度和安全技術(shù)措施等擬由1個(gè)部分構(gòu)成。第1部分基本要求。目的在于規(guī)定互聯(lián)網(wǎng)交互式服務(wù)安全管理的基本要求。第2部分微博客服務(wù)。目的在于規(guī)范和明確微博客服務(wù)安全管理要求。第3部分音視頻聊天室服務(wù)。目的在于規(guī)范和明確音視頻聊天室服務(wù)安全管理要求。第4部分即時(shí)通信服務(wù)。目的在于規(guī)范和明確即時(shí)通信服務(wù)安全管理要求。第5部分論壇服務(wù)。目的在于規(guī)范和明確論壇類服務(wù)安全管理要求。第6部分移動(dòng)應(yīng)用軟件分發(fā)服務(wù)。目的在于規(guī)范和明確移動(dòng)應(yīng)用軟件分發(fā)服務(wù)安全管理要求。第7部分云服務(wù)。目的在于規(guī)范和明確云計(jì)算平臺(tái)服務(wù)安全管理要求。第8部分電子商務(wù)服務(wù)。目的在于規(guī)范和明確電子商務(wù)服務(wù)安全管理要求。第9部分搜索服務(wù)。目的在于規(guī)范和明確搜索服務(wù)安全管理要求。第0部分互聯(lián)網(wǎng)約車服務(wù)。目的在于規(guī)范和明確互聯(lián)網(wǎng)約車服務(wù)安全管理要求。第1部分互聯(lián)網(wǎng)短租房信息服務(wù)。目的在于規(guī)范和明確互聯(lián)網(wǎng)短租房信息服務(wù)安全管理要求。為加強(qiáng)電子商務(wù)服務(wù)安全管理強(qiáng)化電子商務(wù)服務(wù)安全主體責(zé)任落實(shí)本文件結(jié)合電子商務(wù)服務(wù)特性提出其落實(shí)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施的具體要求。Ⅳ互聯(lián)網(wǎng)交互式服務(wù)安全管理要求第8部分電子商務(wù)服務(wù)范圍本文件規(guī)定了電子商務(wù)服務(wù)安全管理要求。本文件適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實(shí)電子商務(wù)服務(wù)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。A0互聯(lián)網(wǎng)交互式服務(wù)安全管理要求第1部分基本要求術(shù)語和定義A0界定的以及下列術(shù)語和定義適用于本文件。

電子商務(wù)服務(wù)e在互聯(lián)網(wǎng)上商品交易活動(dòng)中為交易雙方或者多方提供網(wǎng)頁空間虛擬經(jīng)營場(chǎng)所交易規(guī)則交易撮合信息發(fā)布等服務(wù)。

電子商務(wù)平臺(tái)m為電子商務(wù)服務(wù)搭建的供交易雙方或者多方獨(dú)立開展交易活動(dòng)的信息網(wǎng)絡(luò)系統(tǒng)。電子商務(wù)用戶r在電子商務(wù)平臺(tái)具有身份注冊(cè)信息并使用電子商務(wù)平臺(tái)的組織和個(gè)人。電子商務(wù)服務(wù)提供商r基于電子商務(wù)平臺(tái)提供電子商務(wù)服務(wù)的組織和個(gè)人。安全管理制度電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0第4章的要求制定并維護(hù)安全管理制度。1組織機(jī)構(gòu)基本要求電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0第5章的要求建立相關(guān)機(jī)構(gòu)并明確其職責(zé)。網(wǎng)絡(luò)與信息安全組織電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0中3的要求建立網(wǎng)絡(luò)與信息安全組織并滿足以下要求:應(yīng)根據(jù)電子商務(wù)服務(wù)業(yè)務(wù)特點(diǎn)對(duì)信息安全數(shù)據(jù)安全交易安全支付安全等環(huán)節(jié)進(jìn)行安全把控;使用人工或技術(shù)手段對(duì)電子商務(wù)平臺(tái)信息服務(wù)進(jìn)行安全管理其能力應(yīng)與電子商務(wù)平臺(tái)業(yè)務(wù)規(guī)模匹配。人員安全管理電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0第6章的要求設(shè)立安全管理崗位配備安全管理人員并明確其職責(zé)。訪問控制管理電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0第7章的要求進(jìn)行訪問控制管理。安全技術(shù)措施電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0第8章的要求采取相應(yīng)的安全技術(shù)措施。電子商務(wù)服務(wù)安全基本要求電子商務(wù)服務(wù)提供商應(yīng)在滿足A0第9章要求的基礎(chǔ)上保護(hù)電子商務(wù)服務(wù)的安全。用戶管理身份登記與核驗(yàn)要求電子商務(wù)平臺(tái)提供商應(yīng)根據(jù)A0中2及3的要求登記和核驗(yàn)用戶真實(shí)身份網(wǎng)絡(luò)商品及服務(wù)提供者申請(qǐng)注冊(cè)的除需滿足個(gè)人用戶的注冊(cè)要求外應(yīng)提供以下申請(qǐng)資料:提供申請(qǐng)主體的合法資質(zhì)證明文件并進(jìn)行核驗(yàn);登記辦理人真實(shí)身份信息并進(jìn)行核驗(yàn);登記辦理人提供的手機(jī)號(hào)電子郵箱等聯(lián)系方式。2身份鑒別電子商務(wù)服務(wù)提供商應(yīng)對(duì)用戶進(jìn)行身份鑒別并滿足以下要求:采用適當(dāng)方式證明用戶身份真實(shí)性;用戶口令應(yīng)具有一定復(fù)雜性并根據(jù)賬號(hào)風(fēng)險(xiǎn)狀況不定期提示用戶更換;采用加密的方式存儲(chǔ)口令等身份鑒別信息;身份驗(yàn)證系統(tǒng)需能識(shí)別已存在被盜號(hào)風(fēng)險(xiǎn)的高風(fēng)險(xiǎn)賬號(hào)并能給予用戶明顯的修改密碼提示。安全登錄規(guī)程電子商務(wù)服務(wù)提供商應(yīng)制定安全登錄規(guī)程并滿足以下要求:防止暴力嘗試登錄;在成功登錄完成后能夠顯示前一次成功登錄的日期時(shí)間和P地址以及不成功登錄嘗試的細(xì)節(jié);不以明文方式顯示口令;不以明文方式在網(wǎng)絡(luò)上傳輸口令;不活動(dòng)的會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。用戶控制電子商務(wù)服務(wù)提供商應(yīng)對(duì)制作復(fù)制發(fā)布傳播違法有害信息以及公安機(jī)關(guān)通報(bào)的涉嫌違法犯罪用戶納入黑名單管理并根據(jù)情節(jié)輕重采取以下管理措施:對(duì)其發(fā)布的內(nèi)容實(shí)施逐條審核先審后發(fā)措施;限制其賬號(hào)功能和好友數(shù)量;限制其對(duì)商品進(jìn)行評(píng)論;限制其信息發(fā)布頻率;封停賬號(hào);禁止該身份信息再次注冊(cè)新賬號(hào)。信息安全審核安全審核時(shí)點(diǎn)電子商務(wù)服務(wù)提供商應(yīng)對(duì)電子商務(wù)用戶發(fā)布的商品評(píng)價(jià)信息進(jìn)行日常審核。對(duì)黑名單用戶發(fā)布的商品評(píng)價(jià)信息應(yīng)每天開展逐條審核。安全查核方式電子商務(wù)服務(wù)提供商應(yīng)采取人工或自動(dòng)化動(dòng)態(tài)分析或靜態(tài)掃描的方式進(jìn)行安全審核。安全審核機(jī)構(gòu)電子商務(wù)服務(wù)提供商應(yīng)根據(jù)審核內(nèi)容審核要求進(jìn)行安全審核或委托具有相關(guān)資質(zhì)的第三方機(jī)構(gòu)進(jìn)行安全審核。安全審核內(nèi)容電子商務(wù)服務(wù)提供商應(yīng)審核平臺(tái)用戶發(fā)布的信息是否包含違法有害信息及違禁品。3信息安全保護(hù)發(fā)布管控電子商務(wù)服務(wù)提供商應(yīng)具備發(fā)布控制功能主要包括:建立違法有害信息類關(guān)鍵詞庫對(duì)商品發(fā)布評(píng)論信息進(jìn)行管控;具備特定地區(qū)或特定P通信控制功能實(shí)現(xiàn)對(duì)特定區(qū)域用戶特定P用戶發(fā)布的信息包括文本圖片視頻鏈接等信息進(jìn)行管控;具備特定發(fā)布來源控制功能識(shí)別網(wǎng)頁客戶端等發(fā)布源阻斷一項(xiàng)甚至多項(xiàng)發(fā)布來源。服務(wù)功能限制電子商務(wù)服務(wù)提供商應(yīng)具備限制特定服務(wù)的功能必要時(shí)可采取包括但不限于以下措施:關(guān)停封禁特定用戶賬號(hào)禁止該身份再次注冊(cè)新賬號(hào);凍結(jié)特定用戶使用賬號(hào)及特定賬號(hào)功能;禁止凍結(jié)收回特定用戶賬號(hào)中虛擬資產(chǎn)優(yōu)惠權(quán)益的流轉(zhuǎn)使用;刪除取消特定用戶的訂單中止停止已出庫發(fā)貨訂單的系統(tǒng)流程;限制特定發(fā)布來源限制特定地區(qū)P地址或指定用戶賬號(hào)登錄。信息檢索電子商務(wù)服務(wù)提供商應(yīng)具備后臺(tái)信息檢索功能主要包括:支持關(guān)鍵詞樣本數(shù)據(jù)特征值的邏輯組合查詢;支持對(duì)本網(wǎng)站所有電子商務(wù)平臺(tái)信息的全文搜索。第三方互聯(lián)網(wǎng)應(yīng)用的發(fā)布信息管控電子商務(wù)服務(wù)提供商應(yīng)具備對(duì)第三方互聯(lián)網(wǎng)應(yīng)用發(fā)布信息的管控功能。能夠限制或阻斷電子商務(wù)平臺(tái)與其他互聯(lián)網(wǎng)應(yīng)用的互聯(lián)互通。交易風(fēng)險(xiǎn)控制電子商務(wù)服務(wù)提供商應(yīng)具備交易風(fēng)險(xiǎn)控制功能主要包括:建立完備的交易風(fēng)控系統(tǒng)抵御欺詐交易惡意下單虛假交易違法交易等安全問題;根據(jù)運(yùn)營實(shí)際情況定期修改風(fēng)控規(guī)則和風(fēng)控模型提高風(fēng)控效果;風(fēng)控事件應(yīng)做到可跟蹤可分析。違法犯罪線索處置證據(jù)留存電子商務(wù)服務(wù)提供商安全審核過程中發(fā)現(xiàn)有違法有害信息或惡意程序的根據(jù)A0中6和4的要求保留相關(guān)證據(jù)配合公安機(jī)關(guān)開展案件調(diào)查。屏蔽過濾電子商務(wù)服務(wù)提供商應(yīng)根據(jù)A0中4的要求采取技術(shù)措施過濾違法有害信息。4快速處置電子商務(wù)服務(wù)提供商應(yīng)具備對(duì)包含違法有害內(nèi)容的商品信息的快速處置功能并在刪除前完成證據(jù)留存。具有通信功能的