JR_T 0098.8-2012中国金融移动支付 检测规范 第8部分：个人信息保护.pdf

ICS35.240. 40A 11JR中华人民共和国金融行业标准JR/T 0098.8—2012中国金融移动支付检测规范第8部分：个人信息保护China financial mobile payment-Test specificationsPart 8: Personal information protection2012-1212发布2012-12-12实施中国人民银行发布 JR/T 0098, 8—20123.3.3.4对机房划分区域的管理应对机房划分区域进行管理，区城和区城之间设置物理隔高装置，在重要区域前设置交付或安装等过渡区域。3.3.3.5重要区域设置第二道电子门禁系统重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。3.3.3.6监控管理物理隔高区域进出通道均应安装录像监控设备，对人员、设备进出情况进行监控，监控录像资料至少保存90天.3.4个人信息生命周期管理要求3.4.1个人信息收集3.4.1.1管理要求所有个人信息收集行为，要具有特定、明确、合法的目的，并应征得个人信息主体同意，应采用科学、规范、合法、适度、适当的收集方法和手段，以保障个人信息主体的权益，应将收集目的、范围、方法和手段、处理方式等清晰无误的告知个人信息主体，并征得个人信息主体同意。应只收集能够达到已告知目的的最少信息。3.4.1.2客户端信息收集要求3.4.1.2.1个人信息显示在客户端上输入密码等敏感个人信息时，不能以明文的方式显示在屏幕上。3.4.1.2.2防截获在客户端上输入个人信息时，用户输入的数据应不被移动终端的其他设备或程序非授权获取。3.4.1.2.3防基改在客户端上靠入个人信息时，用户输入的数据应不被移动终端的其他设备或程序第改。3,4,1.2.4防屏幕录像客户竭程序宜采用反屏募录像技术，防范非法程序获取敏感个人信息，3.4.2个人信息存储3.4.2.1客户端信息存储要求客户端上不能存储敏感个人信息及其密文，敏感个人信息及其密文在使用后应立即清除。客户端存储一般个人信息时，应进行加密处理，3.4.2.2服务器信息存储要求S JR/T 0098, 8—2012服务器存错个人信息，应根据个人信息自动和非自动处理的特点，制定相应保护策略，包括访间控制、权限设置、密钥管理等，防止个人信息的不当使用、毁损、泄露、删除等，服务器存储敏够个人信息时，应采用加密的方式存储。3.4.2.3备份和恢复应定期各份存储的个人信息，保证备份、恢复的完整性、可需性和准确性。3.4.3个人信息使用3, 4, 3, 1管理要求个人信息管理者使用个人信息应基于明确、合法的目的，并遵循以下约束：a)应征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要；应在个人信息收集目的范围内使用个人借息，如需要超目的范围使用个人信息，应征得该个人信息主体同意；在处理、使用个人信息时，应保证个人信息安全，保障个人信息不被任何与处理目的无关的个人、组织和机构获知：d)个人信息管理者向第三方提供个人信息，应获得该个人信息的个人信息主体授权，并在允许的目的范围内，采用合法、适当、适度的方法进行处理，3,4,3.2个人信息使用要求敏够个人信息中的个人认证信息不能以任何形式下发到客户端，认证信息的比对只能在服务器进行。敏个人信息中的个人身份信息在下发至客户端之前，应屏蔽个人身份信息中不可糖测的一部分，被屏截部分使用统一的符号普代。3.4.3.3开发测试使用要求采用专门用于测试的测试卡片进行开发测试，真实个人信息不得用于开发测试。3.4.4个人信息传输3.4.4.1管理要求个人信息管理者传输个人信息应基于明确、合法的目的，并遵循以下约束：a)应征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要：应在个人信息收集目的范围内传输个人信息。如需要超目的范围传翁个人信息，应征得该个人信息主体同意；c)在传输个人信息时，应保证个人信息的安全，保障个人信息在传输过程中不被任何无关的个人，组织和机构获知：d)在传输个人信息前，应评传输过程中可能存在的风险，明确相关责任，3.4.4.2通信必威体育官网网址性应对传输个人信息的通信过程中的整个报文或会话过程进行加密。3.4.5个人信息销毁3, 4, 5. 1管理要求 JR/T 0098. 8—2012应制定严格的个人信息销般制度，确保应记录个人信息的相关的文档、介质得到及时、有效的销毁。个人信息销毁前应得到相应的授权。对于以下保存到期或已经使用完毕的个人信息，均应建立严格的销毁登记制度：a)纸质、光盘、磁带及其它可移动的数据存储载体等介质中存储的个人信息；b)报度设备或介质中存储的个人信息：c)其他超过保存期限需销吸的个人信息。应保证存储敏感个人信息的介质在销毁后，信息不可恢复。3. 4. 5. 2双人控制及记录对