连连支付信息安全白皮书

信息安全战略

1. 落实安全管控责任
2. 规避与降低安全风险
3. 保障业务安全运行
4. 依法依规保护客户隐私

风险管理框架

合规和隐私保护

1. ISO9001:2015 质量管理体系认证
2. ISO/IEC27001:2013 信息安全管理体系认证
3. ISO/IEC20000-1:2011 信息技术服务管理体系认证
4. PCI DSS 支付卡行业数据安全标准合规认证
5. ADSS（UPDSS）银联卡账户信息安全外部合规评估认证
6. 中华人民共和国公安部“信息安全等级保护三级”

信息安全责任声明

1. 信息安全责任
2. 信息安全声明

基础安全

1. 基础设施安全
   
2. 物理环境安全
   • 数据中心
   • 办公环境
3. 系统&网络安全
   • 安全域划分
   • 网络访问控制
   • Linux操作系统安全基线
   • Windows操作系统安全基线
   • 安全设备基线
   • DDos防护
   • 网络攻击防御
   • 传输安全防护
   • 交易报文安全
   • 安全蜜罐管理
4. 应用安全
   • 应用开发规范
   • 应用安全扫描
   • 纵深防御
5. 数据安全
   • 数据分类分级
   • 数据使用授权
   • 数据安全审计
   • 数据销毁管理

安全运营管理

1. 人员安全
   • 背景调查
   • 聘用条款和条件
   • 安全培训
   • 安全奖惩
2. 漏洞管理
3. 应急与灾备
   • 应急与灾备技术
   • 业务连续性管理
   • NOC7*24小时监测
   • 威胁情报管理
   • 网络红蓝对抗
4. 反欺诈管理
5. 反洗钱管理
6. 业务合规管理