<legend id="h4sia"></legend><samp id="h4sia"></samp>
<sup id="h4sia"></sup>
<mark id="h4sia"><del id="h4sia"></del></mark>

<p id="h4sia"><td id="h4sia"></td></p><track id="h4sia"></track>

<delect id="h4sia"></delect>
  • <input id="h4sia"><address id="h4sia"></address>

    <menuitem id="h4sia"></menuitem>

    1. <blockquote id="h4sia"><rt id="h4sia"></rt></blockquote>
      <wbr id="h4sia">
    2. <meter id="h4sia"></meter>

      <th id="h4sia"><center id="h4sia"><delect id="h4sia"></delect></center></th>
    3. <dl id="h4sia"></dl>
    4. <rp id="h4sia"><option id="h4sia"></option></rp>

        安全规范

        安全漏扫

        *第三方提供的服务必须经过漏洞扫描安全测试,确保没有高危漏洞及严重影响系统安全的中低危漏洞。

        敏感信息

        *敏感信息指用户的身份证、银行卡号、手机号等身份信息,第三方服务页面必须针对敏感信息完成脱敏处理。

        脱敏规则:

        (1)身份证:显示前6位+*(实际位数)+后4位,如: 140107********0719

        (2)银行卡:显示前6位+*(实际位数)+后 4 位,如:622575******1496

        (3)手机号:显示前3位+****+后 4 位,如:137****9050

        (4)脱敏的逻辑必须在服务端完成,不能使用 Javascript 在客户端进行脱敏,包括代码注释、隐藏域、url 参数、cookies 等处的数据也必须脱敏。

        (5)请使用 AES128 对称加密算法进行加密后传输,并且不能将解密密钥传输给用户端。

        用户信息

        *因第三方服务存在获取平台用户信息的需求,因此第三方需要十分明确获取用户信息的范围,包括用户手机号、用户实名信息、用户人脸信息、用户银行卡信息四个级别,用户在访问第三方服务前平台首先要获取用户同意授权,第三方应严格遵守平台的《用户协议》《隐私协议》《认证服务协议》关于用户信息管理条款,第三方对于收集到的用户信息应妥善管理,不得泄露。

        单点认证方式

        *晋办来平台现在采用的验证方式为令牌验证,为了保障平台服务和数据安全。(1)第三方服务生厂商调用平台用户接口中所使用的令牌会过期,因此平台每次发送给第三方服务的令牌只可使用一.次。(2)第三方调用平台用户接口只能后端调用,禁止前端调用,并且向平台提供服务所在服务器出口IP,平台设置白名单。(3)采用双向加密+数字验签的方式保证数据传输安全。