最新更新時間:2021.3.9
對于商戶平臺的安全使用,我們從 申請入駐、收到開戶郵件、登錄商戶平臺、商戶平臺日常使用 四個方面來展開。
a、申請入駐微信支付不會收取任何費用,謹防上當受騙。
b、提交申請資料后,需注意申請資料的保管,防止泄露或丟失。
a、開戶郵件內容中包含了賬戶、初始登錄密碼等敏感信息,需妥善保管,防止泄露。
a、首次登錄請修改登錄密碼,密碼復雜度建議大于8位字符,并且同時含有大、小寫、數字、特殊符號。
b、仔細檢查域名是否為 http://www.tg885.com ,防止誤登錄釣魚網站導致密碼等信息的泄露。
a、登錄權限保護
b、瀏覽器選擇
c、功能使用
對于需要自行或外包開發(fā)信息系統(tǒng)的商戶來說,有一些安全的注意事項,我們從 需求、設計、編碼、測試、部署&運維 五個方面來展開。
a、商戶自建營銷活動需設計防刷機制。
a、數據采集
b、數據傳輸
c、數據保存
d、數據訪問
e、審計日志
f、資金處理
a、防止參數處理不當導致的常見漏洞
b、防止邏輯處理不當導致的漏洞
c、APP開發(fā)安全注意事項
a、對輸入輸出參數進行專項安全測試。
b、通過眾測或自建、第三方的安全掃描機制對系統(tǒng)進行安全掃描并對問題進行修復。
a、確保系統(tǒng)所使用商業(yè)和開源組件的版本是最新穩(wěn)定版。
b、參考此份checklist進行安全配置 系統(tǒng)漏洞檢測及修復
c、考慮系統(tǒng)和數據服務容災,至少有主備機制,建議多機房多地部署。
d、建議采用各大云系統(tǒng),并且啟用相關的云安全防控機制。
e、如有條件,建議自建或者購買一些安全監(jiān)控服務或設備。
f、設定關鍵指標項,進行實時數據上報和監(jiān)控
g、有專門的人員來跟進安全事件的處置。
h、關注信息系統(tǒng)所使用框架及組件的安全信息情況。
i、按時打補丁,定期檢查系統(tǒng)升級。
j、服務端口開啟最小化原則。
k、服務器登錄操作可審計。
m、內部管理運營系統(tǒng)必須認證登錄做操作日志記錄以供審計。
n、建立業(yè)務下線機制,不再使用的業(yè)務做下線操作減少被攻擊面。