GB_T 36316-2018 电子商务平台数据开放 第三方软件提供商评价准则.pdf
《GB_T 36316-2018 电子商务平台数据开放 第三方软件提供商评价准则.pdf》由会员分享,可在线阅读,更多相关《GB_T 36316-2018 电子商务平台数据开放 第三方软件提供商评价准则.pdf(20页珍藏版)》请在咨信网上搜索。
1、I C S3 5.2 4 0.9 9L6 7中 华 人 民 共 和 国 国 家 标 准G B/T3 6 3 1 62 0 1 8电子商务平台数据开放第三方软件提供商评价准则D a t ao p e n n e s s f o rE-c o mm e r c ep l a t f o r mT h i r dp a r t ys o f t w a r ep r o v i d e r e v a l u a t i o nc r i t e r i a2 0 1 8-0 6-0 7发布2 0 1 8-1 0-0 1实施国 家 市 场 监 督 管 理 总 局中国国家标准化管理委员会发 布目 次前
2、言1 范围12 规范性引用文件13 术语和定义、缩略语1 3.1 术语和定义1 3.2 缩略语14 评价总体框架和评价指标2 4.1 评价总体框架2 4.2 评价模块和子模块表25 评价方法和结果表示3 5.1 评价方法3 5.2 评价方式3 5.3 结果表示36 判定规则4 6.1 功能实现评价模块4 6.2 环境部署评价模块6 6.3 使用指导评价模块9 6.4 经营管理评价模块1 1 6.5 运维管理评价模块1 2 6.6 评价结论1 47 评价报告1 48 扩展原则与方法1 4参考文献1 5G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2
3、018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国电子业务标准化技术委员会(S A C/T C8 3)提出并归口。本标准起草单位:阿里巴巴(中国)有限公司、中国标准化研究院、国家应用软件产品质量监督检验中心、任我行网络技术有限公司、上海百胜软件股份有限公司、北京淘宝科技有限公司、友盟同欣(北京)科技有限公司、泉州市晋科技术检测有限公司、福州优之创科技有限公司、安徽艺标信息科技有限公司、东莞快创信息科技有限公司、广东潮族实业有限公司、四川红世财智网络科技有限公司、成都口口鲜猫信息技术有限
4、公司。本标准主要起草人:朱红儒、李克鹏、孙旭东、张弛、邓二平、张世长、咸奎桐、王志民、隋媛、李奕飞、叶琳、韩桃玲、贾科、杨军、陈艳军、周悦、楼莉、张啸、程东、崔从俊、安伟、董丽、罗显发、柴治、郑伟山、黄平。G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用电子商务平台数据开放第三方软件提供商评价准则1 范围本标准规定了电子商务平台
5、数据开放中的第三方软件提供商评价的总体框架和评价指标、评价方法、结果表示、判定规则、评价报告以及扩展原则与方法。本标准适用于对电子商务第三方软件提供商进行评价。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T1 8 8 1 12 0 1 2 电子商务基本术语G B/T3 5 4 0 82 0 1 7 电子商务质量管理 术语G B/T3 6 3 1 82 0 1 8 电子商务平台数据开放 总体要求3 术语和定义、缩略语3.1 术语和定义G B/T3 5 4 0
6、82 0 1 7、G B/T1 8 8 1 12 0 1 2和G B/T3 6 3 1 82 0 1 8界定的以及下列术语和定义适用于本文件。3.1.1 评价模块 e v a l u a t i o nm o d u l e用于测量第三方软件提供商特性、子特性或属性的评价技术包。注:包括评价方法和技术、评价的输入、待测量和待收集的数据以及支持规程和工具。3.1.2 评价方 e v a l u a t o r实施评价的个体或组织。3.2 缩略语下列缩略语适用于本文件。A P I:应用程序接口(A p p l i c a t i o nP r o g r a mI n t e r f a c e)
7、A R P:地址解释协议(A d d r e s sR e s o l u t i o nP r o t o c o l)D D O S:分布式拒绝服务攻击(D i s t r i b u t e dD e n i a l o fS e r v i c e)F T P:文件传输协议(F i l eT r a n s f e rP r o t o c o l)I P:互联网协议(I n t e r n e tP r o t o c o l)S Q L:结构化查询语言(S t r u c t u r e dQ u e r yL a n g u a g e)V P N:虚拟专用网络(V i r t
8、u a lP r i v a t eN e t w o r k)1G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用4 评价总体框架和评价指标4.1 评价总体框架评价总体框架应符合G B/T3 6 3 1 82 0 1 8中第6章的要求。评价总体框架应包括技术要求评价和管理要求评价。技术要求的评价包括功能实现、环境部署、使用指导三个评价模块,具体解释如下:功能实现评价模块是对第三方软件提供商进行软件功能实现,所开发的第三方软件需具备的功能进行评价;环境部署评价模块是
9、对第三方软件提供商需具备的第三方软件的部署环境进行评价;使用指导评价模块是对第三方软件提供商需提供的对第三方软件的使用指导进行评价。管理要求的评价包括经营管理和运维管理两个评价模块,具体解释如下:经营管理评价模块是对第三方软件提供商在资质、经营、服务等方面进行评价;运维管理评价模块是对第三方软件提供商需提供的对第三方软件的运维管理方面进行评价。各个评价模块由若干个评价子模块以及评价内容构成,实际评价时不限于上述评价模块、评价子模块和评价内容。4.2 评价模块和子模块表评价模块和子模块及其评价条件见表1。其中:必备项是指应对电子商务第三方软件提供商进行评价的项目;可选项是指对电子商务第三方软件提
10、供商进行评价时的项目;条件可选项是指在一定的条件下需要对电子商务第三方软件提供商进行评价的项目,比如W e b应用防护子模块,仅适用于提供W e b应用软件的第三方软件提供商。对于可选项的评价,不影响对电子商务第三方软件提供商的评价结果,会影响电子商务平台对电子商务第三方软件提供商进行选择性的数据开放。第三方软件提供商对于可选项的支持程度越高,能从电子商务平台获得的数据级别越高。表1 第三方软件提供商评价模块和子模块及其评价条件评价类别评价模块评价子模块评价条件技术要求功能实现账号体系必备项账号口令必备项会话及权限管理必备项审计管理必备项数据安全必备项环境部署服务器环境必备项数据库环境必备项管
11、理后台必备项主机系统配置必备项软件系统配置可选项基础攻击防御可选项入侵检测可选项W e b应用防护条件可选项2G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用表1(续)评价类别评价模块评价子模块评价条件技术要求使用指导系统提示必备项用户手册评价可选项管理要求经营管理资质要求必备项经营要求必备项服务管理必备项运维管理运维保障必备项漏洞管理必备项变更管理必备项应急响应必备项文档管理可选项5 评价方法和结果表示5.1 评价方法对电子商务第三方软件提供商的评价方法如下:确
12、定各子模块的评价内容,评价内容是最小评价单元;组合使用多种审查方式,对评价内容进行评价,给出评价结果;依据评价内容的评价结果,给出子模块的评价结果;依据子模块的评价结果,按照评价规则给出模块的评价结果;依据所有模块的评价结果,按照评价规则给出评价结论,并提供相应的评价报告。5.2 评价方式评价方式是对评价内容作出评价结论的主要手段,在评价过程中可使用一种评价方式,也可使用多种评价方式的结合形式。主要的评价方式有:文件审查:对所提供的审核文件的真实性和有效性进行审查,审核文件是指在第三方软件提供商评价过程中,被评价的提供商根据评价要求需提供的自我声明、相关文件、证件或证明等材料;人员访谈:对相关
13、人员,针对评价内容进行访谈;现场巡查:赴现场了解有关内容,对事实相符性进行查验;功能检查:对软件进行使用,对软件功能进行检查、核验和测试。5.3 结果表示符合评价规则要求的评价内容、评价子模块和评价模块,其结果表示为“通过”;不符合评价规则要求的评价内容、评价子模块和评价模块,其结果表示为“不通过”。评价内容不适用的情况下,不需要评价的内容结果表示为“不适用”。对于第三方软件提供商,整体的评价结论为“合格”或“不合格”。3G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT
14、 专用6 判定规则6.1 功能实现评价模块6.1.1 账号体系评价子模块6.1.1.1 评价内容账号体系为评价必备项,其评价内容包括但不限于:a)软件系统应为不同的用户分配不同的账号,确保一个用户一个账号,应禁止多人使用同一个账号;b)软件系统应及时冻结或禁用多余的、过期的用户账号,避免共享账号的存在;c)软件系统应及时清理和回收软件系统相关的开发账号、测试账号和后台管理账号及权限,如离职或转岗时;d)软件系统应维护自有账号和电子商务平台账号的对应关系;e)软件系统宜具备保护和管理平台账号安全的能力,能及时地识别账号的异常风险(包括但不限于账号被盗、暴力破解等问题),并给与及时管控;f)软件系
15、统宜在识别到用户账号存在登录异常风险时,对用户账号进行锁定一定时间,或者直到管理员启用该用户账号。6.1.1.2 评价规则与结果判定6.1.1.1 a)d)的要求为评价必备要求,同时满足a)d)的要求,则6.1.1的评价结果为通过;否则为不通过。6.1.1.1 e)、f)的要求,为评价可选要求。6.1.2 账号口令评价子模块6.1.2.1 评价内容账号口令为评价必备项,其评价内容包括但不限于:a)软件系统管理员账号的初始口令应为系统随机产生的满足口令强度要求的口令。b)软件系统应定期提醒用户对口令进行修改。c)口令强度同时满足如下要求:1)软件系统应保存加密后的口令历史,并要求新口令与前四次使
16、用的口令不同;2)口令不能为空;3)不得使用默认口令;4)口令长度至少8位以上;5)包括字母大写、字母小写、数字、特殊字符其中的三种或以上,不能使用连续字母或单纯数字,不能使用键盘上连续字符;6)不能使用与用户自身强关联(如生日、姓名)的单词。d)软件系统应提供给用户口令重置功能,口令重置的功能应经过第三方软件提供商客服人工确认或者经过“组合鉴别”通过才能生效,且重置后的口令应通过短信、邮件等用户绑定的可信任的渠道告知用户。4G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTF
17、MT 专用6.1.2.2 评价规则与结果判定6.1.2.1的要求为评价必备要求,同时满足a)d)的要求,则6.1.2的评价结果为通过;否则为不通过。6.1.3 会话及权限管理评价子模块6.1.3.1 评价内容会话及权限管理为评价必备项,其评价内容包括但不限于:a)当会话空闲超过一定的时间时,软件系统应要求用户重新验证或重新激活会话;b)软件系统应对登录软件系统的用户进行身份标识和鉴别;c)软件系统应支持对同一用户采用两种或两种以上组合的鉴别技术(口令验证、邮箱验证、短信验证等)实现用户身份鉴别;d)在执行敏感操作(口令修改或重置)或账号行为异常的情况下,软件系统应采用两种或两种以上的组合鉴别方
18、式。短信、邮箱验证可以通过发送验证信息到用户绑定的可信手机号或邮箱中,并且应对验证信息设置过期时间。6.1.3.2 评价规则与结果判定6.1.3.1的要求为评价必备要求,同时满足a)d)的要求,则6.1.3的评价结果为通过;否则为不通过。6.1.4 审计管理评价子模块6.1.4.1 评价内容审计管理为评价必备项,其评价内容包括但不限于:a)软件系统应保护所存储的日志审计记录的完整性,避免其受到未预期的删除、修改或覆盖等;b)软件系统应保存日志,并满足一定的时间期限;c)软件系统应记录和上报来自用户端的日志;d)软件系统应通过调用电子商务开放平台提供的日志A P I,记录和上报软件系统所有的登录
19、日志,包括且不限于:用户登录软件系统的日志;软件系统管理员登录管理后台的登录日志;主机端进行的系统登录;e)软件系统应通过调用电子商务开放平台提供的日志A P I,记录和上报用户通过软件系统查看、管理、导出订单的详细日志;f)软件系统应通过调用电子商务开放平台提供的日志A P I,记录和上报软件系统服务器之间的涉及订单的所有数据通信记录,包括且不限于:同软件系统内部的订单接口访问;不同软件系统之间的数据传递;g)软件系统应通过调用电子商务开放平台提供的日志A P I,记录和上报服务器端调用数据库服务的日志;h)软件系统宜通过调用电子商务开放平台提供的日志A P I,记录和上报服务器端调用电子商
20、务开放平台的日志。6.1.4.2 评价规则与结果判定6.1.4.1 a)g)的要求为评价必备要求,同时满足a)g)的要求,则6.1.4的评价结果为通过;否则为不通过。5G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用6.1.4.1 h)的要求,为评价可选要求。6.1.5 数据安全评价子模块6.1.5.1 评价内容数据安全为评价必备项,其评价内容包括但不限于:a)软件系统中涉及敏感数据(比如订单数据)的传输应进行加密传输和存储,实现系统管理数据、鉴别信息和重要业务数
21、据传输保密性;b)软件系统对用户口令应使用安全的不可逆的加密算法进行加密保存,防止特权用户获取用户口令;c)软件系统应对涉及敏感数据(比如电话号码、邮箱、电子商务平台昵称等)的展示,进行脱敏处理(模糊化、匿名处理等);d)软件系统之间的数据传递应经过电子商务开放平台,软件系统不允许将数据直接传递给不同第三方软件提供商的软件系统,不能将数据再次传递给其他软件系统使用,包括同一第三方软件提供商的不同软件标识的软件系统;e)软件系统中的数据宜部署在安全云主机内,涉及电子商务订单数据,应使用数据库进行数据存储,并且绑定内网I P白名单。6.1.5.2 评价规则与结果判定6.1.5.1 a)d)的要求为
22、评价必备要求,同时满足a)d)的要求,则6.1.5的评价结果为通过;否则为不通过。6.1.5.1 e)的要求,为评价可选要求。6.1.6 模块评价结论6.1.16.1.5为评价必备项。同时满足6.1.16.1.5,则软件功能实现的模块评价结果为通过;否则为不通过。6.2 环境部署评价模块6.2.1 服务器环境评价子模块6.2.1.1 评价内容服务器环境为评价必备项,其评价内容包括但不限于:a)软件系统所处运行环境应具备快照功能和快照回滚功能,当需要进行数据恢复时,则应根据快照进行恢复;b)应具备端口控制的功能,对服务器上的特殊用途端口进行预留,不可被占用;c)不同的服务器应被划分到不同的安全域
23、里,安全域应进行网络隔离,避免因一台服务器被入侵,所有资源面临高风险的问题;d)如果同一个第三方软件提供商有多个软件系统,第三方软件提供商应为不同的软件系统使用不同的软件标识,不同的软件系统应独立部署在不同的服务器中,确保软件系统之间是被安全隔离的。6.2.1.2 评价规则与结果判定6.2.1.1 a)c)的要求为评价必备要求,同时满足a)c)的要求,则6.2.1评价结果为通过;否则为不6G B/T3 6 3 1 62 0 1 8订单号:0100180713023225 防伪编号:2018-0713-0322-3507-4342 购买单位:YTFMTYTFMT 专用通过。6.2.1.1 d)的
24、要求,为评价可选项,仅适用于第三方软件提供商有多个软件系统的情况。6.2.2 数据库环境评价子模块6.2.2.1 评价内容数据库环境为评价必备项,其评价内容包括但不限于:a)数据库应提供数据备份的功能,保证数据库在出现问题后,数据不丢失;b)数据库应只允许内网I P连接和访问,保证网络的安全;c)数据库应禁止直接从数据库中进行数据转存,并且为了防止数据泄漏,针对大数据量的结果集获取,应限制条数;d)数据库宜具备数据库防火墙的功能,防止S Q L注入、漏洞入侵、窃取备份等数据库攻击。6.2.2.2 评价规则与结果判定6.2.2.1 a)c)的要求为评价必备要求,同时满足a)c)的要求,则6.2.
25、2评价结果为通过;否则为不通过。6.2.2.1 d)的要求,为评价可选要求。6.2.3 管理后台评价子模块6.2.3.1 评价内容管理后台为评价必备项,其评价内容包括但不限于:a)软件系统管理员应限制用户对软件系统和管理后台的登录,通过V P N拨入或者通过特定的I P登录;b)软件系统管理员应通过安全接入V P N来登录安全域内的主机和管理后台;c)软件系统的后台管理终端应设置屏幕保护程序、锁屏保护及口令保护功能;d)软件系统的后台管理终端应禁用访客账户;e)软件系统管理员应对软件系统管理员的默认账号进行重命名,并修改账号的默认口令,修改后的口令应达到一定的口令强度;f)软件系统的后台管理终
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB_T 36316-2018 电子商务平台数据开放 第三方软件提供商评价准则 36316 2018 电子商务平台 数据 开放 第三 软件 提供商 评价 准则
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。