GB/T36316-2018
电子商务平台数据开放第三方软件提供商评价准则
DataopennessforE-commerceplatform—Thirdpartysoftwareproviderevaluationcriteria
- 中国标准分类号(CCS)L67
- 国际标准分类号(ICS)35.240.99
- 实施日期2018-10-01
- 文件格式PDF
- 文本页数18页
- 文件大小1.17M
以图片形式预览电子商务平台数据开放第三方软件提供商评价准则
电子商务平台数据开放第三方软件提供商评价准则
国家标准 GB/T36316一2018 电子商务平台数据开放 第三方软件提供商评价准则 DataopennessforE-eommerceplatform- Thirdpartysoftwareproviderevaluationeriteriaa 2018-06-07发布 2018-10-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/T36316一2018 目 次 前言 范围 2 规范性引用文件 3 术语和定义、缩略语 3.1术语和定义 3.2缩略语 评价总体框架和评价指标 评价总体框架 4.1 4.2评价模块和子模块表 5 评价方法和结果表示 评价方法 5.1 5.2评价方式 结果表示 5.3 判定规则 6.1功能实现评价模块 6.2环境部署评价模块 6.3使用指导评价模块 6.4经营管理评价模块 6.5运维管理评价模块 12 6.6评价结论 14 评价报告 14 扩展原则与方法 8 14 参考文献 15
GB/36316一2018 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国电子业务标准化技术委员会(SAC/TC83)提出并归口
本标准起草单位:阿里巴巴()有限公司、标准化研究院、国家应用软件产品质量监督检验 中心、任我行网络技术有限公司、上海百胜软件股份有限公司、北京淘宝科技有限公司,友盟同欣(北京 科技有限公司、泉州市晋科技术检测有限公司、福州优之创科技有限公司、安徽艺标信息科技有限公司、 东莞快创信息科技有限公司、广东潮族实业有限公司、四川红世财智网络科技有限公司,成都口口鲜猫 信息技术有限公司
本标准主要起草人:朱红儒、李克鹏、孙旭东、张弛、邓二平、张世长、咸奎桐、王志民、隋媛、李奕飞、 叶琳、韩桃玲,贾科,杨军、陈艳军、周悦、楼莉、张啸、程东、崔从俊、安伟、董丽,罗显发、柴治、郑伟山 黄平
GB/36316一2018 电子商务平台数据开放 第三方软件提供商评价准则 范围 本标准规定了电子商务平台数据开放中的第三方软件提供商评价的总体框架和评价指标、评价方 法、结果表示,判定规则、评价报告以及扩展原则与方法 本标准适用于对电子商务第三方软件提供商进行评价
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T18811一2012电子商务基本术语 GB/T354082017电子商务质量管理术语 GB/T36318一2018电子商务平台数据开放总体要求 术语和定义、缩略语 3.1术语和定义 GB/T354082017、GB/T188112012和GB/T36318一2018界定的以及下列术语和定义适用 于本文件
3.1.1 评价模块 evaluationmodule 用于测量第三方软件提供商特性、子特性或属性的评价技术包
注:包括评价方法和技术,评价的输人,待测量和待收集的数据以及支持规程和工具
3.1.2 评价方evalwator 实施评价的个体或组织
3.2缩略语 下列缩略语适用于本文件
API:应用程序接口(ApplicationProgramInterface) ARP;地址解释协议(AddressResolutionProtocol DD0S;分布式拒绝服务攻击DistributedDenialofService FTP:文件传输协议(FileTransferProtocol P:互联网协议(InternetProtocol) sQL;结构化查询语言(StruecturedQueryLanguage) VPN;虚拟专用网络(VirtualPrivateNetwork)
GB/T36316一2018 评价总体框架和评价指标 4.1评价总体框架 评价总体框架应符合GB/T36318一2018中第6章的要求
评价总体框架应包括技术要求评价和管理要求评价
技术要求的评价包括功能实现,环境部署、使用指导三个评价模块,具体解释如下 -功能实现评价模块是对第三方软件提供商进行软件功能实现,所开发的第三方软件需具备的 功能进行评价; 环境部署评价模块是对第三方软件提供商需具备的第三方软件的部署环境进行评价 使用指导评价模块是对第三方软件提供商需提供的对第三方软件的使用指导进行评价
管理要求的评价包括经营管理和运维管理两个评价模块,具体解释如下 经营管理评价模块是对第三方软件提供商在资质、经营、服务等方面进行评价; 运维管理评价模块是对第三方软件提供商需提供的对第三方软件的运维管理方面进行评价 各个评价模块由若干个评价子模块以及评价内容构成,实际评价时不限于上述评价模块,评价子模 块和评价内容
4.2评价模块和子模块表 评价模块和子模块及其评价条件见表1
其中;必备项是指应对电子商务第三方软件提供商进行评价的项目;可选项是指对电子商务第三方 软件提供商进行评价时的项目;条件可选项是指在一定的条件下需要对电子商务第三方软件提供商进 行评价的项目,比如web应用防护子模块,仅适用于提供web应用软件的第三方软件提供商
对于可选项的评价,不影响对电子商务第三方软件提供商的评价结果,会影响电子商务平台对电子 商务第三方软件提供商进行选择性的数据开放
第三方软件提供商对于可选项的支持程度越高,能从 电子商务平台获得的数据级别越高
表1第三方软件提供商评价模块和子模块及其评价条件 评价类别 评价子模块 评价条件 评价模块 账号体系 必备项 账号口令 必备项 功能实现 必备项 会话及权限管理 审计管理 必备项 数据安全 必备项 服务器环境 必备项 技术要求 数据库环境 必备项 管理后台 必备项 主机系统配置 必备项 环境部署 软件系统配置 可选项 基础攻击防御 可选项 人侵检测 可选项 Web应用防护 条件可选项
GB/36316一2018 表1(续》 评价类别 评价条件 评价模块 评价子模块 系统提示 必备项 技术要求 使用指导 用户手册 评价可选项 资质要求 必备项 经营管理 经营要求 必备项 服务管理 必备项 运维保障 必备项 管理要求 漏洞管理 必备项 运维管理 变更管理 必备项 应急响应 必备项 文档管理 可选项 5 评价方法和结果表示 5.1评价方法 对电子商务第三方软件提供商的评价方法如下 -确定各子模块的评价内容,评价内容是最小评价单元; -组合使用多种审查方式,对评价内容进行评价,给出评价结果; -依据评价内容的评价结果,给出子模块的评价结果 依据子模块的评价结果,按照评价规则给出模块的评价结果; 依据所有模块的评价结果,按照评价规则给出评价结论,并提供相应的评价报告
5.2评价方式 评价方式是对评价内容作出评价结论的主要手段,在评价过程中可使用一种评价方式,也可使用多 种评价方式的结合形式
主要的评价方式有 文件审查;对所提供的审核文件的真实性和有效性进行审查,审核文件是指在第三方软件提供 商评价过程中,被评价的提供商根据评价要求需提供的自我声明、相关文件、证件或证明等 材料; 人员访谈;对相关人员,针对评价内容进行访谈; 现场巡查;赴现场了解有关内容,对事实相符性进行查验; 功能检查;对软件进行使用,对软件功能进行检查、核验和测试
5.3结果表示 符合评价规则要求的评价内容,评价子模块和评价模块,其结果表示为“通过”;不符合评价规则要 求的评价内容、评价子模块和评价模块,其结果表示为“不通过”
评价内容不适用的情况下,不需要评 价的内容结果表示为“不适用” 对于第三方软件提供商,整体的评价结论为“合格”或“不合格”
GB/T36316一2018 6 判定规则 6.1功能实现评价模块 6.1.1账号体系评价子模块 6.11.1评价内容 账号体系为评价必备项,其评价内容包括但不限于 软件系统应为不同的用户分配不同的账号,确保一个用户一个账号,应禁止多人使用同一个 a 账号 D软件系统应及时冻结或禁用多余的,过期的用户账号,避免共享账号的存在 软件系统应及时清理和回收软件系统相关的开发账号、测试账号和后台管理账号及权限,如离 c 职或转岗时; d 软件系统应维护自有账号和电子商务平台账号的对应关系 软件系统宜具备保护和管理平台账号安全的能力,能及时地识别账号的异常风险(包括但不限 e 于账号被盗、暴力破解等问题),并给与及时管控; 软件系统宜在识别到用户账号存在登录异常风险时,对用户账号进行锁定一定时间,或者直到 管理员启用该用户账号
6.1.1.2评价规则与结果判定 6.1.1.la)d)的要求为评价必备要求,同时满足a)d)的要求,则6.1.1的评价结果为通过;否则 为不通过
6.1.1.le),)的要求,为评价可选要求
6.1.2账号口令评价子模块 6.1.2.1评价内容 账号口令为评价必备项,其评价内容包括但不限于 软件系统管理员账号的初始口令应为系统随机产生的满足口令强度要求的口令
a b 软件系统应定期提醒用户对口令进行修改
口令强度同时满足如下要求 软件系统应保存加密后的口令历史,并要求新口令与前四次使用的口令不同 1 22 口令不能为空; 不得使用默认口令; 3 ! 口令长度至少8位以上; 5 包括字母大写、字母小写、数字、特殊字符其中的三种或以上,不能使用连续字母或单纯数 字,不能使用键盘上连续字符 6 不能使用与用户自身强关联(如生日、姓名)的单词
软件系统应提供给用户口令重置功能,口令重置的功能应经过第三方软件提供商客服人工确 d 认或着经过"组合整别"通过才能生效.且重置后的口令应通过短信-邮件等用户绑定的可信任 的渠道告知用户
GB/36316一2018 6.1.2.2评价规则与结果判定 6.1.2.1的要求为评价必备要求,同时满足a)d)的要求,则6.1.2的评价结果为通过;否则为不 通过
6.1.3会话及权限管理评价子模块 6.1.3.1 评价内容 会话及权限管理为评价必备项,其评价内容包括但不限于 a 当会话空闲超过一定的时间时,软件系统应要求用户重新验证或重新激活会话; b软件系统应对登录软件系统的用户进行身份标识和鉴别 软件系统应支持对同一用户采用两种或两种以上组合的鉴别技术(口令验证,邮箱验证、短信 验证等)实现用户身份鉴别 d 在执行敏感操作(口令修改或重置)或账号行为异常的情况下,软件系统应采用两种或两种以 上的组合鉴剔方式
短信,邮箱验证可以通过发送验证信息到用户绑定的可信手机号或邮箱 中,并且应对验证信息设置过期时间
6.1.3.2 评价规则与结果判定 6.1.3.1的要求为评价必备要求,同时满足a)d)的要求,则6.1.3的评价结果为通过;否则为不 通过
审计管理评价子模块 6.1.4 6.1.4.1评价内容 审计管理为评价必备项,其评价内容包括但不限于 软件系统应保护所存储的日志审计记录的完整性,避免其受到未预期的删除、修改或覆盖等; aa 软件系统应保存日志,并满足一定的时间期限; b) 软件系统应记录和上报来自用户端的日志; c 软件系统应通过调用电子商务开放平台提供的日志API.记录和上报软件系统所有的登录日 d 志,包括且不限于;用户登录软件系统的日志;软件系统管理员登录管理后台的登录日志;主机 端进行的系统登录; 软件系统应通过调用电子商务开放平台提供的日志API,记录和上报用户通过软件系统查看、 管理、导出订单的详细日志; 软件系统应通过调用电子商务开放平台提供的日志API,记录和上报软件系统服务器之间的 涉及订单的所有数据通信记录,包括且不限于;同软件系统内部的订单接口访问;不同软件系 统之间的数据传递 软件系统应通过调用电子商务开放平台提供的日志API,记录和上报服务器端调用数据库服 g 务的日志; 软件系统宜通过调用电子商务开放平台提供的日志API,记录和上报服务器端调用电子商务 h 开放平台的日志
6.1.4.2评价规则与结果判定 6.1.4.la)g)的要求为评价必备要求,同时满足a)g)的要求,则6.1.4的评价结果为通过;否则 为不通过
GB/T36316一2018 6.1.4.1h)的要求,为评价可选要求
6.1.5数据安全评价子模块 6.1.5.1评价内容 数据安全为评价必备项,其评价内容包括但不限于 软件系统中涉及敏感数据比如订单数据)的传输应进行加密传输和存储,实现系统管理数据 a 鉴别信息和重要业务数据传输保密性 软件系统对用户口令应使用安全的不可逆的加密算法进行加密保存,防止特权用户获取用户 b 口令, 软件系统应对涉及敏感数据(比如电话号码、邮箱、电子商务平台昵称等)的展示,进行脱敏处 理(模糊化、匿名处理等); 软件系统之间的数据传递应经过电子商务开放平台,软件系统不允许将数据直接传递给不同 d 第三方软件提供商的软件系统,不能将数据再次传递给其他软件系统使用,包括同一第三方软 件提供商的不同软件标识的软件系统 软件系统中的数据宜部署在安全云主机内,涉及电子商务订单数据,应使用数据库进行数据存 储,并且绑定内网IP白名单
6.1.5.2评价规则与结果判定 6.1.5.la)d)的要求为评价必备要求,同时满足a)d)的要求,则6.1.5的评价结果为通过;否则 为不通过
6.1.5.le)的要求,为评价可选要求
6.1.6模块评价结论 6.1.16.1.5为评价必备项
同时满足6.1.1一6.1.5,则软件功能实现的模块评价结果为通过;否则 为不通过
6.2环境部署评价模块 6.2.1服务器环境评价子模块 6.2.1.1评价内容 服务器环境为评价必备项,其评价内容包括但不限于 软件系统所处运行环境应具备快照功能和快照回滚功能,当需要进行数据恢复时,则应根据快 a 照进行恢复; 应具备端口控制的功能,对服务器上的特殊用途端口进行预留,不可被占用 b 不同的服务器应被划分到不同的安全域里,安全域应进行网络隔离,避免因一台服务器被人 侵,所有资源面临高风险的问题; 如果同一个第三方软件提供商有多个软件系统,第三方软件提供商应为不同的软件系统使用 d 不同的软件标识,不同的软件系统应独立部署在不同的服务器中,确保软件系统之间是被安全 隔离的
6.2.1.2评价规则与结果判定 6.2.1.la)e)的要求为评价必备要求,同时满足a)e)的要求,则6.2.1评价结果为通过;否则为不
GB/36316一2018 通过
6.2.1.ld)的要求,为评价可选项,仅适用于第三方软件提供商有多个软件系统的情况
6.2.2数据库环境评价子模块 6.2.2.1 评价内容 数据库环境为评价必备项,其评价内容包括但不限于 数据库应提供数据备份的功能,保证数据库在出现问题后,数据不丢失 a b 数据库应只允许内网IP连接和访问,保证网络的安全 数据库应禁止直接从数据库中进行数据转存,并且为了防止数据泄漏,针对大数据量的结果集 获取,应限制条数; d 数据库宜具备数据库防火墙的功能,防止sQL注人、漏洞人侵窃取备份等数据库攻击
评价规则与结果判定 6.2.2.2 e)的要求为评价必备要求,同时满足a)~e)的要求,则6.2.2评价结果为通过;否则为不 6.2.2.la) 通过
6.2.2.ld)的要求,为评价可选要求
管理后台评价子模块 6.2.3 6.2.3.1评价内容 管理后台为评价必备项,其评价内容包括但不限于 软件系统管理员应限制用户对软件系统和管理后台的登录,通过VPN拨人或者通过特定的 a IP登录; 软件系统管理员应通过安全接人VPN来登录安全域内的主机和管理后台; b 软件系统的后台管理终端应设置屏幕保护程序、锁屏保护及口令保护功能; c 软件系统的后台管理终端应禁用访客账户; d 软件系统管理员应对软件系统管理员的默认账号进行重命名,并修改账号的默认口令,修改后 的口令应达到一定的口令强度 软件系统的后台管理终端应制定相应的操作系统和必要应用程序的补丁管理计划,定期或不 定期的维护 软件系统的后台管理终端应仅限于执行后台管理的业务功能,终端上不得安装与该业务功能 无关的和来源不明的应用程序; 软件系统的后台管理终端应安装防病毒软件,防护范围包括但不限于病毒、特洛伊木马、蠕虫 h 病毒、间谍软件、广告软件和内核型病毒等恶意代码 软件系统管理员宜定期进行病毒库更新及全盘杀毒,防病毒软件应设置有系统全盘扫描计划 并开启病毒库的自动更新; 对于软件系统的后台管理员,第三方软件提供商宜提供详尽全面的操作指导文档如电子文档 或纸质文档),就管理员如何以安全方式使用终端进行详细而全面的说明,便于管理员查询,覆 盖内容可包括;屏幕保护,禁用访客账号,重命名默认账号、系统补丁、禁用其他应用程序,病毒 防护,病毒库更新等; k5 第三方软件提供商对于在文档中影响后台管理安全性的操作(如修改口令,更换密钥),宜明确 提示相关的风险
对于会影响软件系统正常运行的关键配置项和操作,文档中应用警告标志 标示,并明示其可能的影响
GB/T36316一2018 6.2.3.2评价规则与结果判定 6.2.3.la)~h)的要求为评价必备要求,同时满足a)~h)的要求,则6.2.3的评价结果为通过;否则 为不通过
6.2.3.1i)~k)的要求,为评价可选要求
6.2.4主机系统配置评价子模块 6.2.4.1评价内容 主机系统配置为评价必备项,其评价内容包括但不限于 主机系统管理员应在安装完成后,对默认账号进行重命名,并修改账号的默认口令,修改后的 a 口 1令应达到一定的口令强度 主机系统管理员应在安装完成后,删除临时账号和测试账号; b 数据库管理员应在完成数据库的初始化后,对数据库管理员的默认账号进行重命名,并修改账 c 号的默认口令,修改后的口令应达到一定的口令强度 数据库管理员应在安装完成后,删除数据库管理员的临时账号和测试账号; d 对于部署在主机系统上的FTP应用程序,不得开启匿名登录的功能,其FTP目录不得为操作 系统的根目录,并同时不能在wb的目录下 f 主机系统管理员宜进行安全边界的设置,使主机系统限定来自外界对边界内的主机访问,只开 放少数且必需的服务端口
6.2.4.2评价规则与结果判定 6.2.4.la)e)的要求为评价必备要求,同时满足a)e)的要求,则6.2.4的评价结果为通过;否则为 不通过
6.2.4.1f)的要求,为评价可选要求
6.2.5软件系统配置评价子模块 6.2.5.1评价内容 软件系统配置为评价可选项,其评价内容包括但不限于 软件系统宜检查并绑定访问者的昵称白名单和访问来源的IP白名单,并提供绑定白名单的 a 列表 b)软件系统宜提供黑名单的保护机制,通过黑名单来拦截非法的访问黑名单的纬度包括IP,用 户账号和终端标识
6.2.5.2评价规则与结果判定 6.2.5.la)、b)的要求,为评价可选要求 6.2.6基础攻击防御评价子模块 6.2.6.1 评价内容 基础攻击防御为评价可选项,其评价内容包括但不限于 软件系统所处运行环境宜能阻止伪造物理地址、伪造IP地址、ARP欺骗等攻击 a D)软件系统所处运行环境宜具备内外双向网络流量监控的能力;
GB/36316一2018 软件系统所处运行环境宜具备抵抗内外部网络发起的DDOS攻击的能力,当监控到某个IP 人流量超过一定阔值时,能自动进行DDos攻击流量清洗; d 软件系统所处运行环境宜具备脆弱性检测的能力,具备检测web漏洞、检测弱口令的能力
6.2.6.2评价规则与结果判定 6.2.6.la)d)的要求,为评价可选要求
6.2.7入侵检测评价子模块 6.2.7.1 评价内容 人侵检测为评价可选项,其评价内容包括但不限于 宜具备对网站后门(webshell)的查杀能力; b)宜具备异地登录告警的功能 宜具备口令暴力破解拦截能力; c 宜具备异常系统账号检测并告警的能力
d 6.2.7.2评价规则与结果判定 6.2.7.la)d)的要求,为评价可选要求
6.2.8web应用防护评价子模块 6.2.8.1评价内容 web应用防护为评价条件顶,仅适用于web应用系统的情况,其评价内容包括但不限于 宜具备sQL注人攻击防御能力, aa 宜具备网页后门上传拦截的能力 b 宜具备对扫描行为进行及时发现并告警和阻断的能力; c 宜具备针对web用户的IP设置为白名单的能力; d 宜具备代码执行攻击防护能力
e 6.2.8.2评价规则与结果判定 6.2.8.1为条件可选项,仅适用于web应用的情况
其a)e)的要求,为评价可选要求
对于非 web应用的情况,本评价项不适用
6.2.9模块评价结论 6.2.1一6.2.4为评价必备项,同时满足6.2.16.2.4的要求,则本模块的评价结果为通过;否则为不 通过
6.3使用指导评价模块 6.3.1系统提示评价子模块 6.3.1.1评价内容 系统提示为评价必备项,其评价内容包括但不限于: 软件系统应在合适的界面提示用户口令被盗的风险、使用默认口令的风险 a b 软件系统应在合适的界面提示用户使用访客账号的风险
GB/T36316一2018 软件系统应在合适的界面提示用户使用默认账号的风险 c d 软件系统宜在合适的界面提示用户不及时安装补丁的风险; 软件系统宜在合适的界面提示用户病毒感染的风险
e 6.3.1.2评价规则与结果判定 6.3.1.la)c)的要求为评价必备要求,同时满足a)c)的要求,则6.3.1的评价结果为通过;否则为 不通过
6.3.1.1d)e)的要求,为评审可选要求
6.3.2用户手册评价子模块 评价内容 6.3.2.1 用户手册为评价可选项,其评价内容包括但不限于 对于软件系统的商家用户,第三方软件提供商宜提供详尽全面的操作指导文档(如帮助文件和 a 纸质文档),便于用户查询,用于指导用户使用或配置第三方软件提供商提供的软件系统的安 全功能
第三方软件提供商在文档中应写明软件系统中所提供的安全功能介绍,对于用户影响系统安 b 全性的操作如修改口令、配置权限等),在操作时应明确提示相关的风险
对于会影响软件系 统正常运行的关键配置项和操作,文档中应用警告标志标示,并明示其可能的影响
第三方软件提供商宜告知用户对口令进行安全保护,包括检验口令强度并提示用户设置强口 令、设定口令修改默认时期,到期提示修改口令、口令不得存储在本地
第三方软件提供商宜告知用户终端的安全使用需要注意的不安全的日常使用行为和基本安全 建议,包括屏保的安全设置、操作系统的及时升级、防病毒软件的有效安装、主机防火墙的正确 配置、应用软件的下载与安装
第三方软件提供商宜告知用户移动终端的安全使用,包括设置屏幕解锁口令或图案、防病毒软 件的有效安装等
第三方软件提供商宜告知用户移动介质的安全管理,包括移动介质的安全存放,设置用户口 令等
第三方软件提供商宜告知用户互联网的安全访问的注意事项,包括但不限于;无线上网、浏览 上网、电子邮件、社交网络、即时通信、网上交易等方面
第三方软件提供商宜告知用户防止基于社会工程的欺诈,包括但不限于 h 基于人;物理的非授权访问 基于电话;呼叫者电话的欺骗 -基于电子邮件;钓鱼攻击,Email地址欺骗 基于即时通信软件;通过QQ,微信等的欺骗
6.3.2.2评价规则与结果判定 6.3.2.la)~h)的要求,为评价可选要求
6.3.3模块评价结论 6.3.1为评价必备项
满足6.3.1的要求,则本模块的评价结果为通过;否则为不通过
10
GB/36316一2018 6.4经营管理评价模块 6.4.1资质要求评价子模块 6.4.1.1评价内容 资质要求为评价必备项,其评价内容包括但不限于 a 第三方软件提供商应拥有真实将有效的经营资格证书,统一社会信用代码证明 b 第三方软件提供商应通过电子商务平台的实名认证; c 第三方软件提供商应具有开发者身份,应拥有独立的运营和技术团队; d 第三方软件提供商应登记其服务信息 第三方软件提供商应与电子商务平台签署人驻协议,并应缴纳人驻保证金 e f 第三方软件提供商应拥有对接电子商务平台的能力; 第三方软件提供商应按需配合电子商务开放平台部署安全保障的工具和软件
g 6.4.1.2评价规则与结果判定 6.4.1.la)一g)为评价必备要求,同时满足a)一g>,则6.4.1的评价结果为通过,否则为不通过 6.4.2经营要求评价子模块 6.4.2.1评价内容 经营要求为评价必备项,其评价内容包括但不限于 第三方软件提供商在电子商务开放平台所申请的软件标识不得转让给他人使用 a b) 第三方软件提供商不得未经用户授权,获取用户隐私数据(如地址、电话、购买记录等) 第三方软件提供商发布的应用应具备完整的服务协议,应用详情的描述应详细清楚,无不良内 co 容,无虚假广告; 第三方软件提供商发布的应用不允许获取店铺访客标识 d 第三方软件提供商发布的应用功能未经用户授权和电子商务平台官方允许,不得主动骚扰 买家 同一第三方软件提供商不允许重复提交相同功能应用上线
fD 6.4.2.2评价规则与结果判定 6.4.2.la)f)为评价必备要求,同时满足a)f),则6.4.2的评价结果为通过,否则为不通过
6.4.3服务管理评价子模块 6.4.3.1评价内容 服务管理为评价必备项,其评价内容包括但不限于: 第三方软件提供商应按照服务承诺的约定向商家提供服务 aa b)第三方软件提供商与商家就其已发布的应用达成购买意向后,不得引导商家在后服务市场之 外进行交易,不得以任何手段逃避后服务市场线上交易流程
6.4.3.2评价规则与结果判定 6.4.3.la),b)为评价必备要求,同时满足a),b),则6.4.3的评价结果为通过,否则为不通过
1
GB/T36316一2018 6.4.4模块评价结论 6.4.1、6.4.2和6.4.3为评价必备项
同时满足6.4.1、6.4.2和6.4.3的要求,则本模块的评价结果为 通过;否则为不通过
6.5运维管理评价模块 6.5.1运维保障评价子模块 6.5.1.1评价内容 运维保障为评价必备项,其评价内容包括但不限于 第三方软件提供商应将相关人员(开发、测试、运维、管理等)的安全职责到电子商务平台进行 a 报备 b) 第三方软件提供商应指定专职的安全负责人作为与电子商务平台安全团队的安全接口人,定 期保持安全联络和沟通; 第三方软件提供商的相关人员(开发、测试,运维、管理等)应签订数据安全责任书 d 第三方软件提供商应至少每年执行一次安全自查,并在环境发生重大变更时(例如收购.合并 迁址等)不定期地对线上软件系统执行安全评估,根据安全评估执行相应操作(如补丁管理、软 件升级、系统加固等),并将该安全评估结果和安全整改情况通报给评估方; 第三方软件提供商宜对相关人员(开发、测试、运维、管理等)每年进行至少一次的安全意识教 育,并对安全教育和培训的情况和结果进行记录并归档保存 第三方软件提供商宜建立和文档化其必要的安全制度和操作流程,并要求相关人员(开发,测 试,运维、管理等)每年至少一次 人自己已经阅读并了解公司的安全要求和制度流程 确 订 软件系统含前后台)宜附有详细的列表,列明软件系统应使用的系统服务和通信端口,且应仅 g 开放软件系统运行所必需的系统服务和通信端口
6.5.1.2评价规则与结果判定 6.5.l.la)d)为评价必备要求,同时满足a)d)的要求,则6.5.l的评价结果为通过,否则为不 通过
6.5.1.le)g)为评价可选要求
6.5.2漏洞管理评价子模块 6.5.2.1评价内容 漏洞管理为评价必备项,其评价内容包括但不限于: 在软件系统上线运行前,第三方软件提供商应对前后台系统执行漏洞扫描,保证上线软件系统 a 不存在漏洞,并将扫描结果提交给电子商务平台
b第三方软件提供商应对漏洞进行跟踪管理,并及时进行修复 第三方软件提供商发现自研软件系统、操作系统及所用到的相关第三方应用程序/代码组件中 c 存在安全漏洞时,应及时向电子商务平台通报
任何情况下,均不应在生产环境下尝试验证 弱点
第三方软件提供商宜提供给电子商务平台渗透测试报告
d 6.5.2.2评价规则与结果判定 6.5.2.la)c)的要求为评价必备要求,同时满足a)~e)的要求,则6.5.1的评价结果为通过,否则为 12
GB/36316一2018 不通过
6.5.2.1d)的要求为评价可选要求
6.5.3变更管理评价子模块 6.5.3.1评价内容 变更管理为评价必备项,其评价内容包括但不限于: 第三方软件提供商应识别软件系统开发和运维中的主要变更需求,并制定相关的变更方案 a b)第三方软件提供商宜建立相关的变更流程和审批机制 当相关系统变更时,第三方软件提供商宜向所有相关人员(开发、测试、运维、管理等)通告;实 c 施变更时,应进行记录且应妥善保存这些记录
6.5.3.2评价规则与结果判定 6.5.3.la)为评价必备要求,满足a)的要求,则6.5.3的评价结果为通过,否则为不通过
6.5,3.lb)、c)为评价可选要求
6.5.4应急响应评价子模块 6.5.4.1 评价内容 应急响应为评价必备项,其评价内容包括但不限于 第三方软件提供商应制定安全事件报告和处置管理制度,明确安全事件的现场处理、事件报告 a 和后期恢复的角色职能及处理流程 b 第三方软件提供商应建立负责线上应急响应的团队,明确安全事件响应的角色和责任人员/ 组织; 第三方软件提供商宜制定有应急响应计划(突发安全事件预案),并定期演练; 第三方软件提供商宜监控相关软件程序的安全漏洞和威胁情报,及时修复软件系统及相关支 撑系统的安全漏洞; 第三方软件提供商宜记录和保存所有报告中的安全弱点和可疑事件,分析事件原因,监督事态 发展,并采取措施避免安全事件发生
6.5.4.2评价规则与结果判定 6.5.4.la)、b)的要求为评价必备要求,同时满足a)、,b)的要求,则6,5.4的评价结果为通过,否则为 不通过
6.5.4.1的c)~e)为评价可选要求
6.5.5文档管理评价子模块 6.5.5.1评价内容 文档管理要求为评价可选项,其评价内容包括但不限于 a 第三方软件提供商宜针对软件系统的不同版本,宜交付规范的软件系统设计文档给电子商务 平台; b 第三方软件提供商宜具备全面详尽的安全功能设计规格文档,阐明系统各安全功能的基本实 现原理及相关的设计规格; 第三方软件提供商的软件系统开发过程宜包括有安全活动的实施,如安全需求分析,安全设 13
GB/T36316一2018 计、安全开发、安全测试等
6.5.5.2评价规则与结果判定 6.5.5.1a)e)的要求为评价可选要求
6.5.6模块评价结论 6.5.16.5.4为评价必备项,6.5.16.5.4评价子模块评价结论全部为通过,则本模块的评价结果 为通过
6.6评价结论 必备项(见6.1~6.5)评价结论全部为通过,则对第三方软件提供商的评价结果为合格
对于评价可选项的评价结果,不影响对第三方软件提供商的整体评价结果,仅作为电子商务平台对 第三方软件提供商进行选择性数据开放时的依据
评价报告 评价报告应由基本信息、第三方软件提供商概要,评价内容与结果判定、差距分析,证明材料和审核 文件、评价结论六部分组成
基本信息应包括第三方软件提供商名称、被评价第三方软件提供商地址、评价日期、评价人员、评价 结果等信息
第三方软件提供商概要应包括被评价的第三方软件提供商类型等基础信息以及财务状况等能够说 明其状况的信息
评价内容和结果判定应包括功能实现、环境部署、使用指导、经营管理和运维管理五个评价模块的 评价内容、证据描述和对应的结果, 差距分析应对第三方软件提供商评价过程中发现的,对审核要求而言存在的差距进行说明,并提出 需改进的方面
证明材料和审核文件应包括被评价的第三方软件提供商所提供的证明材料,和用于审核的文件,来 证明第三方软件提供商对于评价内容的满足情况
评价结论应给出“合格”或“不合格”的最终结论
扩展原则与方法 本标准使用过程中,评价模块、评价子模块和评价内容可根据不同类别第三方软件提供商的业务特 点和不同的评价需要进行扩展,扩展内容(评价模块、子模块和评价内容)不应与已有内容冲突
扩展方法如下 -增加评价模块,应相应增加本模块下的评价子模块和评价内容 -增加现有模块下的子模块,应相应增加本子模块下的评价内容 -增加子模块下评价内容 增加评价模块、子模块和评价内容后,评价规则应做适当调整,但不应与现有评价规则冲突
14
GB/36316一2018 考文 参 献 [1]GB/T20271一2006信息安全技术信息系统通用安全技术要求 [[2]GB/T22239一2008 信息安全技术信息系统安全等级保护基本要求 [3]GB/T25000.1一2010软件工程软件产品质量要求与评价(sQuaRE)sQuaRE指南 [4]GB/T25069一2010 信息安全技术术语
电子商务平台数据开放第三方软件提供商评价准则GB/T36316-2018解读
一、准则背景
电子商务平台数据开放是指电子商务平台向第三方软件提供商开放其运营数据和接口,以便第三方软件提供商基于这些数据和接口开发出符合市场需求的各类应用程序,从而为电子商务平台用户提供更丰富、更多样化的服务。
然而,在实践过程中,由于第三方软件提供商的技术水平、管理能力等方面存在差异,导致他们所开发的应用程序在使用效果、安全性等方面存在风险。因此,为了维护电子商务平台用户的权益,规范第三方软件提供商的行为,保障电子商务平台生态的健康发展,国家标准化管理委员会于2018年颁布了《电子商务平台数据开放第三方软件提供商评价准则GB/T36316-2018》。
二、准则主要内容
《电子商务平台数据开放第三方软件提供商评价准则GB/T36316-2018》主要包括以下内容:
1. 规定了基本术语和定义;
2. 确定了第三方软件提供商的分类和评价等级;
3. 确定了评价指标和评估方法;
4. 详细说明了评价过程和结果的公示;
5. 给出了实施建议。
三、准则意义
《电子商务平台数据开放第三方软件提供商评价准则GB/T36316-2018》的颁布,对于促进电子商务平台数据开放和第三方软件提供商的发展具有积极作用。一方面,该准则规范了第三方软件提供商的行为,保障了电子商务平台用户的权益,增强了他们对电子商务平台的信任度;另一方面,该准则为第三方软件提供商提供了公平竞争的环境,促进了他们的技术创新和管理能力提升。
总之,《电子商务平台数据开放第三方软件提供商评价准则GB/T36316-2018》的出台标志着我国对于电子商务平台数据开放和第三方软件提供商管理的正式规范化,有助于推动电子商务产业的健康、快速发展。
