Coshine

安全与合规

安全与合规,根植于平台核心。

Coshine 以安全为先,处理环境对齐被广泛认可的支付安全与信息安全标准。

EncryptionTLS 1.2+ in transit · AES-256 at restKey managementHSM-backed · documented rotationAccess controlRBAC · MFA on privileged pathsAudit loggingCentralized · tamper-evident archiveMonitoring24×7 · SLA-defined responseSegmentationCDE isolated from corporate networkPROGRAMS & STANDARDSSTANDARDPCI DSSSTANDARDPCI 3DSSTANDARDPCI PINSTANDARDISO/IEC 27001STANDARDMLPS Level 3STANDARDIndependent audit

六大控制域,建立在国际公认的支付安全标准之上。

项目与认证

PCI DSS

支付卡行业数据安全标准 — Level 1 服务提供商范围。

PCI 3DS

3-D Secure 核心安全标准,用于 ACS 与 3DS Server 运行。

PCI PIN

PIN 安全标准,用于处理 PIN 数据的环境。

ISO/IEC 27001

覆盖支付处理运营的信息安全管理体系认证。

等保三级(MLPS 3)

中国信息系统安全等级保护三级 — 适用于中国大陆运营环境。

独立审计

年度第三方评估与卡组合规复核。

安全控制

  • 持卡人数据环境与办公网络隔离
  • 传输加密(TLS 1.2+)与静态加密(AES-256)
  • HSM 支撑的密钥管理,有明确轮换流程
  • 基于角色的访问控制,特权路径强制多因子
  • 集中式审计日志,留存与防篡改归档
  • 7×24 监控与事件响应,有明确 SLA
  • 漏洞管理与定期渗透测试
  • 供应商安全审查与子处理方管理

年度审计与评估日历

项目节奏评估方类型窗口
PCI DSS Level 1年度外部 QSA(合格安全评估师)Q1
PCI DSS 网络扫描季度外部 ASV(认可扫描厂商)Q1 / Q2 / Q3 / Q4
PCI 3DS年度外部 QSA-3DSQ2
PCI PIN年度外部 QPA(合格 PIN 评估师)Q2(视范围)
ISO/IEC 27001 监督年度认可认证机构Q3
ISO/IEC 27001 复证3 年一周期认可认证机构第 3 年(全面复审)
等保三级(中国部署)年度公安部授权评估机构按监管节奏
渗透测试年度 + 重大变更独立 CREST/OSCP 资质机构持续计划

事件响应 — 实际发生什么

1. 检测

7×24 监控告警覆盖可用性、延迟异常、认证失败与安全信号。各信号类的检测时间目标低于客户可见阈值。

2. 分诊

P1 值班工程师 15 分钟内确认。初始严重度分级、影响半径评估与客户影响估算在前 30 分钟内完成。

3. 控制

先稳住平台,再调查。运维手册涵盖卡组侧切换、依赖降级、区域容量转移、问题路径隔离。

4. 恢复

把服务恢复到名义状态。P1 客户对外沟通固定节奏:宣告后 1 小时内首报、每 2 小时更新、解除后 30 分钟内闭环通知。

5. 事后复盘

5 个工作日内 blameless post-mortem。重大事件向受影响客户发执行摘要;纠正措施带责任人与截止日跟踪到关闭。

常见问题

签 MNDA 后能拿到 AoC 吗?

可以。MNDA 落地后我们可提供当前的 PCI DSS Attestation of Compliance、ISO 27001 证书与相关范围声明。SOC 报告不在我们当前计划内 — 我们走 ISO/IEC 27001 路线。

Coshine 是 PCI DSS 下的 Service Provider 吗?

是。Coshine 在相关部署中以 Level 1 服务提供商身份运营。范围与 SP 义务因合约而异,写明于服务协议。

持卡人数据存在哪里?

存于持卡人数据环境内,HSM 支撑密钥静态加密,在批准的可用性边界内复制。未经书面指示,持卡人数据不离开合约约定区域。

能支持我们国家的数据驻留要求吗?

可能。取决于 Coshine 是否在你方范围内运营在地环境,或你方银行托管 CDE 而 Coshine 运营应用层。两种拓扑都支持;正确选择因项目而异。

漏洞披露怎么处理?

邮件 security@coshine.com(信任 > 漏洞披露页提供 PGP key)。1 个工作日内首次确认;遵循协调披露规范,得披露方同意可署名。

对接触 CDE 的员工做背景调查吗?

做。对持卡人数据环境有特权访问的人员入职做背景核查,并按既定节奏复核,范围符合当地劳动法。

如何管理第三方 / 子处理方风险?

维护子处理方清单(含目的、地点、安全姿态);每个上线前做安全审查,并按周期复审。重大变更按合约通知受影响客户。

关于适用范围

具体认证与资质适用于评估报告中描述的实体、环境与服务。Coshine 不声称未参加评估的认证,也不表示任何产品满足全球每一项监管要求。项目层面的合规范围以你的服务协议为准。

需要合规材料?