安全与合规
安全与合规,根植于平台核心。
Coshine 以安全为先,处理环境对齐被广泛认可的支付安全与信息安全标准。
六大控制域,建立在国际公认的支付安全标准之上。
项目与认证
PCI DSS
支付卡行业数据安全标准 — Level 1 服务提供商范围。
PCI 3DS
3-D Secure 核心安全标准,用于 ACS 与 3DS Server 运行。
PCI PIN
PIN 安全标准,用于处理 PIN 数据的环境。
ISO/IEC 27001
覆盖支付处理运营的信息安全管理体系认证。
等保三级(MLPS 3)
中国信息系统安全等级保护三级 — 适用于中国大陆运营环境。
独立审计
年度第三方评估与卡组合规复核。
安全控制
- 持卡人数据环境与办公网络隔离
- 传输加密(TLS 1.2+)与静态加密(AES-256)
- HSM 支撑的密钥管理,有明确轮换流程
- 基于角色的访问控制,特权路径强制多因子
- 集中式审计日志,留存与防篡改归档
- 7×24 监控与事件响应,有明确 SLA
- 漏洞管理与定期渗透测试
- 供应商安全审查与子处理方管理
年度审计与评估日历
| 项目 | 节奏 | 评估方类型 | 窗口 |
|---|---|---|---|
| PCI DSS Level 1 | 年度 | 外部 QSA(合格安全评估师) | Q1 |
| PCI DSS 网络扫描 | 季度 | 外部 ASV(认可扫描厂商) | Q1 / Q2 / Q3 / Q4 |
| PCI 3DS | 年度 | 外部 QSA-3DS | Q2 |
| PCI PIN | 年度 | 外部 QPA(合格 PIN 评估师) | Q2(视范围) |
| ISO/IEC 27001 监督 | 年度 | 认可认证机构 | Q3 |
| ISO/IEC 27001 复证 | 3 年一周期 | 认可认证机构 | 第 3 年(全面复审) |
| 等保三级(中国部署) | 年度 | 公安部授权评估机构 | 按监管节奏 |
| 渗透测试 | 年度 + 重大变更 | 独立 CREST/OSCP 资质机构 | 持续计划 |
事件响应 — 实际发生什么
1. 检测
7×24 监控告警覆盖可用性、延迟异常、认证失败与安全信号。各信号类的检测时间目标低于客户可见阈值。
2. 分诊
P1 值班工程师 15 分钟内确认。初始严重度分级、影响半径评估与客户影响估算在前 30 分钟内完成。
3. 控制
先稳住平台,再调查。运维手册涵盖卡组侧切换、依赖降级、区域容量转移、问题路径隔离。
4. 恢复
把服务恢复到名义状态。P1 客户对外沟通固定节奏:宣告后 1 小时内首报、每 2 小时更新、解除后 30 分钟内闭环通知。
5. 事后复盘
5 个工作日内 blameless post-mortem。重大事件向受影响客户发执行摘要;纠正措施带责任人与截止日跟踪到关闭。
常见问题
签 MNDA 后能拿到 AoC 吗?
可以。MNDA 落地后我们可提供当前的 PCI DSS Attestation of Compliance、ISO 27001 证书与相关范围声明。SOC 报告不在我们当前计划内 — 我们走 ISO/IEC 27001 路线。
Coshine 是 PCI DSS 下的 Service Provider 吗?
是。Coshine 在相关部署中以 Level 1 服务提供商身份运营。范围与 SP 义务因合约而异,写明于服务协议。
持卡人数据存在哪里?
存于持卡人数据环境内,HSM 支撑密钥静态加密,在批准的可用性边界内复制。未经书面指示,持卡人数据不离开合约约定区域。
能支持我们国家的数据驻留要求吗?
可能。取决于 Coshine 是否在你方范围内运营在地环境,或你方银行托管 CDE 而 Coshine 运营应用层。两种拓扑都支持;正确选择因项目而异。
漏洞披露怎么处理?
邮件 security@coshine.com(信任 > 漏洞披露页提供 PGP key)。1 个工作日内首次确认;遵循协调披露规范,得披露方同意可署名。
对接触 CDE 的员工做背景调查吗?
做。对持卡人数据环境有特权访问的人员入职做背景核查,并按既定节奏复核,范围符合当地劳动法。
如何管理第三方 / 子处理方风险?
维护子处理方清单(含目的、地点、安全姿态);每个上线前做安全审查,并按周期复审。重大变更按合约通知受影响客户。
关于适用范围
具体认证与资质适用于评估报告中描述的实体、环境与服务。Coshine 不声称未参加评估的认证,也不表示任何产品满足全球每一项监管要求。项目层面的合规范围以你的服务协议为准。
