信息安全保障

第一章 目的和依据

为规范数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，保障会员个人信息、订单信息的安全，防止信息泄露，根据国家法律法规，制定本要求。所有的供应商/入驻商家/承运商等合作方，需遵守以下信息安全基本要求。

第二章 适用范围

1、应用系统：所有调用、处理或存储会员信息、订单信息的应用系统，如ERP、CRM、进销存、客服系统等。

2、主机：所有访问、处理或存储会员信息、订单信息的电脑终端和服务器，如订单导出终端、订单打印终端，客服办公电脑等。

3、会员数据：包括会员的个人信息和订单信息，如手机号码、收件人姓名、收件地址、订单的商品列表等。

第三章 安全要求

3.1 应用系统

3.1.1 账号管理

3.1.1.1落实一人一账号，禁止账号多人共享，禁止多账户使用相同密码；

3.1.1.2 开启密码复杂度要求设置，密码长度不低于8位，包含大写字母、小写字母、数字、特殊字符的三种或以上组合；

3.1.1.3开启密码有效期设置，要求每90天更换一次密码；

3.1.1.4离职人员账号须在离职当天进行禁用。

3.1.2 访问控制：

3.1.2.1 对账号权限进行分组管理，根据账号角色分配系统权限；

3.1.2.2对于会员数据的查看、查询、打印、导出等权限，根据实际工作需求以最小化原则分配。

3.1.3 日志审计：

3.1.3.1具备日志审计功能，对信息的查看、查询、打印、导出等操作进行记录；

3.1.3.2操作日志需保存90天以上。

3.2主机

恶意代码防护：安装防病毒软件，并确保病毒库版本实时更新。

3.3 会员数据

3.3.1 数据处理使用：数据处理使用须符合国家有关标准，采用数据分类、备份、加密等措施加强对会员信息和重要数据的保护。

3.3.2 数据传输与存储

3.3.2.1禁止将会员数据存储在境外；

3.3.2.2禁止将会员数据传输流量路由到境外；

3.3.2.3因业务需求而临时存储在主机上的会员数据，需定期（不超过30天）进行删除。

3.3.3 数据安全监督：如发生会员数据泄露的安全事件，立即采取补救措施。