本文档适用对象为系统平台或终端接入中国银联的第三方机构。这里的“第三方机构”是指受中国银联成员机构委托，为中国银联成员机构收单和发卡业务提供终端运营、接入渠道、系统运营等服务的机构，包括为其他成员机构提供服务的成员机构。第三方机构分为业务涉及银联卡账户信息的处理、传输或存储和业务不涉及银联卡账户信息的处理、传输或存储的两类。前者简称为涉及账户信息类，后者简称为不涉及账户信息类。

1    概述    - 2 -
2    第三方机构接入强制性安全要求    - 3 -
2.1    机房安全要求    - 3 -
2.2    网络安全要求    - 3 -
2.3    受理银联卡终端安全要求    - 5 -
2.4    主机系统安全要求    - 5 -
2.5    应用系统安全要求    - 6 -
2.6    托管设备在银联机房的安全要求    - 6 -
2.7    账户信息安全和密钥管理要求    - 7 -
3    第三方机构技术安全指导性要求    - 9 -
3.1    安全管理    - 9 -
3.2    机房安全    - 9 -
3.3    网络安全    - 10 -
3.4    系统与应用安全    - 10 -
3.5    恶意代码防护    - 11 -
3.6    账户信息和密钥管理    - 11 -
3.7    应急预案、数据备份和业务持续性计划    - 11 -
4    对第三方机构的接入审核和日常管理    - 13 -
4.1    第三方机构提出接入申请    - 13 -
4.2    中国银联进行接入审核    - 13 -
4.3    中国银联日常监控和评估    - 13 -
4.4    重大变更和重大安全事件后的报告流程    - 14 -
4.5    现场安全评估    - 14 -
附件1：各类现有的接入方式    - 15 -
附件2：使用VPN接入的安全建议    - 16 -
附件3：第三方机构接入安全的符合性自评估表    - 18 -