座标广东深圳. 要做安全风险评估.
广东这边获得安全风险评估资质的就 3 家: 总名单在这里
http://www.cace-ns.org.cn/pdzx_3907/fxpg/xxgg/index.html我们要做 2 级评测, 这是我从评测公司那边拿到的要准备的信息
业务日志: 应包含如下:
业务日志包括:用户登录、注册、修改登录密码、找回登录密码、修改交易密码、找回交易密码、注销、绑定/修改个人认证信息(身份证、银行卡、手机号码、邮件)、交易记录(订单记录、投资记录)等。
后台管理的日志必须包含除查询外的所有日志(覆盖以下内容:登录、修改密码、修改用户信息、发标等)
业务日志的格式:用户名/管理员 ID 、时间、 IP 、操作模块、动作、结果(成功、失败、异常)、备注等
业务日志中不能包含敏感信息(如有,必须模糊处理),保留期限需大于 180 天,需要以 web 页面的形式展示,可以根据对应的用户名/管理员 ID ,时间、操作模块、结果等进行组合搜索
业务日志存储位置:
文件:需限制只能写入和读取,并且除指定账号外,其它账号不能访问
数据库:需设置权限只有读取和插入
业务日志和非法关键字过滤系统的账号给管局外部访问用。(给通管局查询