第一条 为了规范苏宁云台商家收集和使用数据信息行为,提升商家信息安全保护意识,维护苏宁易购用户的合法权益,依据《苏宁云台服务协议》《商家管理规范总则》,制定本规范。
第二条 本规范适用于所有入驻苏宁云台的商家和服务商(本规范统称“商家”)。
第三条 苏宁云台商家应当依据《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规做好网络信息安全保护工作,通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,遵循目的明确、选择同意、公开透明、最少必要等原则收集和使用个人信息,不违法、违约收集和使用数据信息,保障数据信息的完整性、保密性、合法性。
第四条 苏宁云台关于信息安全的规则细则有其他规定的,从其规定;未有规定的,按照本规范执行。
第五条 本规范主要从商家管理角度,为商家提供信息安全管理建议。对于从苏宁云台及相关渠道(如星河云)获取的数据信息,商家无论是否在苏宁云台经营,均应履行本规范要求的信息安全保护义务。
第六条 加强员工安全意识教育
1、商家应当在内部对员工进行安全意识教育,根据商家特性整理出适合商家特质的信息安全资料文档,并在商家内部进行宣讲,强调网络安全的重要性;保管好商家自身及客户的账号信息、个人信息等,防止被内部员工私自收集、泄露。
2、商家应当定期开展培训活动和学习计划,为员工进行案例分析讲解,加强员工的安全意识和守法意识,避免被不法分子利用,造成信息安全事件。
3、商家应制定网络安全事件应急预案,明确反馈及处理流程,并定期进行演练。
4、商家应当从自身做起抵制打击电信诈骗黑色产业链,杜绝非法数据交易、拒绝刷单等非法行为,建设更加安全的网络环境。
第七条 注重权限安全管理
1、商家应当结合自身业务需要,在保证一个人对应只使用一个账号的前提下,仅创建适当数量的子账号。每个账号和子账号均应按照最小权限原则,根据使用人员的业务需要,仅分配需要使用的权限。严禁大量账号同时具有查看订单、物流信息等敏感操作的权限,避免多人共用一个账号的情况。
2、针对新入职的员工,建议为其新建专用账号,供其熟悉业务,短期内避免其接触或操作敏感数据(订单、售后等)的账号。
3、针对已离职员工,在其离职后,务必立即删除或停用其账号及权限。
4、针对作业环境,建议仅允许员工在办公网络环境下作业,尽可能避免离开工作场所在网吧等公共网络环境中操作或在私密网络环境中作业。
第八条 进行账号与密码安全管理
1、正常情况下,严禁以任何形式将账号共享给内部/外部人员。若相关人员有使用账号需要,可结合其需求为其单独创建账号,并分配所需的权限。
2、任何情况下,严禁将商家后台账号、密码、验证码告知他人,切勿随意点击不明链接,切勿扫描来历不明的二维码,更不要登录赌博、色情等非法网站或者暗网。
3、密码设置应具有安全性、保密性,密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。切勿使用明显有规律性的密码,如“123”、“abc”、“qwert”等;密码不能包含具有特殊意义的字符串,切勿使用用户名/店铺名/生日/姓名等作为密码的全部或一部分;密码应尽量同时包含大小写字母、数字、特殊符号等。各应用系统密码应定期进行更换,如至少3个月更换一次密码,降低密码泄露的风险,如发现或怀疑密码遗失或泄露应立即修改。
4、避免因为便利,将账号及密码存储于word或文本文档,放置于公用电脑中;商家应当定期修改账号密码。
第九条 严格落实敏感数据安全管理
1、非因必要,不得随意导出订单数据,且避免将包含数据的EXCEL等文档直接存在公用电脑上。对已导出的不需要再使用的数据,需及时删除或匿名化处理。
2、如有业务需要,需将携带敏感信息(订单、售后)的文档或EXCEL表格等数据传输至他人,需将文档使用压缩包加密后,再进行发送传输。压缩包使用的密码应尽量复杂,避免诸如123456、admin等弱密码。
3、在任何情形下,严禁将订单信息,用户联系方式等通过QQ群、微信群发送给物流或其他人。且商家内部使用的QQ群、微信群等,需要有严格的加群审核与管控,避免除商家履行相应职责的工作人员以外的人员加群。
第十条 加强文件安全管理
1、商家所有人员不得私自将办公文件打印带出办公区;一经发现,商家应当严肃处理。若上班时间打印涉及订单、物流、售后或者其他带有敏感数据信息的文件,需即刻在打印机处等候文件的打印,打印完成后马上取走;若因文件打印时有其他紧急事件,应通知本企业/部门人员代为领取。禁止一切打印后未及时取走文件的行为。
2、重要的文件和工作资料不得允许工作人员保存在C盘(含桌面),同时定期做好备份,以防丢失;拷贝/下载至公共计算机上的重要资料,使用完毕应当立即删除;涉及机密或重要信息的文件,所有人员需进行必要的密码加密,并妥善保管。
3、严禁任何人员以个人所有的光盘、U盘、移动硬盘等外接设备将商家文件资料带离办公区;若因出差等原因需要拷贝资料到存储设备中,需向上级请示批准,并以企业内部办公存储设备做文件拷贝。
第十一条 软件安全管理
1、商家及工作人员使用的软件应从正规途径进行下载和更新,使用正版软件,根据工作内容的必要性严格控制软件的下载数量和类型。日常办公中,严禁运行未经检验和来历不明的软件,确保常用软件从官方途径进行下载和更新,不使用不可信的软件。
2、从接收订单至商品签收的整个过程中,尽量避免使用未经安全认证的第三方插件、防止被不法分子通过技术手段获取客户信息,如有必要,请及时更换合作的第三方公司。
3、办公用途的计算机(电脑、手机等)未经允许不得安装与各自业务无关的软件、严禁安装各种游戏软件,不准使用未经查毒处理的存储介质,如光盘、U盘、软盘、移动硬盘等。工作人员禁止使用办公电脑访问不良、非法网站。登陆商家后台的电脑,严禁用于其他用途,不得轻易点击任何人发来的不明信息或链接。
4、商家应指定专人进行计算机病毒和网络攻击的防范工作,安装安全防护类软件,定期进行计算机病毒检查和漏洞扫描,发现病毒和数据安全隐患等安全问题的,要及时处理和上报。
第十二条 重视计算机设备安全管理
1、工作人员应当使用公司提供的计算机设备(特殊情况需经过审批),不得私自调换及拆卸,并保持清洁、安全、良好的计算机设备工作环境。
2、工作人员应当严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。当计算机出现故障时应及时向公司报告,不允许私自处理和维修。
3、工作人员对所使用计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质须谨慎、安全保管。未经许可,不得私自使用他人设备或者允许他人操作设备。
4、如计算机及相关设备外送维修,须经企业内有关部门负责人审批,并做好数据信息的安全防范措施,防止数据泄露。
第十三条 制定应急响应预案,及时有效采取处理措施
1、商家应当制定网络信息安全事件应急响应预案,并定期演练。
2、商家如遇到信息安全事件(如账号被盗、信息泄露、用户被骗等),务必第一时间按照上述要求进行自查,并紧急采取止损措施(包括但不限于在24小时内对潜在受害群体进行安全提醒、在相应商品/店铺页面增加安全提醒、对集中受影响的商品进行紧急下架等)。同时,商家务必及时联系苏宁服务市场或星河平台运营人员,反馈事件信息,并配合苏宁运营人员进行事件的调查和处理,按要求提供相应的资料。
第十四条 违规处理
对于违反本规范要求的商家,苏宁易购有权按照以下条款进行处理:
1、苏宁云台已明确公示相应违规行为和处理措施的,将按照平台规则进行处理,如盗用他人账户、骗取他人财物、滥发信息等。
2、苏宁云台尚未明确公示相应违约行为和处理措施的,将采取临时下架、屏蔽、删除等措施,并要求商家限期整改;限期整改不到位的,将予以清退。
3、情节严重的,除采取上述措施外,将移送公安、信息安全管理等部门处理。
第十五条 附则
1、本规则于2020年8月17日发布并公示7日。公示期间,征求相关意见。公示期满如无修改,则于2020年8月24日,随时调整本规范并依法向商家进行公示。
3、商家应遵守国家法律、行政法规、部门规章等规范性文件。对任何涉嫌违反国家法律、行政法规、部门规章等规范性文件的行为,本规范已有规定的,适用于本规范,本规范尚无规定的,依照法律法规处理。商家依据相关规则承担的相关责任并不免除其应承担的法律责任。商家在苏宁易购的任何行为,应同时遵守与苏宁易购及其关联公司所签订的各项协议。
