5. Tiêu chuẩn bảo mật
Thông tin chung
- Dành cho đối tác tích hợp Miniapp lên Marketplace eMB
| Mức độ | Tiêu chí | Check | |
|---|---|---|---|
| A Có thể chia sẻ thêm các thông tin khác tùy chọn theo đối tác. | Mã hóa đường truyền mạng, sử dụng TLS 1.2 trở lên cho kết nối client – server, server – server MB. | ||
| Thiết lập expireTime tối đa 5 phút cho token khi xác thực với người dùng, có cơ chế refresh token. Token xác thực này được tạo dựa trên token PaymentHub cung cấp, đảm bảo tính duy nhất của tài khoản người dùng trên Miniapp. Nếu sử dụng jwt làm token xác thực, mã hóa trường payload của token này Không sử dụng HTTP Basic Authentication | |||
| Biên bản rà quét lỗ hổng điểm yếu trên Webview của đối tác tích hợp miniapp. | |||
| Đảm bảo phân quyền, người dùng chỉ được phép truy cập đến vùng dữ liệu và tài nguyên của họ. | |||
| Đảm bảo các request sau sử dụng request RestAPI phương thức POST và lấy thông tin theo session người dùng, không truy vấn theo ID và truyền tham số truy vấn phía client: - Request truy vấn thông tin khách hàng - Request truy vấn lịch sử giao dịch khách hàng - Các request khác mang tính cá nhân của khách hàng. | |||
| Cung cấp Biên bản rà quét lỗ hổng điểm yếu trên Webview của đối tác tích hợp miniapp, kiểm thử thâm nhập thủ công với các đối tác ATTT uy tín; đảm bảo chuẩn OSWAP Top 10 2021. | |||
| Cung cấp biên bản audit, hardening server backend với chuẩn của CIS - https://www.cisecurity.org/benchmark | |||
| Mô hình kiến trúc bảo mật miniapp đối tác với các giải pháp firewall, WAF, … | |||
| Giao tiếp backend giữa server đối tác và PaymentHub cấu hình whitelist theo IP | |||
| Đối tác cung cấp các cặp Key-Value tĩnh để hệ thống Payment Hub truyền vào header khi thực hiện các request callback. | |||
| Độ dài khóa bị mật đối tác cung cấp để thực hiện validate checksum callback tối thiểu 128 bits. | |||
| B Có thể chia sẻ thêm thông tin “idCardNo” | Mã hóa đường truyền mạng, sử dụng TLS 1.2 trở lên cho kết nối client – server, server – server MB. | ||
| Thiết lập expireTime tối đa 5 phút cho token khi xác thực với người dùng, có cơ chế refresh token. Token xác thực này được tạo dựa trên token PaymentHub cung cấp, đảm bảo tính duy nhất của tài khoản người dùng trên Miniapp. Nếu sử dụng jwt làm token xác thực, mã hóa trường payload của token này Không sử dụng HTTP Basic Authentication | |||
| Cung cấp biên bản rà quét lỗ hổng điểm yếu trên Webview của đối tác tích hợp miniapp | |||
| Đảm bảo các request sau sử dụng phương thức POST và lấy thông tin theo session người dùng, không truy vấn theo ID: - Request truy vấn thông tin khách hàng - Request truy vấn lịch sử giao dịch khách hàng - Các request khác mang tính cá nhân của khách hàng | |||
| Đảm bảo phân quyền, người dùng chỉ được phép truy cập đến vùng dữ liệu và tài nguyên của họ | |||
| Giao tiếp backend giữa server đối tác và PaymentHub cấu hình whitelist theo IP | |||
| Đối tác cung cấp các cặp Key-Value tĩnh để hệ thống Payment Hub truyền vào header khi thực hiện các request callback. | |||
| C Có thể chia sẻ thêm thông tin “dob”, “mobile”, ”email” | Mã hóa đường truyền mạng, sử dụng TLS 1.2 trở lên cho kết nối client – server, server – server MB. | ||
| Thiết lập expireTime cho token xác thực người dùng trên miniapp, tối đa 10 phút. Không sử dụng HTTP Basic Authentication | |||
| Có sử dụng cơ chế xác thực riêng trên miniapp, sử dụng token MB cung cấp, đảm bảo tính duy nhất của tài khoản | |||
| Đảm bảo phân quyền truy cập thông tin đối với người dùng có token/session truy cập hiện tại. | |||
| Cung cấp Biên bản rà quét lỗ hổng điểm yếu trên Webview của đối tác tích hợp miniapp. | |||
| D Chỉ chia sẻ thông tin “cif” và “fullname” | Mã hóa đường truyền mạng, sử dụng TLS cho kết nối client – server, server – server MB. | ||
| Có sử dụng cơ chế xác thực riêng trên miniapp, sử dụng token MB cung cấp, đảm bảo tính duy nhất của tài khoản | |||
| Thiết lập expireTime cho token xác thực người dùng trên miniapp, tối đa 10 phút. | |||
| E Không đạt yêu cầu tích hợp | Không đạt bất kỳ tiêu chí nào | ||