GB∕T 37401-2019 電子商務(wù)平臺服務(wù)保障技術(shù)要求

電子商務(wù)平臺服務(wù)保障技術(shù)要求Serviceassurancetechnicalrequirementforelectroniccommerceplatform2019-05-10發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會GB/T37401—2019前言 I 2規(guī)范性引用文件 3術(shù)語和定義 4電子商務(wù)平臺服務(wù)保障體系 5交易過程保障 25.1交易前要求 25.2交易中要求 35.3交易后要求 46基礎(chǔ)保障 46.1安全保障 46.2平臺環(huán)境要求 56.3數(shù)據(jù)管理要求 56.4運(yùn)維管理要求 5參考文獻(xiàn) 7I本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由全國電子業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC83)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國標(biāo)準(zhǔn)化研究院、廈門至誠標(biāo)準(zhǔn)化服務(wù)有限公司、海泉百膳生物科技股份有限公司、成都中科大旗軟件有限公司、中紡協(xié)檢驗(yàn)(泉州)技術(shù)服務(wù)有限公司、晉江綠生食品有限公司、中國計量大學(xué)、江蘇省質(zhì)量和標(biāo)準(zhǔn)化研究院、廣州市標(biāo)準(zhǔn)化研究院、杭州翰正標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司、山東理工大學(xué)、東莞市海陸通實(shí)業(yè)有限公司、廈門安妮股份有限公司、安徽省質(zhì)量和標(biāo)準(zhǔn)化研究院。周如琪。1電子商務(wù)平臺服務(wù)保障技術(shù)要求1范圍本標(biāo)準(zhǔn)規(guī)定了電子商務(wù)平臺的交易過程保障以及基礎(chǔ)保障技術(shù)要求。本標(biāo)準(zhǔn)適用于電子商務(wù)平臺服務(wù)保障的規(guī)劃、實(shí)施。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2887計算機(jī)場地通用規(guī)范GB/T20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20281信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T28827.1信息技術(shù)服務(wù)運(yùn)行維護(hù)第1部分：通用要求GB/Z28828信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南3術(shù)語和定義下列術(shù)語和定義適用本文件。電子商務(wù)electroniccommerce以電子形式進(jìn)行的商務(wù)活動。注：經(jīng)濟(jì)活動主體之間利用現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)技術(shù)(含互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)和其他信息網(wǎng)絡(luò))開展商務(wù)活動，實(shí)現(xiàn)網(wǎng)上接洽、簽約、支付等關(guān)鍵商務(wù)活動環(huán)節(jié)的部分或全部電子化，包括貨物交易、服務(wù)交易和知識產(chǎn)權(quán)交易等。[GB/T31524—2015,定義3.1]電子商務(wù)平臺electroniccommerceplatform電子商務(wù)活動中為交易雙方或多方提供交易撮合及相關(guān)服務(wù)的信息網(wǎng)絡(luò)系統(tǒng)總和。[GB/T31524—2015,定義3.2]電子商務(wù)活動中為交易雙方或多方提供交易撮合及相關(guān)服務(wù)的信息網(wǎng)絡(luò)系統(tǒng)總和。[GB/T32873—2016,定義3.2]4電子商務(wù)平臺服務(wù)保障體系4.1電子商務(wù)平臺的服務(wù)保障體系如圖1所示。2交易過程保障交易過程保障交易中基礎(chǔ)保障安全保障平臺環(huán)境數(shù)據(jù)管理運(yùn)維管理產(chǎn)品服務(wù)保證主體身份認(rèn)證訂單處理售后服務(wù)物流配送訂單支付交易前交易后圖1電子商務(wù)平臺服務(wù)保障體系4.2電子商務(wù)平臺服務(wù)保障體系應(yīng)包括：a)交易過程保障：電子商務(wù)交易全過程的服務(wù)保障，主要涉及交易前、交易中和交易后等環(huán)節(jié)的服務(wù)保障；b)基礎(chǔ)保障：基于電子商務(wù)平臺的交易提供的各種基礎(chǔ)服務(wù)保障，包括：安全保障、平臺環(huán)境、數(shù)據(jù)管理以及運(yùn)維管理。5交易過程保障5.1交易前要求5.1.1主體身份認(rèn)證電子商務(wù)平臺應(yīng)具備主體身份認(rèn)證功能，其功能要求至少包括：a)信息采集：支持在線填寫、相應(yīng)證明文件上傳等功能，實(shí)現(xiàn)電子商務(wù)交易過程中主體真實(shí)信息的采集，采集信息應(yīng)包括但不限于：1)主體登記注冊信息，包括：登記基本信息、主體身份信息等；2)許可信息，包括：銷售商品或提供服務(wù)應(yīng)取得相關(guān)的行政許可或銷售授權(quán)許可等信息；b)信息驗(yàn)證：提供在線查詢、后臺驗(yàn)證等功能，通過數(shù)字簽名、數(shù)字證書等技術(shù)實(shí)現(xiàn)對交易活動柞關(guān)主體信息查驗(yàn)。c)信息公示：以圖片嵌入或網(wǎng)頁鏈接等技術(shù)方式，實(shí)現(xiàn)在電子商務(wù)平臺頁面顯著位置對許可類信息、登記注冊信息等資質(zhì)信息的公開。3電子商務(wù)平臺上應(yīng)具備清楚表達(dá)所銷售產(chǎn)品信息的描述功能，包括：a)產(chǎn)品信息模型建立的功能，至少包括：1)通用信息模塊，支持對所銷售產(chǎn)品的基本信息、企業(yè)信息和聯(lián)系信息等信息實(shí)體以及產(chǎn)品2)專用信息模塊，支持對所銷售產(chǎn)品的特征信息實(shí)體和信息元素的描述功能。b)產(chǎn)品信息描述方法確立的功能：支持對產(chǎn)品信息實(shí)體和信息元素的基本屬性、數(shù)據(jù)類型及格式等相關(guān)描述方法的確立，具體描述方法應(yīng)參照GB/T32670、GB/T33989等相關(guān)國家標(biāo)準(zhǔn)中電子商務(wù)平臺應(yīng)提供產(chǎn)品質(zhì)量保證相關(guān)證明信息的在線填寫以及證明文件上傳等功能，并對其合電子商務(wù)平臺應(yīng)提供下單服務(wù)、訂單管理等訂單處理相關(guān)功能模塊，其要求包括但不限于：a)下單服務(wù)功能模塊的要求包括：1)應(yīng)提供明確的交易規(guī)則和簡便的下單流程，宜支持一鍵下單等功能；2)應(yīng)通過頁面提示等方式提供下單全流程指導(dǎo)；3)應(yīng)具備針對下單服務(wù)過程中的關(guān)鍵環(huán)節(jié)提供訂單確認(rèn)、支付方式說明及選擇等功能；4)應(yīng)在確認(rèn)訂單之前通過獨(dú)立頁面展示所選商品數(shù)量、預(yù)期發(fā)貨時間、發(fā)貨地點(diǎn)、配送方式、訂單和支付確認(rèn)；6)電子商務(wù)平臺可支持配送方式選擇功能；b)訂單管理功能模塊的要求包括：2)可通過時間、關(guān)鍵詞等條件設(shè)置進(jìn)行歷史訂單查詢。a)應(yīng)通過各類接口提供多種可選擇的支付方式和支付工具；b)應(yīng)支持通過圖片嵌入或網(wǎng)頁鏈接等技術(shù)方式對支付流程、支付提示和支付說明等信息進(jìn)行c)應(yīng)支持支付完成同步以短信、電子郵件等方式告知的功能；d)宜支持在線支付過程的實(shí)時驗(yàn)證功能。45.3交易后要求電子商務(wù)平臺應(yīng)對所售產(chǎn)品的物流配送提供服務(wù)保障，其要求應(yīng)包括但不限于：a)應(yīng)支持訂單頁面的所購商品配送全過程信息展示功能，信息內(nèi)容包括但不限于：發(fā)貨信息、運(yùn)b)提供消費(fèi)者對物流配送服務(wù)的評價功能模塊；c)提供自營物流配送服務(wù)的電子商務(wù)平臺，其技術(shù)要求應(yīng)滿足：1)消息通知功能模塊，支持以電子郵件/短信/電話等技術(shù)方式發(fā)送發(fā)貨、運(yùn)輸、派送、簽收等關(guān)鍵環(huán)節(jié)的相關(guān)信息；2)簽收確認(rèn)功能模塊，宜提供線上、線下相結(jié)合方式的簽收確認(rèn)功能。電子商務(wù)平臺應(yīng)具備退換貨服務(wù)，其要求包括但不限于：a)根據(jù)退換貨指令，明確商品及貨款退回形式、商品交接時間和地點(diǎn)、配送人員身份、商品外部情b)應(yīng)對退換貨商品進(jìn)行運(yùn)輸包裝處理；c)宜采用電子文件形式記錄所收退換貨商品的外觀、性能狀況；d)宜采用電子文件形式留存退換貨過程中的各類記錄文件。電子商務(wù)平臺的糾紛處理服務(wù)，其要求包括但不限于：a)應(yīng)采用圖片嵌入或網(wǎng)頁鏈接等技術(shù)方式，在電子商務(wù)平臺頁面顯著位置公布糾紛處理規(guī)定、糾紛處理渠道、詳細(xì)流程等信息；b)應(yīng)運(yùn)用手機(jī)短信、平臺短消息、關(guān)聯(lián)社交軟件、電子郵件等信息化技術(shù)進(jìn)行糾紛投訴信息反饋，保證在承諾時間內(nèi)向消費(fèi)者確認(rèn)受理糾紛投訴信息，并及時將處理結(jié)果反饋至消費(fèi)者。6基礎(chǔ)保障6.1安全保障電子商務(wù)平臺服務(wù)的信息安全保障應(yīng)符合GB/T22080的相關(guān)要求，具體要求至少包括：a)對視頻、圖片、文字等不合規(guī)內(nèi)容進(jìn)行過濾；b)在網(wǎng)站顯著位置明示交易信息保護(hù)原則，內(nèi)容包括但不限于：消費(fèi)者信息、信息獲取渠道、信息保護(hù)方式、信息使用目的、信息使用范圍等；c)允許消費(fèi)者對個人信息的使用權(quán)限和使用范圍進(jìn)行限定和授權(quán)；d)針對消費(fèi)者個人信息的保護(hù)工作應(yīng)按照GB/Z28828中的相關(guān)要求，宜提供個人信息是否被保護(hù)的情況說明；e)電子商務(wù)平臺應(yīng)保證在支付、配送等服務(wù)過程中遵循其信息保護(hù)原則；f)電子商務(wù)平臺存儲的消費(fèi)者信息應(yīng)進(jìn)行加密處理，存儲的消費(fèi)者信息僅用于在該電子商務(wù)平5臺發(fā)生的交易過程中使用，并符合《中華人民共和國網(wǎng)絡(luò)安全法《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等相關(guān)法律法規(guī)的要求；g)在電子商務(wù)平臺相關(guān)界面提供消費(fèi)者個人信息修改、刪除、注銷等功能。6.1.2網(wǎng)絡(luò)基礎(chǔ)安全電子商務(wù)平臺的網(wǎng)絡(luò)基礎(chǔ)安全應(yīng)滿足GB/T20270的相關(guān)技術(shù)要求。電子商務(wù)平臺接口應(yīng)包括營銷核算賬目接口、產(chǎn)品進(jìn)銷存流轉(zhuǎn)接口、主體身份認(rèn)證接口、物流配送商接口、支付服務(wù)商接口等，其開放應(yīng)符合相關(guān)接口的安全要求。6.2平臺環(huán)境要求電子商務(wù)平臺環(huán)境的要求應(yīng)包括但不限于：a)機(jī)房設(shè)計應(yīng)符合GB/T2887規(guī)定的要求；b)操作系統(tǒng)、數(shù)據(jù)庫應(yīng)滿足電子商務(wù)平臺運(yùn)行的需求；c)備份軟件應(yīng)保證數(shù)據(jù)備份的完整性，支持增量、差分、在線、離線等多種備份方式以及字節(jié)校驗(yàn)、快速磁帶掃描等多種校驗(yàn)手段，并具有備份介質(zhì)的管理能力；d)采用較為成熟的網(wǎng)絡(luò)及系統(tǒng)監(jiān)控設(shè)備及軟件，對網(wǎng)絡(luò)及系統(tǒng)常見操作進(jìn)行實(shí)時檢查、監(jiān)控、報警和阻斷，防止網(wǎng)絡(luò)攻擊行為；e)防火墻應(yīng)性能良好、方便配置和管理、狀態(tài)監(jiān)視手段完備，并符合GB/T20281的要求；f)應(yīng)具備系統(tǒng)資源占用少、易于部署和管理，病毒防護(hù)能力強(qiáng)的防病毒軟件。6.3數(shù)據(jù)管理要求電子商務(wù)平臺數(shù)據(jù)管理的要求應(yīng)包括但不限于：a)根據(jù)數(shù)據(jù)內(nèi)容的存儲保護(hù)需求，選擇相應(yīng)的加密方式對平臺存儲數(shù)據(jù)進(jìn)行保護(hù)。b)應(yīng)通過部署檢測系統(tǒng)等方式對重要業(yè)務(wù)和管理數(shù)據(jù)的完整性進(jìn)行檢測，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。c)按照相應(yīng)法律法規(guī)和標(biāo)準(zhǔn)對涉及個人隱私信息等數(shù)據(jù)進(jìn)行敏感信息處理和保護(hù)。d)定期開展數(shù)據(jù)備份工作，具體方式應(yīng)包括但不限于：1)應(yīng)定期進(jìn)行備份，并選擇全量備份、增量備份或差分備份等方式；2)根據(jù)業(yè)務(wù)和管理數(shù)據(jù)的流量和重要性確定備份周期；3)數(shù)據(jù)備份內(nèi)容應(yīng)包括但不限于：頁面基本信息、消費(fèi)者個人信息、交易信息、業(yè)務(wù)和管理信息。e)數(shù)據(jù)恢復(fù)，數(shù)據(jù)的恢復(fù)應(yīng)符合GB/T20988規(guī)定的要求。6.4運(yùn)維管理要求6.4.1管理機(jī)制建設(shè)電子商務(wù)平臺應(yīng)建立針對平臺運(yùn)維的管理機(jī)制，應(yīng)包括但不限于：a)建立對電子商務(wù)平臺、應(yīng)用系統(tǒng)、服務(wù)、資源等對象提供運(yùn)維綜合管理的相關(guān)機(jī)制，具體措施應(yīng)遵循GB/T28827.1中的相關(guān)要求；b)支持運(yùn)用電話、手機(jī)短信、平臺短消息、關(guān)聯(lián)社交軟件、電子郵件等信息化技術(shù)，建立對于電子商務(wù)平臺用戶相關(guān)請求及記錄的信息化受理機(jī)制；6c)按交易全過程環(huán)節(jié)及基礎(chǔ)保障等方面對平臺用戶申請的服務(wù)進(jìn)行分類，建立相關(guān)分類處理d)監(jiān)督服務(wù)受理相關(guān)事項(xiàng)的進(jìn)展，建立相應(yīng)的監(jiān)督辦理機(jī)制；e)支持運(yùn)用電話、手機(jī)短信、平臺短消息、關(guān)聯(lián)社交軟件、電子郵件等信息化技術(shù)，針對受理請求辦理落實(shí)情況進(jìn)行回訪活動，建立回訪反饋機(jī)制；f)采用投訴上報、預(yù)警、統(tǒng)計分析與跟蹤等方式，建立投訴管理機(jī)制；g)明確操作規(guī)程、應(yīng)急處理、日常維護(hù)、軟硬件檔案保管、信息保密、權(quán)限管理等方面的管理和技h)電子商務(wù)服務(wù)提供商的服務(wù)質(zhì)量的考評機(jī)制。電子商務(wù)平臺應(yīng)建立相應(yīng)的運(yùn)維管理機(jī)構(gòu)，并配備技術(shù)、服務(wù)和管理等方面人員，人員數(shù)量與實(shí)際業(yè)務(wù)需求相適應(yīng)，其要求應(yīng)包括但不限于：a)遵守國家法律法規(guī)及所在崗位的各項(xiàng)規(guī)章制度和職業(yè)道德；b)具備安全保密意識，并具備突發(fā)事件應(yīng)急處理能力；c)應(yīng)掌握本崗位所需的專業(yè)知識。6.4.3崗位與培訓(xùn)要求電子商務(wù)平臺應(yīng)明確各項(xiàng)業(yè)務(wù)崗位職責(zé)，并對不同崗位的相關(guān)人員進(jìn)行培訓(xùn)，具體要求包括但不a)設(shè)立售后服務(wù)、運(yùn)維管理、安全保密等崗位，負(fù)責(zé)保障電子商務(wù)平臺服務(wù)的整體運(yùn)行；b)應(yīng)根據(jù)不同崗位情況，組織相關(guān)員工進(jìn)行崗前培訓(xùn)和在崗培訓(xùn)，達(dá)到