PCI DSS
Level 1
支付卡数据环境(CDE)分区、严格存取与日志审计,符合支付卡行业最高等级要求。
适用:卡品牌相关处理与托管流程
合规是我们业务的底线
在灵活的业务创新背后,是严格的合规体系与信息安全保障。
合规重点
遵循 FATF 建议与行业最佳实践:商户尽职调查(MDD)、交易监控、可疑交易报告(STR),以及多源制裁/声誉名单筛查。以下为筛查与监控维度示例,实施范围以合同与当期审计为准。
Screening dimensions
政治人物
制裁名单
前政治人物
信誉风险
公众人物
执法名单
政治人物关联企业
博彩风险情报
国有企业
政治人物关连人士
认证与控制措施
以下为平台层级的安全控制摘要,实施范围以合同与当期审计报告为准。
ISO
27001
信息安全管理体系(ISMS)覆盖政策、资产、供应商与事件响应,年度复审。
适用:全公司信息资产
TLS
1.3
对外 API 与控制台预设 TLS 1.3,禁用弱密码套件,密钥与证书按周期轮换。
适用:公网传输链路
AES-256
静态加密
敏感字段与备份资料采用分层密钥与信封加密,密钥材料与应用分离。
适用:数据库与对象存储
HSM
密钥保护
签名与根密钥操作在硬件安全模组内完成,降低软件泄露风险。
适用:签名、令牌化关键路径
Pentest
第三方测试
委托独立团队进行渗透测试与缺陷闭环,重大变更后加测。
适用:核心支付与管理后台
隐私与资金运营
数据隐私
- 法域
- 遵守香港《个人资料(隐私)条例》;涉及欧盟主体时遵循 GDPR 最小化与目的限制原则。
- 共享
- 不出售个人资料;与第三方共享仅在履行合同或法律要求下,并以协议约束子处理者。
- 生命周期
- 依保留政策归档与删除;商户可请求导出或删除(在法律允许范围内)。
资金与对账
- 隔离
- 商户资金与公司运营资金分账管理,流程与报表可按月提供。
- 托管
- 结余存放于持牌金融机构,具体机构名称以商务合同披露为准。
- 对账
- 系统定时对账与异常告警;大额或高风险交易进入复核队列。
- 保险
- 董事及高级职员责任保险(D&O)等常规公司治理安排。