首页 > 服务市场 > 服务商文档 > 服务市场安全违规处罚规范

服务市场安全违规处罚规范

一、目的

为促进开放、透明、分享、责任的新商业文明,保障商家和消费者的数据安全,维护京东平台正常经营秩序,实现服务商规范化经营,特此发布《服务市场安全违规处罚规范》。

二、 定义

漏洞:漏洞是在硬件软件协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。京东安全部门会对服务商的应用进行安全漏洞扫描,扫描过程中出现的漏洞会根据风险程度进行分级;

事件:因为服务商的自身问题产生的安全事故,如账号被盗、数据泄露等,并因为安全事故产生了不良影响和损失;京东对事件按照严重程度进行了分级。

安全规范:服务商的服务应用在开发、部署、运营和管理中需要遵守的安全规范;并根据违反安全规范有可能造成的结果严重程度进行分级。

重要系统/重要业务:存储或可访问如订单、用户等敏感数据的系统,一旦出现安全问题可导致敏感信息泄露或者关键服务出现故障的业务或系统。反之则称之为非重要系统/业务。

重要信息:是指一旦泄露容易造成对重要系统、敏感数据造成威胁的信息,如包含数据库访问方式的源代码、用户信息等。反之则称之为普通信息。

三、 违规事项处罚标准

1、扣分项:

类型

级别

服务分(扣分)

漏洞

严重 

-1001天内未修复)

高危 

-753天内未修复)

中危 

-507天内未修复)

低危 

-2514天内未修复)

事件

特大 

-75(出现特大事件)

重大 

-50(出现重大事件)

严重 

-25(出现严重事件)

安全规范

高 

-75(违反高等级安全规范)

中 

-50(违反中等级安全规范)

低 

-25(违反低等级安全规范)

2、处理方式

扣分

下线推广资源

服务隐藏

服务冻结

扣除保证金

25

21自然日

7自然日

/

 

扣除25%保证金

50

30自然日

/

7自然日

 

扣除50%保证金

75

60自然日

/

14自然日

 

扣除75%保证金

100

有权清退,并永久冻结下架服务

 

扣除100%保证金、冻结未结算货款

l  如前述违约金不足弥补京东损失的,京东有权从服务商待结算货款中扣除相应部分。

l  服务商因单次违反多项安全规定,或在被处理期间又出现违规行为,扣分分值将进行累加,按照累加后的分值进行处理。

l  京东可根据平台运营情况随时调整本管理规则并以公告的形式向服务商公示,服务商应当遵守调整后的规则。

l  用户应遵守国家法律、行政法规、部门规章等规范性文件。对任何涉嫌违反国家法律、行政法规、部门规章的行为,本规则已有规定的,适用于本规则;本规则尚无规定的,京东有权酌情处理。但京东对服务商的处理不免除其应承担的法律责任。服务商在京东的任何行为,应同时遵守与京东及其关联公司签订的各项协议及京东平台(域名:jd.com)的各项规则。


漏洞分级

内容

级别

1. 直接获取重要系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShellSQL 注入获取系统权限、缓冲区溢出(包括可利用的ActiveX 缓冲区溢出)。

2. 直接导致重要业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用、系统、服务器无法继续提供服务的漏洞。

3. 重要业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、订单信息泄露、用户信息泄露的漏洞。

4. 严重级别的敏感信息泄露。包括但不限于核心 DB  SQL 注入漏洞、包含用户敏感数据、订单信息的接口引发的信息泄露。

严重

1. 直接获取非重要系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShellSQL 注入获取系统权限、缓冲区溢出(包括可利用的ActiveX 缓冲区溢出)。

2. 越权访问和操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户信息或状态等重要交互的越权行为。

3. 重要信息泄漏漏洞。包括但不限于源代码压缩包泄漏、包括但不限于可直接利用的敏感数据泄露。

4. 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。

 

高危

1. 普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入,客户端明文密码存储等。

2. 需交互和前置条件才能获取用户身份信息的漏洞。包括但不限于反射型 XSSJSON Hijacking、重要业务和交互的 CSRF、一般业务的存储型 XSS

3. 普通的逻辑缺陷和越权。包括但不限于不涉及敏感信息的交互和业务的越权行为。

中危

1.  轻微信息泄露,包括但不限于路径、PHPinfo、异常和含有敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况。

2.  只在特定情况之下才能获取敏感信息的漏洞,包括但不限于非流行浏览器环境下触发的反射XSS(包括 DOM 型)、边缘业务的存储 XSS 等。

3. 利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,敏感操作但利用条件苛刻的 CSRF,提供有效 PoC 需借助中间人攻击的安全隐患。

低危

安全事件分级

内容

级别

发生的事件中涉及机密数据泄露,且数据量级在10W条以上;或被获取核心服务器权限数量超过50%以上;或产生了实际的用户损失,损失金额在50万元以上;或预估受影响的用户或商家量超过50%

特大

发生的事件中涉及机密数据泄露,且数据量级在1W条以上;或被获取核心服务器权限数量在20%以上;或产生了实际的用户损失,损失金额在5-50万元;或预估受影响的用户或商家量超过20%

重大

发生的事件中涉及机密数据泄露,但数据量级在1W条以内;或被获取服务器权限且不超过20%台;或产生了实际的用户损失,损失金额在5万元以内;或预估受影响用户或商家量不超过20%

严重

安全规范分级

1)权限要求

内容

级别

能识别帐号异常登录(被盗/撞库、异地登录),并采取手机验证码等方式确保帐号登录安全;当用户名或密码错误时统一展示:用户名或密码不正确; 发生过异常登录,系统应以合适方式提示用户异常信息

系统、应用、数据库帐号口令要求满足一定的长度和复杂度,确保口令强度(口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联)

帐号口令应定期更换;每次更换不能与前三次密码有重复

口令重置应该有较强的身份校验机制,避免被轻易更改口令导致帐号丢失

严禁多人共享同一个帐号

帐号超过一定时间不用、多余帐号等情况,系统应及时回收

人员离职或转岗时应及时回收帐号或更改帐号权限

所有会话具备超时退出机制

登录时用户身份鉴别,包括用户名密码/短信/语音/邮件/UKey等;尤其管理端外部可访问时,要提供账号密码外的其他二次身份验证方式

帐号异常时,应触发用户验证机制,通过两个和以上的方式验证用户身份

2)审计要求

内容

级别

系统应记录用户行为日志:帐号、appkey、源IP、时间、行为类型、行为内容(操作的订单标识)等

系统应上传用户行为日志到京东云平台:所有的行为日志(包括但不限于登录/退出、更改帐号、订单查看、管理、导出、敏感信息查询等);行为日志格式参考前一条

系统应上传ISV软件与其它系统订单交互日志:包括但不限于帐号、appkey、应用名、时间、订单标识

所有日志留存时间不低于6个月,敏感数据访问的日志保留时间不少于1

系统保护所有日志不会发生因误删除、格式化、覆盖等原因导致的无法找回

 3)数据安全要求

内容

级别

敏感数据必须采用安全的加密方式进行存储和传输

系统前端展示部分对用户敏感信息应该进行打码等遮盖方式处理

用户如查询,则应该记录详细查询日志,包括但不限于查询帐号、时间、IP、查询订单标识等

 

对于可批量下载导出(订单、面单)等功能,需要进行手机短信验证功能,验证后方可下载(并记录日志)

数据不得从ISV软件传递到第三方软件;关于ISV及自研商家对接的第三方仓储问题以及传递数据给其他任意第三方公司,如有此类需要ISV及自研商家需要到我司备案签署特殊保密协议

所有服务商不允许给第三方快递公司传送敏感数据(包含但不限于手机号、订单明细、非保价订单价格、京东用户名等), 只建议传送订单姓名、订单地址、订单重量

帐号密码应采用不可逆加密

建议ISV系统部署到安全的云环境,如京东云

4)应用及数据库安全

内容

级别

开发者要遵循安全开发原则,防止因为SQL注入、XSS、文件上传、越权查询等漏洞导致数据泄漏

g开发者要定期对应用进行安全检查和扫描,并上报安全报告

如发现漏洞,开发者要尽快完成漏洞修复;

修复时间:严重:小时级,小于1天;高危:3天;中危:7天;低危:14

 

ISV不得有任何商家未授权情况下获取账号、修改密码、访问数据等行为

数据库应有备份功能,确保数据在意外发生时可以进行数据恢复

数据库禁止外部直接连接和访问

数据库具备一定的控制能力,防止批量数据获取,如一次超过50条。

 5)主机安全要求

内容

级别

具备数据恢复能力,在业务发生故障后,如主系统数据损坏,能快速恢复

所有应用、框架都必须使用最新稳定版可在各组件版本官网下载最新版本,禁止使用带有安全问题的老版本;

(包括但不限于struts2版本、discuz低版本、openssl版本不低于1.0.2g或者1.0.1s);

不得暴露445135137138139等高风险端口;服务器只能开放80,443端口

主机上不允许部署FTP系统或服务。如有需要请联系京东进行备案

主机可设置访问规则,只允许特定的设备(MAC)、IP访问

主机不应该使用默认帐号的默认密码;系统投入使用后必须确保密码具备足够的安全强度;口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联

 6)运维平台要求

内容

级别

ISV系统上线后应该有专门的运维平台。应限制随意系统接入后台。

运维平台在内网,外网不能直接登录,需通过VPN接入

管理员可设置运维平台白名单,只允许特定的IP、帐号登录

运维平台应该有查杀病毒的软件或系统;管理员应定期进行病毒查杀

3个月到半年定期更新管理员密码;管理员密码要满足安全强度要求;口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联

管理员应及时给系统打补丁

 7)安全应急响应

内容

级别

ISV服务商应提供相应的安全接口人给京东,与京东安全对接

安全接口人应对发生的安全事件,按照京东的安全响应要求进行响应,如重大漏洞事件后应及时修复安全漏洞

ISV服务商应制定应急响应规范和处置流程,组建应急响应团队,有明确的角色和责任人

ISV服务商应对京东安全标准进行确认,满足京东安全标准才能入驻京东服务市场

ISV服务商应不低于每年一次的频率对自身系统进行安全检查。并根据实际情况不定期进行检查。

ISV服务商有义务对自身系统所用的web系统架构、数据库系统进行报备,包括采用的软件名及版本信息


四、附则

5.1本规则中未规定的内容,参考京东平台其它相关规则和协议约定处理。

5.2服务商的行为,发生在本规则生效之日以前的,适用当时的规则。发生在本规则生效之日以后的,适用本规则。

5.3京东可根据平台运营情况随时调整本规则并向服务商公示。

5.4服务商应遵守国家法律、行政法规、部门规章等规范性文件。对任何涉嫌违反国家法律、行政法规、部门规章等规范性文件的行为,本规则已有规定的,适用于本规则,本规则尚无规定的,依照法律法规处理。服务商依据相关规则承担的相关责任并不免除其应承担的法律责任。服务商在京东的任何行为,应同时遵守与京东及其关联公司签订的各项协议。

5.5本规则于20181126日首次发布,于201812月3日生效。