關(guān)于發(fā)布《網(wǎng)上基金銷售信息系統(tǒng)技術(shù)指引》的通知中國證券業(yè)協(xié)會(huì)發(fā)布的文件01總則門戶站基本要求系統(tǒng)客戶端目錄03020405系統(tǒng)服務(wù)端附則安全管理目錄0706基本信息為保護(hù)投資者的合法權(quán)益，促進(jìn)基金銷售業(yè)務(wù)健康有序發(fā)展，保障基金銷售機(jī)構(gòu)在互聯(lián)上安全可靠地開展基金銷售活動(dòng)，協(xié)會(huì)組織制定了《上基金銷售信息各基金銷售機(jī)構(gòu)：二○○九年十一月二十日上基金銷售信息系統(tǒng)技術(shù)指引系統(tǒng)技術(shù)指引》，現(xiàn)予發(fā)布，請參照執(zhí)行。總則總則第一條為保障上基金銷售信息系統(tǒng)的安全、可靠、高效運(yùn)行，促進(jìn)基金銷售業(yè)務(wù)健康有序發(fā)展，保護(hù)投資者的合法權(quán)益，依據(jù)《中華人民共和國證券投資基金法》、《證券投資基金銷售業(yè)務(wù)信息管理平臺(tái)管理規(guī)定》等法律法規(guī)制定本指引。第二條在中華人民共和國境內(nèi)依法設(shè)立的基金銷售機(jī)構(gòu)開展上基金銷售業(yè)務(wù)適用于本指引。基金銷售機(jī)構(gòu)是指依法辦理基金份額認(rèn)購、申購和贖回等業(yè)務(wù)的基金管理人，以及取得基金代銷業(yè)務(wù)資格的其它機(jī)構(gòu)，包括基金管理公司、商業(yè)銀行、證券公司、證券投資咨詢機(jī)構(gòu)、專業(yè)基金銷售機(jī)構(gòu)等。第三條上基金銷售信息系統(tǒng)是指基金銷售機(jī)構(gòu)在上開展基金銷售業(yè)務(wù)活動(dòng)中所采用的絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、軟件及專用通信線路等構(gòu)成的信息系統(tǒng)，包括上基金銷售系統(tǒng)服務(wù)端、客戶端和門戶站。第四條基金銷售機(jī)構(gòu)應(yīng)采取技術(shù)和管理措施，保證上基金銷售系統(tǒng)的安全性、完整性和可用性，并做好系統(tǒng)信息保密工作。第五條中國證券業(yè)協(xié)會(huì)對基金銷售機(jī)構(gòu)執(zhí)行本指引的情況進(jìn)行指導(dǎo)和督促。基本要求基本要求第六條基金銷售機(jī)構(gòu)對上基金銷售信息系統(tǒng)應(yīng)統(tǒng)一規(guī)劃、集中管理，保證上基金銷售業(yè)務(wù)安全、有序發(fā)展。第七條基金銷售機(jī)構(gòu)應(yīng)制定在上開展基金銷售業(yè)務(wù)的各項(xiàng)安全管理制度，對安全管理目標(biāo)、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓(xùn)、安全檢查、系統(tǒng)建設(shè)、運(yùn)行管理、應(yīng)急措施、風(fēng)險(xiǎn)控制、安全審計(jì)等方面作出規(guī)定。第八條基金銷售機(jī)構(gòu)應(yīng)將上開展基金銷售業(yè)務(wù)的風(fēng)險(xiǎn)管理納入本機(jī)構(gòu)風(fēng)險(xiǎn)控制工作范圍，建立健全上基金銷售風(fēng)險(xiǎn)控制管理體系。第九條基金銷售機(jī)構(gòu)的上基金銷售信息系統(tǒng)應(yīng)部署在中華人民共和國境內(nèi)，滿足監(jiān)管部門現(xiàn)場檢查要求及中國司法機(jī)構(gòu)調(diào)查取證要求。第十條基金銷售機(jī)構(gòu)應(yīng)當(dāng)與投資者簽訂上基金或上金融業(yè)務(wù)服務(wù)協(xié)議或合同，明確雙方的權(quán)利、義務(wù)和風(fēng)險(xiǎn)的責(zé)任承擔(dān)，向投資者揭示使用上基金銷售信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)、基金銷售機(jī)構(gòu)已采取的風(fēng)險(xiǎn)控制措施和客戶應(yīng)采取的風(fēng)險(xiǎn)防范措施。第十一條上基金銷售信息系統(tǒng)應(yīng)具有向投資者提示交易時(shí)間區(qū)間的功能。交易時(shí)間區(qū)間應(yīng)嚴(yán)格遵守監(jiān)管機(jī)構(gòu)或交易所的相關(guān)規(guī)定。門戶站門戶站第二十條門戶站指基金銷售機(jī)構(gòu)建立的實(shí)現(xiàn)信息發(fā)布、業(yè)務(wù)咨詢、營銷推廣、客戶服務(wù)和投資者教育等功能的站。第二十一條基金銷售機(jī)構(gòu)門戶站應(yīng)在當(dāng)?shù)仉娦殴芾砭洲k理ICP備案，同時(shí)向當(dāng)?shù)毓ど叹值扔嘘P(guān)部門辦理站備案，在站首頁公布ICP備案號，提供客戶查詢門戶站備案信息的鏈接。第二十二條基金銷售機(jī)構(gòu)應(yīng)采取有效措施監(jiān)控門戶站防止被篡改。當(dāng)站上的頁面內(nèi)容、提供給投資者下載的客戶端軟件及其他文件被異常修改時(shí)，能及時(shí)發(fā)現(xiàn)并恢復(fù)。第二十三條門戶站中不得存放與基金交易業(yè)務(wù)有關(guān)的客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)。第二十四條門戶站中的客戶賬號及口令，應(yīng)采用加密方式傳輸，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第二十五條基金銷售機(jī)構(gòu)應(yīng)建立對門戶站內(nèi)容發(fā)布的審核、管理和監(jiān)控機(jī)制，對頁內(nèi)容進(jìn)行監(jiān)控，對有害信息進(jìn)行過濾，防止站出現(xiàn)不良信息。系統(tǒng)客戶端系統(tǒng)客戶端第二十六條上基金銷售信息系統(tǒng)客戶端是指基金銷售機(jī)構(gòu)提供的，由基金投資人通過互聯(lián)、移動(dòng)通信等非現(xiàn)場方式獨(dú)自完成業(yè)務(wù)操作的應(yīng)用系統(tǒng)。第二十七條上基金銷售信息系統(tǒng)客戶端應(yīng)能向客戶提示最近一次登錄的日期、時(shí)間等信息。第二十八條上基金銷售信息系統(tǒng)客戶端應(yīng)能在指定的閑置時(shí)間間隔到期后，自動(dòng)鎖定客戶端的使用或退出。第二十九條上基金銷售信息系統(tǒng)客戶端的數(shù)據(jù)傳輸應(yīng)采用國家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第三十條上基金銷售信息系統(tǒng)客戶端如需與銀行等支付系統(tǒng)進(jìn)行數(shù)據(jù)通信時(shí)，應(yīng)使用數(shù)字加密技術(shù)（如數(shù)字證書方式）進(jìn)行嚴(yán)格的數(shù)據(jù)加密處理防止數(shù)據(jù)被篡改。第三十一條當(dāng)客戶訪問上基金銷售信息系統(tǒng)時(shí)，未經(jīng)客戶許可，除提高安全性的控件之外，不得以任何方式在客戶系統(tǒng)中安裝插件。系統(tǒng)服務(wù)端系統(tǒng)服務(wù)端第三十七條上基金銷售信息系統(tǒng)服務(wù)端是指基金銷售機(jī)構(gòu)通過互聯(lián)向客戶提供上基金交易、基金賬戶信息查詢等服務(wù)的信息系統(tǒng)，包括互聯(lián)接入、安全防護(hù)與監(jiān)控、應(yīng)用服務(wù)、身份認(rèn)證等相關(guān)子系統(tǒng)。第三十八條上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能向客戶提供可證明服務(wù)端自身身份的信息，如提供預(yù)留驗(yàn)證信息服務(wù)，在客戶登錄時(shí)向客戶顯示預(yù)留的驗(yàn)證信息，以幫助客戶識別仿冒的上基金信息系統(tǒng)，防止不法分子利用仿冒的上基金信息系統(tǒng)進(jìn)行詐騙活動(dòng)或盜取用戶賬號、口令等信息。第三十九條上基金銷售信息系統(tǒng)應(yīng)保障對客戶的授權(quán)不被惡意提升或轉(zhuǎn)授，防止客戶訪問未經(jīng)過授權(quán)的數(shù)據(jù)，使用未經(jīng)授權(quán)的功能。第四十條基金銷售機(jī)構(gòu)開展上基金銷售業(yè)務(wù)，需要對客戶信息和交易信息等使用電子簽名或電子認(rèn)證時(shí)，應(yīng)遵照國家有關(guān)法律法規(guī)的規(guī)定。上基金銷售信息系統(tǒng)采用的認(rèn)證授權(quán)和加密體系應(yīng)具備足夠的強(qiáng)度和抗攻擊能力，并根據(jù)上基金銷售業(yè)務(wù)的安全性需要和信息技術(shù)的發(fā)展，定期檢查，適時(shí)調(diào)整。第四十一條上基金銷售信息系統(tǒng)未經(jīng)基金銷售機(jī)構(gòu)授權(quán)不得與第三方進(jìn)行任何形式的數(shù)據(jù)交換，并具備經(jīng)過認(rèn)證后僅向指定發(fā)送信息的功能。安全管理安全管理第五十二條上基金銷售信息系統(tǒng)的開發(fā)、測試人員及環(huán)境應(yīng)與運(yùn)營人員及生產(chǎn)環(huán)境分離。開發(fā)、測試人員未經(jīng)授權(quán)不得訪問、修改非職責(zé)范圍內(nèi)的上基金銷售信息系統(tǒng)。第五十三條基金銷售機(jī)構(gòu)應(yīng)對上基金銷售信息系統(tǒng)中包括絡(luò)安全設(shè)備、服務(wù)器以及應(yīng)用系統(tǒng)在內(nèi)的賬戶進(jìn)行嚴(yán)格管理，賬戶權(quán)限應(yīng)按最小權(quán)限原則設(shè)置，清除所有冗余、與應(yīng)用無關(guān)的賬戶，并嚴(yán)格限制各管理員賬戶的使用，禁止用最高權(quán)限賬戶執(zhí)行一般操作，盡量避免以最高權(quán)限賬戶運(yùn)行上基金銷售信息系統(tǒng)服務(wù)端應(yīng)用軟件。第五十四條系統(tǒng)各級管理用戶和口令應(yīng)由專人負(fù)責(zé)，在系統(tǒng)允許