中證協(xié)發(fā)〔2015〕8號 《證券公司網(wǎng)上證券信息系統(tǒng)技術指引》（2015年修訂版）

關于發(fā)布《證券公司網(wǎng)上證券信息系統(tǒng)技術指引》的通知

中證協(xié)發(fā)〔2015〕8號

各會員單位:

為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運行,促進證券公司網(wǎng)上開展證券業(yè)務的健康有序發(fā)展,我會修訂了《證券公司網(wǎng)上證券信息系統(tǒng)技術指引》,現(xiàn)予以發(fā)布。本辦法自發(fā)布之日起施行。


附件:《證券公司網(wǎng)上證券信息系統(tǒng)技術 指引》

 

中國證券業(yè)協(xié)會

2015年3月13日

 

 

證券公司網(wǎng)上證券信息系統(tǒng)技術指引
 

第一章    總則
 

第一條 為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運行，促進證券公司網(wǎng)上開展證券業(yè)務的健康有序發(fā)展，保護客戶的合法權益，依據(jù)《中華人民共和國證券法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等國家相關法律法規(guī)，以及《證券期貨業(yè)信息安全保障管理辦法》等行業(yè)相關制度規(guī)范，制定本指引。

第二條 本指引所提出的各項要求，是證券公司網(wǎng)上證券信息系統(tǒng)應達到的基本要求。證券公司在開展網(wǎng)上證券信息系統(tǒng)建設和運行過程中，應符合本指引規(guī)定的相關要求。

第三條 證券公司網(wǎng)上證券信息系統(tǒng)是證券公司通過互聯(lián)網(wǎng)、移動通信網(wǎng)絡、其它開放性公眾網(wǎng)絡或開放性專用網(wǎng)絡基礎設施等開放性網(wǎng)絡，向其客戶提供金融業(yè)務和服務的信息系統(tǒng)，包括證券公司的網(wǎng)絡設備、計算機設備、軟件、數(shù)據(jù)、專用通訊線路，以及客戶端軟件等。

第四條 證券公司利用網(wǎng)上證券信息系統(tǒng)開展證券業(yè)務應當遵循如下基本原則：

（一）安全性原則：網(wǎng)上證券信息系統(tǒng)的建設應當建立風險防范意識，保證在網(wǎng)上開展證券業(yè)務的安全性。通過技術措施和管理手段，實現(xiàn)信息的保密性、完整性和服務可用性。

（二）系統(tǒng)性原則：網(wǎng)上證券信息系統(tǒng)的建設應當覆蓋安全保障體系的各個方面，包括但不限于：安全體系規(guī)劃和建設、證券業(yè)務安全運行、運維和安全保障、災難恢復和應急措施等。

（三）可用性原則：網(wǎng)上證券信息系統(tǒng)的建設應當在保障安全的原則下，確保在網(wǎng)上開展證券業(yè)務的連續(xù)性和可靠性。

第五條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況實施自律管理。
 

第二章    基本要求
 

第六條 證券公司對網(wǎng)上證券信息系統(tǒng)應當統(tǒng)一規(guī)劃、統(tǒng)一管理，保證在網(wǎng)上開展證券業(yè)務安全、有序發(fā)展。

第七條 證券公司應當根據(jù)國家相關法律法規(guī)，信息系統(tǒng)安全等級保護要求、運維管理規(guī)范、信息系統(tǒng)備份能力標準、行業(yè)信息安全管理制度，以及監(jiān)管機關的相關實施指導意見，做好網(wǎng)上證券信息系統(tǒng)的信息安全管理、運維管理和備份能力建設等工作。

第八條 證券公司應當將在網(wǎng)上開展證券業(yè)務的風險管理納入證券公司風險控制工作范圍，建立健全網(wǎng)上證券風險控制管理體系。

第九條 證券公司應當將網(wǎng)上開展證券業(yè)務的審計納入公司的審計工作范圍。

第十條 證券公司應當按照國家主管部門的有關規(guī)定辦理網(wǎng)上證券相關信息系統(tǒng)的備案，并提供備案信息的查詢途徑。

第十一條 證券公司通過網(wǎng)上證券信息系統(tǒng)向客戶提供證券交易的行情信息，應當提示行情來源、行情站點名稱等信息；向客戶提供資訊信息的，應當說明信息來源。

第十二條 證券公司網(wǎng)上證券信息系統(tǒng)分為網(wǎng)上證券客戶端和服務端。

網(wǎng)上證券客戶端是指證券公司為客戶提供人機交互功能的應用程序，以及提供必需功能的組件，包括但不限于：可執(zhí)行文件、控件、靜態(tài)鏈接庫、動態(tài)鏈接庫等。除通用瀏覽器外，其它網(wǎng)上證券客戶端稱為網(wǎng)上證券專用客戶端。

網(wǎng)上證券服務端是指網(wǎng)上證券信息系統(tǒng)中提供客戶接入和接入后業(yè)務和服務處理的證券公司信息系統(tǒng)，包括但不限于：開放性網(wǎng)絡的接入以及接入后的網(wǎng)絡通信、身份認證、應用服務、安全防護與監(jiān)控、網(wǎng)絡隔離等系統(tǒng)。網(wǎng)上證券服務端網(wǎng)絡區(qū)域劃分為隔離區(qū)（DMZ）、后臺區(qū)。

第十三條 證券公司應當采用多種技術手段加強網(wǎng)上證券信息系統(tǒng)敏感數(shù)據(jù)的保護，技術手段包括但不限于：敏感數(shù)據(jù)在開放性網(wǎng)絡加密傳輸，加解密在客戶與證券公司實際控制的系統(tǒng)中進行，不得在任何中間環(huán)節(jié)對數(shù)據(jù)進行解密；口令和密鑰全程加密傳輸，且加密存儲于后臺區(qū)；嚴格授權訪問存儲敏感數(shù)據(jù)的數(shù)據(jù)庫。

敏感數(shù)據(jù)指影響網(wǎng)上證券信息系統(tǒng)安全和客戶信息安全的數(shù)據(jù)，包括但不限于：口令、密鑰，以及客戶賬號、身份信息、聯(lián)系方式、交易數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、支付或轉賬數(shù)據(jù)、包含以上數(shù)據(jù)的客戶日志，以及其它若發(fā)生泄露可能損害客戶合法權益的數(shù)據(jù)。

第十四條 證券公司應當保證網(wǎng)上證券敏感數(shù)據(jù)傳輸?shù)目捎眯?、保密性、完整性、真實性和可稽核性。網(wǎng)上證券信息系統(tǒng)未經(jīng)證券公司授權不得與第三方進行任何形式的敏感數(shù)據(jù)交換，并具備經(jīng)過認證后僅向授權的第三方指定地址發(fā)送信息的功能，數(shù)據(jù)交換應當加密傳輸或使用專線、VPN等可靠通道，并確保數(shù)據(jù)在傳輸過程中不在所經(jīng)過的設備或系統(tǒng)上被復制或保存。

第十五條 證券公司應當根據(jù)國家相關法律法規(guī)以及行業(yè)制度和規(guī)范要求、結合自身實際情況制定網(wǎng)上證券信息系統(tǒng)的數(shù)據(jù)備份計劃并落實執(zhí)行。備份的數(shù)據(jù)包括但不限于：系統(tǒng)程序、配置參數(shù)、系統(tǒng)日志、安全審計數(shù)據(jù)、門戶網(wǎng)站信息（資訊類數(shù)據(jù)除外）、客戶數(shù)據(jù)等。
第十六條 證券公司網(wǎng)上證券信息系統(tǒng)敏感數(shù)據(jù)復用時應當遵循最小化原則。
 

第三章    網(wǎng)上證券客戶端
 

第十七條 證券公司發(fā)布網(wǎng)上證券客戶端應當通過公司網(wǎng)站或授權的第三方渠道進行。證券公司在客戶端軟件程序編譯封裝、形成下載文件后，應當安排專人對其進行嚴格的病毒掃描和木馬檢查，對計算機類專用客戶端的發(fā)布應當提供MD5等方式的校驗。

第十八條 證券公司授權第三方發(fā)布網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)的專用客戶端時，應當對其發(fā)布的客戶端軟件進行確認。

第十九條 網(wǎng)上證券客戶端用戶登錄功能應當至少提供一種安全方式，包括但不限于：圖形驗證碼、強制隨機排序圖形鍵盤、口令輸入安全控件等，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息。

第二十條 網(wǎng)上證券客戶端的客戶身份認證信息和交易、支付數(shù)據(jù)等數(shù)據(jù)傳輸應當采用國家信息安全機構認可的加密技術和加密強度，并最低達到等同SSL協(xié)議128位的加密強度。

第二十一條 網(wǎng)上證券客戶端在本地終端存儲客戶賬戶、交易數(shù)據(jù)、支付數(shù)據(jù)等數(shù)據(jù)時，應當提示客戶，經(jīng)客戶確認后以加密方式存儲。

第二十二條 當客戶訪問網(wǎng)上證券服務端時，未經(jīng)客戶許可不得以任何方式在客戶端系統(tǒng)中安裝插件，安裝后應當允許客戶卸載。

第二十三條 證券公司應當采取服務端身份或證書驗證等手段校驗網(wǎng)上證券專用客戶端。網(wǎng)上證券專用客戶端具有唯一連接到證券公司網(wǎng)上證券服務端的保障機制。網(wǎng)上證券專用客戶端應當提供足夠的識別信息，以使網(wǎng)上證券服務端能夠對發(fā)出連接請求的客戶端與證券公司所提供的程序進行一致性驗證。

第二十四條 網(wǎng)上證券專用客戶端應用程序的新版本升級策略應當具備提醒升級、強制升級等功能，并由證券公司在服務端進行升級策略的控制。

第二十五條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)客戶端應當向客戶提示最近一次登錄的日期、時間、地址等信息，并對異常登錄及時提醒。

網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)指在信息交互或信息存儲中涉及敏感數(shù)據(jù)的網(wǎng)上證券信息系統(tǒng)。

第二十六條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)客戶端應當提供在指定的閑置時間間隔到期后，自動鎖定或退出客戶端的功能使用。

第二十七條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)以及實時行情系統(tǒng)的專用客戶端應當具備反調試和反逆向機制。
 

第四章 網(wǎng)上證券服務端
 

第二十八條 證券公司應當對網(wǎng)上證券服務端的各個子系統(tǒng)合理劃分安全域，不同安全域之間應當有效隔離，包括但不限于：網(wǎng)上證券信息系統(tǒng)隔離區(qū)（DMZ）系統(tǒng)與后臺區(qū)系統(tǒng)隔離；后臺區(qū)系統(tǒng)與行情資訊處理系統(tǒng)隔離。后臺區(qū)系統(tǒng)應當部署在證券公司可控的物理安全域內。

第二十九條 證券公司應當提供可靠的客戶身份認證機制，支持網(wǎng)上證券客戶端采用多種認證方式與服務端進行身份認證。對于提供證券交易、第三方支付、敏感數(shù)據(jù)修改等服務功能的網(wǎng)上證券信息系統(tǒng)，除輸入賬戶名、口令、圖形驗證碼外，還應當向客戶提供一種或一種以上強度更高的身份認證方式，包括但不限于：客戶端設備特征碼綁定、軟硬件證書、動態(tài)口令等認證方式，確?？蛻羯矸菡J證的合法性，防止非法接入。

第三十條 網(wǎng)上證券服務端應當防止客戶使用簡單口令，應當能夠抵御連續(xù)猜測等惡意攻擊行為?？蛻暨z忘網(wǎng)上證券信息系統(tǒng)登錄口令時，證券公司應當采用安全可靠的方式進行口令重置，禁止將原口令發(fā)送給客戶。

第三十一條 網(wǎng)上證券服務端應當監(jiān)控攻擊者通過群體大規(guī)模對合法證券賬戶進行非法登錄的請求，建立相應的應急處理機制，防范大量客戶賬戶被異常鎖定、正常客戶無法登錄。

第三十二條 網(wǎng)上證券服務端應當具備防范SQL注入式攻擊、跨站腳本攻擊、緩沖區(qū)溢出等攻擊的能力。

第三十三條 網(wǎng)上證券服務端應當向客戶提供可證明服務端合法性的信息，幫助客戶查驗所使用服務的真實性。查驗手段包括但不限于：提供預留信息服務并在客戶登錄時向客戶顯示預留信息等。

第三十四條 網(wǎng)上證券服務端應當向客戶有效屏蔽信息系統(tǒng)的異常信息，避免將信息系統(tǒng)的運行環(huán)境、開發(fā)環(huán)境等信息反饋給客戶。

第三十五條 網(wǎng)上證券服務端應當向證券公司技術人員提供系統(tǒng)運行狀況信息(如活動狀態(tài)、并發(fā)在線客戶數(shù)、并發(fā)會話數(shù)、線程數(shù)、隊列長度等)、錯誤信息、安全警告等。

第三十六條 證券公司應當制定并及時更新網(wǎng)上證券服務端范圍內的服務器、中間件、操作系統(tǒng)、數(shù)據(jù)庫等安全配置基線。網(wǎng)上證券信息系統(tǒng)在符合安全基線后方可上線，運行過程中應當監(jiān)控違反安全基線的異常情況，并及時處置。

第三十七條 證券公司應當對網(wǎng)上證券服務端的軟件資產(chǎn)進行管理，并通過合法渠道及時獲知相關軟件的漏洞信息，采取措施加以改進。軟件資產(chǎn)包括但不限于：商用或開源的操作系統(tǒng)、中間件、數(shù)據(jù)庫、WEB框架等。

第三十八條 證券公司涉及交易服務、實時行情的網(wǎng)上證券服務端應當在兩個或兩個以上的物理地點部署，并具備兩個或兩個以上不同運營商的網(wǎng)絡接入，互為備份，避免單點故障和性能瓶頸，確保網(wǎng)上證券信息系統(tǒng)的業(yè)務連續(xù)性。

第三十九條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當部署在中華人民共和國境內，滿足技術審計、監(jiān)管部門現(xiàn)場檢查及司法機構調查取證等要求。部署網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端的有形場所，應當符合國家安全標準的有關要求。

第四十條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當具備可靠的訪問控制、會話管理和權限管理機制，防止客戶的授權被惡意提升或轉授，防止客戶使用未經(jīng)授權的功能、訪問未經(jīng)授權的數(shù)據(jù)，確保數(shù)據(jù)交互的合法性。

第四十一條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當采用通過國家信息安全機構安全測評的認證授權和加密體系，具備足夠的強度和抗攻擊能力，并根據(jù)在網(wǎng)上開展證券業(yè)務的安全性需要和信息技術的發(fā)展，定期檢查、評估和及時調整。

第四十二條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當對不完整、被篡改、重發(fā)的數(shù)據(jù)包進行監(jiān)控，對暴力破解、異常登錄等異常行為進行跟蹤、監(jiān)控，記錄其賬號、IP地址等相關信息，并通過有效的即時通信方式及時提示客戶，必要時對異常接入進行限制或對客戶賬戶進行臨時鎖定。監(jiān)控和處置情況應當形成記錄備查。

第四十三條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當在指定的閑置時間間隔到期后，自動中止客戶對系統(tǒng)的訪問權。

第四十四條 網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務端應當產(chǎn)生、記錄并集中存儲必要的日志信息，滿足信息技術審計、監(jiān)管部門現(xiàn)場檢查及司法機構調查取證的要求。

日志信息包括但不限于：網(wǎng)上證券應用軟件信息，及服務請求方的身份信息。

在可行的技術條件下，服務請求方的身份信息包括但不限于：登錄終端的IP地址、計算機終端信息（如MAC地址、硬盤序列號、CPU序列號等）、手機號碼、移動終端信息（如手機IMEI碼、平板電腦序列號等）等。

第四十五條 證券公司應當在門戶網(wǎng)站及其它涉及敏感數(shù)據(jù)的頁面部署防篡改系統(tǒng)。相關頁面內容、提供下載的客戶端軟件被異常修改時，防篡改系統(tǒng)應當自動告警或自動恢復、并記錄日志。

第四十六條 證券公司應當建立對通過開放性網(wǎng)絡向客戶發(fā)布信息的審核、管理和監(jiān)控機制，并對公司網(wǎng)站等平臺的內容進行監(jiān)控，對有害信息進行過濾，防止出現(xiàn)不良信息。
 

第五章 開發(fā)和實施管理
 

第四十七條 證券公司網(wǎng)上證券信息系統(tǒng)的應用開發(fā)，應當從需求分析、設計、代碼編寫、測試、上線運行等全生命周期角度開展應用安全設計和實施。

第四十八條 證券公司在需求分析與設計階段，應當充分分析相關業(yè)務功能所面臨的安全威脅和必需的安全功能，使安全功能設計成為整體功能設計的組成部分。

第四十九條 證券公司應當制定應用開發(fā)安全規(guī)范，開發(fā)人員在開發(fā)過程中應當嚴格遵循應用開發(fā)安全規(guī)范。

第五十條 證券公司應當在網(wǎng)上證券信息系統(tǒng)上線或重大變更前進行安全測試和檢查。測試和檢查手段包括但不限于：滲透測試、模糊測試和代碼審計等。安全測試和檢查團隊應當獨立于開發(fā)團隊和實施團隊。
 

第六章 第三方服務管理
 

第五十一條 網(wǎng)上證券信息系統(tǒng)開發(fā)商、服務商等第三方機構提供技術產(chǎn)品和技術服務時，證券公司應當對其提供的技術產(chǎn)品和技術服務進行評估，并約束其符合本指引規(guī)定的相關要求。

第五十二條 網(wǎng)上證券信息系統(tǒng)采用外包方式建設時，證券公司應當與第三方機構簽署服務協(xié)議和保密協(xié)議，協(xié)議內容包括但不限于：接受證券監(jiān)管部門的延伸檢查，明確客戶端、服務端以及數(shù)據(jù)傳輸過程中均無后門，明確軟件開發(fā)商應用軟件中使用的插件具備合法版權，保證客戶數(shù)據(jù)、交易資料不被泄漏等相關內容。

第五十三條 證券公司應當建立第三方服務質量的評估機制，不得選擇在證券監(jiān)管部門誠信檔案中存在不良記錄的第三方機構。

第五十四條 證券公司不得向第三方運營的客戶端提供網(wǎng)上證券服務端與證券交易相關的接口。證券交易指令必須在證券公司自主控制的系統(tǒng)內全程處理。
 

第七章 安全和運維管理
 

第五十五條 證券公司應當按以下標準確定網(wǎng)上證券信息系統(tǒng)的安全等級，并根據(jù)行業(yè)信息安全等級保護要求和規(guī)定，開展相應的信息安全等級保護工作：

（一）具有證券交易、第三方支付、或對敏感數(shù)據(jù)進行修改等業(yè)務功能，且用戶規(guī)模在50萬或50萬以上的信息系統(tǒng)定為三級；用戶規(guī)模在50萬以下的定為二級；

（二）其它網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)，以及實時行情系統(tǒng)、門戶網(wǎng)站系統(tǒng)定為二級。

第五十六條 證券公司應當制定網(wǎng)上證券信息系統(tǒng)的安全措施，定期檢查和測試，并根據(jù)實際情況及時調整，保證安全措施的持續(xù)有效。

第五十七條 證券公司應當建立網(wǎng)上證券信息系統(tǒng)定期安全風險評估機制和整改工作制度，及時發(fā)現(xiàn)SQL注入漏洞、弱口令賬戶、繞過驗證、目錄遍歷、文件上傳、跨站腳本等系統(tǒng)存在的安全隱患和漏洞，并進行改進和完善。風險評估應當通過內部評估與外部評估相結合的方式進行。

第五十八條 安全風險評估方式包括但不限于：漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，并針對不同的威脅設置相應的檢查頻率。

第五十九條 證券公司應當嚴格限制人工對數(shù)據(jù)庫操作的賬戶權限，并分別使用不同權限的賬戶執(zhí)行查詢和修改等操作，記錄操作日志，并納入信息安全審計范圍。

第六十條 證券公司應當保障網(wǎng)上證券信息系統(tǒng)運營設施、設備以及安全控制設施、設備的安全。對重要設施、設備的接觸、檢查、維修和應急處理，應當有明確的權限規(guī)定、責任劃分和操作流程，并建立日志文件管理制度，如實記錄并妥善保管相關記錄。

第六十一條 證券公司應當定期評估可供客戶使用的網(wǎng)上證券信息系統(tǒng)的資源狀況，并根據(jù)實時監(jiān)控信息、可預見的業(yè)務發(fā)展需求進行容量的需求預測，確保有充足的處理能力、存儲容量和通訊帶寬，滿足業(yè)務增長的需要，保證網(wǎng)上證券服務的可用性，并能抵御一定程度的拒絕服務攻擊和緩沖區(qū)溢出攻擊。

第六十二條 網(wǎng)上證券信息系統(tǒng)的網(wǎng)絡系統(tǒng)、安全系統(tǒng)、應用系統(tǒng)等重要系統(tǒng)應當具備足夠的冗余，以應對網(wǎng)站及網(wǎng)上交易可能出現(xiàn)的突發(fā)峰值。網(wǎng)上證券信息系統(tǒng)的網(wǎng)絡系統(tǒng)、安全系統(tǒng)、應用系統(tǒng)等重要系統(tǒng)應當具備良好的可擴充性，以應對業(yè)務增長和市場的變化。

第六十三條 證券公司應當根據(jù)行業(yè)運維管理規(guī)范、信息安全等級保護、證券期貨業(yè)信息安全保障管理辦法等相關要求，開展網(wǎng)上證券信息系統(tǒng)應急預案建立、修訂、演練、培訓等工作。網(wǎng)上證券信息系統(tǒng)應急預案應當納入證券公司和行業(yè)的應急預案體系內。

第六十四條 證券公司網(wǎng)上證券信息系統(tǒng)應急預案應當針對以下場景制定對應的應急操作流程或步驟：

（一）電力、通信等基礎設施故障；

（二）計算機硬件或網(wǎng)絡設備故障；

（三）操作系統(tǒng)或應用系統(tǒng)故障；

（四）操作系統(tǒng)或應用系統(tǒng)漏洞；

（五）病毒入侵、惡意攻擊、客戶賬戶遭受非法入侵和操作等計算機犯罪事件；

（六）假冒證券公司網(wǎng)上證券信息系統(tǒng)和服務平臺；

（七）誤操作、不可抗力等。

第六十五條 證券公司應當制定網(wǎng)上證券業(yè)務連續(xù)性計劃，保證網(wǎng)上證券業(yè)務的持續(xù)正常運營。制定網(wǎng)上證券業(yè)務連續(xù)性計劃時，應當充分評估服務供應商對業(yè)務連續(xù)性的影響，并采取適當?shù)念A防措施。

第六十六條 證券公司應當根據(jù)行業(yè)信息安全事件報告與調查處理的有關規(guī)定，做好網(wǎng)上證券信息系統(tǒng)故障和信息安全事件的應急處置、事件報告、總結改進等相關工作。
 

第八章    客戶服務和保護
 

第六十七條 證券公司向客戶發(fā)布公告、通知、風險揭示等服務信息時，應當利用信息技術手段提高信息發(fā)布的及時性。

第六十八條 證券公司應當與客戶簽訂網(wǎng)上證券服務協(xié)議或合同、風險揭示書，明確雙方的權利、義務和相關風險的責任承擔，向客戶充分揭示使用網(wǎng)上證券信息系統(tǒng)可能面臨的風險、證券公司已采取的風險控制措施和客戶應當采取的風險防范措施。揭示內容包括但不限于：建議客戶定期修改口令、增強口令強度，防止口令泄露、防止網(wǎng)上證券客戶端感染木馬、病毒等，并提醒客戶可根據(jù)需要開啟或關閉網(wǎng)上證券交易方式。

第六十九條 當網(wǎng)上證券服務范圍、方式或內容發(fā)生變化時，證券公司應當評估原有協(xié)議、合同和風險揭示書的適用性，并對內容的變更進行公告，或與客戶簽署補充協(xié)議、風險揭示書。

第七十條 證券公司應當在與客戶簽訂的協(xié)議或合同中明確告知客戶使用網(wǎng)上證券信息系統(tǒng)的合法途徑、意外事件的處理辦法，以及證券公司聯(lián)系方式等。

第七十一條 證券公司應當根據(jù)網(wǎng)上證券業(yè)務的網(wǎng)絡延遲時間、鏈路穩(wěn)定狀況、信號衰減程度等風險因素，對行情或交易數(shù)據(jù)可能出現(xiàn)明顯滯后或產(chǎn)生數(shù)據(jù)丟失的情況，事先對客戶進行風險提示。

第七十二條 證券公司應當對與網(wǎng)上證券業(yè)務服務相關的域名、服務電話、短信號碼、公共平臺賬號、客戶端發(fā)布渠道等進行統(tǒng)一管理，并通過多種渠道正式向客戶發(fā)布。

第七十三條 證券公司應當對假冒證券公司網(wǎng)上證券信息系統(tǒng)的非法活動及時處置，并通過證券公司網(wǎng)站、網(wǎng)上證券客戶端、電話語音系統(tǒng)、短信平臺、公眾平臺等提醒客戶注意。
 

第九章 附則
 

第七十四條 本指引由中國證券業(yè)協(xié)會負責解釋。

第七十五條 本指引自發(fā)布之日起施行。

本文鏈接：http://www.dyerandpostasalon.com/law/5661.html

本文關鍵詞： 中證協(xié)發(fā)〔2015〕8號, 證券公司, 網(wǎng)上證券信息系統(tǒng), 技術指引