-安全策略-

　　SECURITY STRATEGY

　　网络及系统安全

　　信息存储安全

　　在用户信息存储过程中，合利宝已为用户设计了以下安全保护措施，以防止用户信息在存储过程中的窃取：

　　1、我们通过严格的物理、网络、逻辑隔离、完备的硬件级别访问控制设施，防止入侵者通过攻击入侵窃取用户个人信息。

　　2、用户个人信息均通过硬件级别的加密机进行加密存储，外部入侵者不可读取也无法进行解密。

　　3、完善的文件及数据库监控体系，确保任何信息发生泄漏和篡改时可以被实时发现。

　　用户认证安全

　　合利宝采用具有广泛适用性的手机号码或电子邮件作为用户认证的登录账号，该账号适用于用户将来完成合利宝对应业务的交易认证，账号具有唯一性，且便于接收各种交易环节的通知信息。

　　网络交易安全

　　在用户网络交易过程中，合利宝已为用户设计了以下安全保护措施，以防止用户数据在交易和网络传输过程中被窃取和截取：

　　1、交易信息以非明文方式传输和存储，防止交易数据在传输和存储过程中的窃听和盗取;

　　2、交易信息在服务器端采用硬件加密进行加密存储，防止交易数据在存储过程中被盗取;

　　3、合利宝所有产品在设计及开发过程中均参考网银和OWASP的相关安全建议进行保护。

　　信息安全实时监控

　　1、7*24小时专人监控系统运行状况，监控内容包括：用户应用异常、用户交易异常、入侵检测、已知攻击检测、传输过程中数据窜改、峰值异常、网络异常等。

　　2、风险监控，时刻保护您的账户和交易安全，同时对涉嫌洗钱、套现、欺诈、盗用等可疑行为及时预警和控制，并由风险专业团队对风险交易进行核查和处理。。

　　交易过程安全

　　用户提交一个支付交易后，在整个支付交易过程中，交易信息采用128位非对称算法SSL加密传输，防止交易数据在网络传输过程中被监听和窃取。交易信息在合利宝服务器采用硬件加密机进行加密存储，防止交易数据在存储过程中被盗取，所有产品的设计和开发过程均通过内部安全部门和第三方安全公司的双重安全检测和评估。

商户安全管理

　　严格的商户准入标准

　　为了维护普通消费者利益，合利宝对于想要签约加入合利宝的商户有着严格的准入签约标准

　　所有商户签约时均需向合利宝递交包括组织营业执照、组织机构代码等审核材料，由合利宝的风险控制专家根据既定的标准流程对商户的资质信用进行审核验证;

　　合利宝风险控制部门已成立了正式的审核资质复查小组，不定期对已签约的商户经营规模、经营状况进行抽样复核，如发现商户有任何违规或涉嫌违规操作，立即取消签约资格。

　　完善的防钓鱼安全体系

　　钓鱼网站指的是那些通过仿冒真实商户的网站地址或页面显示内容，骗取消费者进行交易消费操作，以此窃取消费者账户用户账号密码或银行账号密码的非法网站。合利宝在所有签约商户交易门户设立了完善的防钓鱼安全措施，以帮助消费者尽快识别钓鱼网站，保障消费者账号密码等重要信息的安全。

　　实时的反洗钱监控机制

　　合利宝已根据中国人民银行公布的《支付机构反洗钱和反恐怖融资管理办法》中的相关要求，建立了正式的反洗钱内部控制制度，对商户身份识别、身份资料、交易记录、可疑交易进行实时监控，防止商户通过合利宝进行任何非法交易。