本标准按照GB/T1.1-2009给出的规则起草。本标准由民政部社会组织管理局提出并归口。本标准主要起草单位:民政部社会组织管理局、佳信德润(北京)科技有限公司、中国标准化研究院。
本标准主要起草人:沈新华、侯正春、易昕、郭润苗、侯非、马俊达、于辉、屈涛。
引言
为贯彻落实《中华人民共和国慈善法》《公开募捐平台服务管理办法》等法律法规和有关规定,进一步完善慈善组织互联网公开募捐信息平台指定流程,引导互联网公开募捐信息平台服务能力建设,强化互联网公开募捐信息平台事中事后监管,维护捐赠人、受益人和慈善组织等慈善活动参与主体的合法权益,促进我国慈善事业健康有序发展,特制定本标准。
1范围
本标准规定了慈善组织互联网公开募捐信息平台在性能、功能、安全、运维等方面的要求。
本标准适用于慈善组织互联网公开募捐信息平台的设计、开发、改造,以及遴选指定、日常运维。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求非金融机构支付服务管理办法中国人民银行2010信息安全等级保护管理办法公安部2007
3术语和定义
3.1慈善组织charitableorganization
依法成立,以面向社会开展慈善活动为宗旨的非营利性组织。注:慈善组织包括基金会、社会团体、社会服务机构等组织形式。
3.2慈善募捐charitablefundraising
慈善组织(3.1)基于慈善宗旨募集财产的活动,包括面向社会公众的公开募捐和面向特定对象的定向募捐。
3.3捐赠人donor
基于慈善目的,自愿、无偿地以向慈善组织赠与财产等方式,参与慈善活动的自然人、法人或其他组织。
3.4互联网公开募捐信息平台onlinefundraisingplatform
通过互联网为具有公开募捐资格的慈善组织发布公开募捐信息的网络服务提供者。
3.5互联网公开募捐信息平台服务onlinefundraisingplatformservice
3.6互联网公开募捐信息平台用户onlinefundraisingplatformuser
通过互联网访问、使用互联网公开募捐信息平台的自然人、法人或其他组织。
3.7互联网公开募捐信息平台运营人员onlinefundraisingplatformoperator
互联网公开募捐信息平台负责信息审核、筛选和发布,承担平台维护与更新的工作人员。
4基本要求
4.1合规性要求
互联网公开募捐信息平台(以下简称“平台”)应具有独立法人资格,其中:
——信息系统的安全保护等级不低于《信息安全等级保护管理办法》规定的第三级,并取得有权机关出具的备案证明。
4.2响应性要求
4.2.1每秒请求数平台每秒成功处理的请求数量应≥300。
4.3稳定性要求
4.4扩展性要求
平台应基于可扩展的系统架构进行设计,可在不改变系统架构的情况下扩展数据内容、业务流程。
4.5兼容性要求
平台应适合电脑、手机等多终端访问、运行和展示,样式无错乱。
4.6数据接口要求
平台宜具有数据接口,能按照统一的数据传输标准、数据传输范围将平台数据上传至民政部门统一的慈善信息公开平台。
4.7日志记录要求
a)慈善组织在平台上进行的操作
b)互联网公开募捐信息平台运营人员(以下简称“运营人员”)在平台上进行的操作;
c)互联网公开募捐信息平台用户(以下简称“用户”)在平台上进行的操作。
4.7.2记录的内容应至少包括:
a)操作者;
c)源/目的IP;
d)操作对象、操作。
5功能开发要求
5.1基础功能
5.1.1公开募捐活动展示
平台应有公开募捐活动汇总展示页面、活动详情页面,页面应无样式错乱。用户能通过活动名称等关键字在汇总展示页面进行检索。活动详情页面信息应包括:
a)公开募捐活动在民政部门的备案编号;
b)活动名称;
c)募捐目的;
d)活动进展;
e)起止日期;
f)募捐情况;
g)慈善组织全称、统一社会信用代码及支付账户信息;h)受益人(对象);
i)活动负责人及联系方式;
j)活动执行机构全称及联系方式;
k)募得款物用途;
l)募捐成本;
m)剩余财产处理方案;
n)发票开具方式。
5.1.2慈善组织展示
a)慈善组织全称、统一社会信用代码及支付账户信息;
b)登记管理机关;
c)住址及联系方式;
d)慈善组织登记证书扫描件;
e)公开募捐资格证书扫描件。
5.1.3公开募捐活动捐款
平台宜开通在线募捐支付功能并提供技术保障,捐赠资金应直接进入慈善组织的银行账户或安全的第三方支付账户,不应截留或代为接受捐赠资金。其中,第三方支付账户服务提供者应具有《非金融机构支付服务管理办法》规定的支付业务许可证。
5.1.4善款查询
捐赠人可在平台查询历史捐赠记录,包括:
b)参与捐赠的活动及活动进展;
c)捐赠金额。
5.1.5社会举报
5.2后台管理功能
5.2.1活动管理
通过平台技术,慈善组织应能对平台上发布的活动进行管理,包括:
a)创建公开募捐活动,上线前编辑活动;
b)查看捐赠总额;
c)便捷地更新活动进展,并反馈给捐赠人。可使用以下方式进行反馈:
——站内信;
——短信;
——邮件;
——应用推送。
5.2.2捐款管理
通过平台技术,慈善组织应能对平台内捐款信息进行管理,包括:
a)查看捐款详情;
c)查看并导出捐赠人申请公益事业捐赠统一票据情况,包括:
——捐赠人名称;
——捐赠项目;
——捐赠金额;
——寄送地址;
——收件人。
5.2.3捐赠人管理
通过平台技术,慈善组织应能对平台内捐赠人信息进行管理或导出,包括:
a)查看捐赠人信息,包括:
——捐赠人姓名或平台捐赠人独立标识、是否来自境外;
——捐赠人捐赠情况;
b)查看每个捐赠人名下对该慈善组织的捐赠总额、捐赠次数;
——捐赠人姓名或平台捐赠人独立标识;
——捐赠人捐赠总额;
——捐赠人捐赠次数。
6安全要求
6.1物理安全
自建机房的平台应满足GB/T20271-2006中6.3.1的有关要求。
6.2软硬件安全
平台应正确部署软硬件并配置其安全功能,包括:a)硬件架构中包含防火墙设备;b)操作系统和业务框架的重大公共漏洞在发现后6小时内修补;c)使用的第三方软件保持最新稳定版本。
6.3数据安全
6.3.1数据备份
平台应对捐赠信息、捐赠人信息、公开募捐活动信息、慈善组织信息等平台业务数据进行备份,其中:
——增量备份的备份周期应≤1小时,并长期保存;
6.3.2数据恢复
6.3.2.1平台应建立数据恢复策略,包括:
a)数据恢复的决策机制;b)数据恢复的触发条件;c)数据恢复节点;d)数据恢复实施团队;
e)数据恢复异常情况处理预案。
6.3.2.2平台应符合数据恢复要求,包括:
a)若需进行数据恢复,应尽可能减少数据损失;
6.4安全事故及响应
6.4.1安全事故
安全事故通常包括:
a)网络接入链路中断或拥塞;
b)域名系统解析服务异常;
c)系统瘫痪、遭到入侵或控制、应用服务中断;d)用户数据被篡改、丢失;
e)系统感染恶意代码;
f)网页篡改、网络仿冒;
g)其他安全事故。
6.4.2安全事故响应
6.4.2.1平台应当明确安全事故通知与处理机制,包括:
a)安全事故类型;
b)安全事故具体负责人;
c)安全事故类型及应对方案。
6.4.2.2若发现恶意攻击,平台应在15分钟内予以阻断,30分钟内解决。
6.4.2.3若平台在30分钟内未能解决安全事故,应及时上报有关部门。
6.4.3安全事故记录
平台应就发生的安全事故进行记录,其中:
a)安全事故记录应至少保留2年,并将处理结果作为定期服务报告的一部分;
7运行维护要求
7.1运行维护团队
平台应有专门技术维护团队,并明确运行维护负责人。
7.2运行维护人员权限管理
7.3运行维护日志
对于系统软硬件以及系统数据的操作应进行记录,记录内容至少包含: