DB12 T 928-2020 共享经济灵活就业人员管理与服务平台开发指南.pdf

1、ICS 35.080 L 77 DB12 天津市 地 方 标 准 DB12/T 928 2020 共享经济灵活就业人员管理与服务 平台开发指南 Development guidelines of management and service platform of the Gig Worker in the sharing economy 2020 - 01 - 22发布 2020 - 03 - 01实施 天津市市场监督管理委员会 发布 DB12/T 9282020 I 前 言 本标准按照 GB/T 1.1-2009标准化工作导则 第 1部分：标准的结构和编写给出的规则起草。 本标准由天津市工

2、业和信息化局提出并归口。 本标准起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术 (天津 )有限公司。 本标准主要起草人：杨晖、邹永强、华烨姗、周军、陈恩泽、翟文彪、徐文清、周明、白涛、石稳。 DB12/T 9282020 1 共享经济灵活就业人员管理与服务平台开发指南 1 范围 本标准规定了共享经济灵活就业人员管理与服务平台在开发中的功能要求、性能要求、安全要求 及 质量要求。 本标准适用于指导共享经济灵活就业人员管理与服务平台的功能设计、开发、测试等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的

3、引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 25000.10-2016 系统与软件工程 系统与软件质量要求和评价（ SQuaRE） 第 10部分：系统与 软件质量模型 GB/T 25000.51-2016 系统与软件工程 系统与软件质量要求和评价（ SQuaRE） 第 51部分：就绪可 用软件产品（ RUSP）的质量要求和测试细则 GB/T 35273-2017 信息安全技术 个人信息安全规范 3 术语和定义 GB/T 35273-2017界定的以及 下列术语和定义适用于本文件 ，为了便于使用，以下重

4、复列出了 GB/T 35273-2017中的某些术语和定义 。 3.1 灵活就业人员 the Gig Worker 自我雇佣并以个人身份从事合法合规生产经营活动的具备民事行为能力的市场主体。 3.2 共享经济灵活就业人员管理与服务（简称： “管理与服务 ”） management and service for the Gig Worker in the sharing economy 基于互联网现代信息技术，为灵活就业人员提供的身份核验、规则宣贯、收入结算、人工智能报税、 保险保障等共享经济综合服务。 3.3 共享经济灵活就业人员管理与服务机构（简称： “管理与服务机构 ”） managem

5、ent and service institute of the Gig Worker in the sharing economy 提供共享经济灵活就业人员管理与 服务的平台化的组织。 3.4 共享经济灵活就业人员管理与服务平台（简称：“管理与服务平台”） management and service platform of the Gig Worker in the sharing economy 管理与服务机构的网络系统平台。 DB12/T 9282020 2 3.5 企业用户 enterprise user 共享经济平台 型企业 在管理与服务平台中的企业身份。 3.6 个人用户 ind

6、ividual user 灵活就业人员在管理与服务平台中的个人身份。 3.7 业务数据 business data 用户在管理与服务 平台中的身份、活动以及 其他 的衍生数据。 3.8 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然 人活动情况的各种信息。 注： 个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内 容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 GB/T 35273-2017，定义 3.1 4 功能要求 4.1

7、 管理与服务平台 功能 模块 功能模块应包括：企业用户功能、个人用户功能、代理 商功能、用工任务功能、经营所得发放功能、 企业账务功能、风险控制功能、业务数据管理功能、公共服务功能。功能模块图参考示例。 示例： DB12/T 9282020 3 4.2 企业用户功能 4.2.1 企业用户准入管理 应实现企业用户名称、营业执照、所属行业、服务场景等基础信息创建、修改 、删除 等功能 。 应实 现企业用户基本信息、业务信息等审核 通过 、 审核驳回、撤销审核 等功能。 4.2.2 企业用户信息管理 应实现企业用户充值账户创建、修改 、删除 等功能。应实现企业用户服务费计费规则的配置、修改 、 删除

8、 等功能。 4.2.3 企业用户合同管理 应实现企业用户合同创建、修改 、删除 等功能。应实现企业用户合同 审核 通过 、 审核驳回、撤销审 核 等功能。 4.3 个人用户功能 4.3.1 个人用户认证管理 应实现以下个人用户认证管理功能 : a) 个人用户移动端填写手机号码注册功能； b) 至少一种实名认证功能：通过真实姓名、身份证件号码及其影像信息、银行卡号、银行预留手 机号进行实名认证，或通过真实姓名和身份证件号码并结合 人脸识别 或其他生物特征识别进行 实名认证； c) 实名认证信息的查询功能。 4.3.2 个人用户签约管理 应实现个人用户在移动端进行签约 、签约协议查询 等功能。宜实

9、现基于电子签章的签约。 4.4 代理商功能 4.4.1 代理商登记及管理 宜实现渠道商名称、开户名称、对公账户、开 户行、渠道返佣类型等信息创建、修改 、删除 等功能 。 宜实现服务商企业名称、回调地址等信息创建、修改 、删除 等功能。 4.4.2 代理商准入 审核 宜实现 代理商 审核 通过 、 审核驳回、撤销审核 等功能。 4.5 用工任务功能 应实现用工任务创建、发布、认领、 查询、 删除等功能。 宜实现任务模板创建、修改、 查询、 删除 等功能，利用任务模板快速建立用工任务。 4.6 经营所得发放功能 4.6.1 账户管理 4.6.1.1 充值 DB12/T 9282020 4 应至少

10、实现线下充值功能或企业用户专属虚拟账户自动认款功能。 4.6.1.2 转账 宜实现同一企业用户多账户间转账、查看转入及转出记录等功能。 4.6.1.3 提现 应实现将资金从企业用户在管理与 服务平台中开立的账户，转账到企业用户银行账户的功能。 4.6.1.4 明细查询 应实现账户余额、充值记录、转账记录、提现记录等资金流水明细 查询 功能。 4.6.2 交易管理 4.6.2.1 经营所得发放限额配置 应实现企业用户配置单日发放额度功能。 4.6.2.2 经营所得发放 应实现个人用户自助发起及企业用户辅助发起经营所得发放请求功能。应实现经营所得发放过程自 动处理及实时到账功能。 经营所得发放应支

11、持全国范围内超过 100家银行，宜支持超过 400家银行。除银行外， 宜 支持多种第 三方支付机构支付通道 。 4.6.3 通道管理 应实现自动匹配最优银行通道发放经营所得功能。宜支持自动匹配 最优第三方支付机构通道发放经 营所得功能。 应实现通道维护公告发布功能。 4.7 企业账务功能 4.7.1 对账管理 4.7.1.1 获取对账文件 应实现从各收付款通道自动下载对账文件功能。 4.7.1.2 自动对账 应实现对账文件中的资金流水与管理与服务平台资金流水的自动对账功能，确保管理与服务平台和 通道的资金流水一致。 4.7.1.3 差错处理 应实现对发生差错的资金流水进行调账的功能。 4.7.

12、2 账单管理 应实现基于对账结果自动生成账单，以及 账单查询、 账单 下载等 功能。 4.7.3 会计分录管理 DB12/T 9282020 5 4.7.3.1 生成会计分录 宜实现基于业务 数据和资金 流水自动生成会计分录功能。 4.7.3.2 会计分录同步 宜实现自动同步会计分录至会计记账软件功能。 4.8 风险控制功能 4.8.1 风控档案管理 4.8.1.1 企业用户风控档案信息维护 应至少实现企业用户准入基础信息、巡检补充信息、风险订单统计等风控档案功能。 4.8.1.2 评估风险等级 应实现基于企业用户风险档案等信息评估风险等级功能。 4.8.2 业务风险管理 4.8.2.1 风险

13、名单维护 应实现风险名单创建、修改、删除等功能。应对风险名单区分黑名单、灰名单、白名单。 4.8.2.2 风险标签管理 应实现风险标签创建、修改、删除等功能。 4.8.3 风控调单管理 风控调单流程 应包含如下步骤： a) 风险识别：应实现基于风险交易规则，对每笔交易进行实时监控、识别风险 订单（如企业用户 主体公司、关联公司的董事、监事、高级管理人员收款， 16周岁以下个人用户收款）等功能； b) 发起订单调查：基于风险识别结果，应实现针对触发风险交易规则的订单发起订单调查核实、 通知企业用户的功能； c) 风险处置：应实现企业用户根据订单调查信息提交证明资料功能。应实现对证明资料审核功能。

14、 应实现基于审核结果对风险订单进行订单放行、订单拒绝、加入黑名单等风险处置功能。 4.8.4 风控数据分析 应实现企业用户维度和个人用户维度的订单风险分析等功能。应实现对各类疑似风险点（如企业用 户主体公司、关联公司的董事、监事、高级管理 人员收款、 16周岁以下个人用户收款）的数据分析功能。 4.9 业务数据管理功能 4.9.1 企业用户数据管理 应实现对企业用户数据，如充值数据、经营所得发放数据、服务费数据、提现数据按日、按月统计 及下载 功能。 4.9.2 个人用户数据管理 DB12/T 9282020 6 应实现对新增和留存用户数据的统计分析等功能。宜实现用户画像分析功能。 4.10

15、公共服务功能 4.10.1 总述 管理与服务平台应具备的基础功能包括：权限管理、要素认证管理、审批管理、消息管理。 4.10.2 权限管理 4.10.2.1 账号维护 应实现创建管理与服务平台登录账号、配置账号角色、配置账号数据权限等功能。 4.10.2.2 角色维护 应实现创建账号角色、分配角色 权限、修改角色、删除角色等功能。 4.10.3 要素认证管理 4.10.3.1 分场景多渠道要素认证 根据发送签约 通知、 线上签约 、 发放经营所得 的业务场景需求 ， 认证要素 应满足： a) 发送签约通知应验证二要素，包括姓名、身份证号； b) 线上签约应验证四要素，包括姓名、身份证号、银行卡

16、号、手机号，或人脸等生物特征； c) 发放经营所得应验证三要素，包括姓名、身份证号、银行卡号。 4.10.3.2 发起要素验证 宜实现多渠道发起要素验证服务。 4.10.4 审批管理 4.10.4.1 审批流程配置 应实现审批流程配置 及条件审批流程配置、支持审批人和抄送人配置 等功能。 配置模式应实现指定 成员、指定部门功能。 应实现支持会签和或签等功能。 4.10.4.2 业务审批 应实现企业用户入驻、合同管理、企业用户提现、订单调查审核等关键业务发起审批 、审批记录查 询 等功能。 4.10.5 消息管理 消息管理功能要求如下： a) 应实现通知的创建、发布、修改、删除及查询等； b)

17、应实现函件的创建、发布、修改、删除及查询等。 5 性能要求 性能要求应包含但不限于以下内容： a) 页面操作平均响应时间应小于 3s， API接口响应时间应小于 3s； DB12/T 9282020 7 b) 单笔经营所得发放业务完成时间应 小于 60s，宜 小于 10s； c) 经营所得发放业务处理速度应大于 5笔每秒，宜大于 300笔每秒； d) 应支持在并发用 户数达到 1000人 的情况下同时使用，并发时的错误率应小于十万分之一。 6 安全要求 6.1 计算安全 6.1.1 安全计算环境 系统应符合 GB/T 22239-2019中 8.1.4要求，包括身份鉴别、访问控制、安全审计、入

18、侵防范、恶意 代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 6.1.2 敏感信息识别 对敏感信息应作分类识别： a) 个人用户的敏感信息应至少包含：姓名、身份证号、银行卡号、第三方支付机构账号、手机号、 收入数据、纳税数据、证件影像等 ； b) 企业用户的敏感信息应至少包含：公司名称、营业执照、合同协 议、联系人姓名、联系电话、 联系邮箱、联系地址、登录用户名、登录密码、交易密码、交易数据、 IP、通信密钥、数字证 书等 ； c) 管理与服务平台的敏感信息应至少包含：外部系统通信密钥、内部系统通信密钥、邮件服务认 证配置、短信通道认证配置、出款渠道认证

19、配置、要素验证渠道认证配置、电子签约认证配置、 电子发票认证配置、数字证书认证配置、数据库认证配置、数据加密密钥等。 6.1.3 敏感信息加密 敏感信息应按以下要求加密： a) 应在显示敏感信息时予以掩盖； b) 应对数据 在 传输、 存储时 进行加密； c) 应采取密钥管理系统管理密钥全生命周期； d) 应选择符合国 家行业主管部门要求的加密算法，包括但不限于： 1) 对称加密算法，包括但不限于： SM4、 3DES、 AES (128 位或更高 )； 2) 非对称加密算法，包括但不限于： SM2、 RSA (2048 位或更高 )； 3) 摘要加密算法，包括但不限于： SM3、 SHA-2

20、、 SHA-256。 e) 应对数据加密密钥采取相同标准加密储存。 6.2 开发安全 自行软件开发应符合 GB/T 22239-2019中 8.1.9.4的要求。外包软件开发应符合 GB/T 22239-2019中 8.1.9.5的要求。 6.3 安全测试 安全测试应满足以下要求： a) 应在软件的初始版本 和每次迭代更新版本安装完成后，按前述安全要求进行测试 ; b) 安全测试宜在测试环境、集成测试环境、预发布环境、生产环境实施； c) 每次投产前，应在测试环境进行漏洞扫描； DB12/T 9282020 8 d) 每次投产后，应在生产环境进行漏洞扫描； e) 应每年至少进行一次外部渗透测试

21、，宜每半年进行一次外部渗透测试。渗透测试宜在测试环境、 集成测试环境、生产环境实施。在生产环境实施时，应注意渗透测试的级别或强度，避免造成 生产故障。 7 质量要求 7.1 总述 软件质量应满足本标准第 4章第 6章要求，并应符合 GB/T 25000.10-2016 产品质量的规定及本标 准 7.2 7.4要求。测试细则应符合 GB/T 25000.51 测试文档集要求，并应符合本标准 7.5要求。 7.2 易用性 管理与服务平台的易用性还应满足以下要求： a) 具有管理与服务机构的辨识性，宜体现企业文化； b) 用户操作应当在资金交易、审批、配置等敏感操作进行弹框等明确提示； c) 账户资

22、金交易等敏感操作应有防重复操作机制，宜建立敏感操作列表； d) 用户界面涉及用户协议的，应默认不选中，需用户自行选中 ， 协议若没有打开读完应不允许选 中同意； e) 对企业用户进行重要事项提醒，包括但不限于：停服提醒、账户余额不足提醒、通道维护提醒、 待办事项提 醒等。 7.3 可靠性 管理与服务平台的可靠性还应满足以下要求： a) 应基于多数据中心，应建立数据备份和恢复系统； b) 应保证可用性、到账速度等服务承诺； c) 应有上游限流和调度策略，防止影响管理与服务平台的可用性； d) 应有下游限流和调度策略，防止影响下游系统的可用性 。 7.4 维护性 管理与服务平台的维护性还应满足以下要求： a) 应实现关键业务指标的实时分析，包括但不限于：交易的成功率等； b) 应实现异常交易情况的实时分析，包括但不限于：交易失败、余额不足、触发风控、触发交易 限额、要素认证失败等； c) 应实现关键性能指标的实时分析，包括但不限于： 交易的吞吐率、业务完成时间等 。 7.5 测试文档集 测试说明还应满足以下要求： a) 应建立功能要点检查清单，包括但不限于：经营所得发放、资金流水、计费等； b) 应建立技术要点检查清单，包括但不限于：接口定义、缓存、消息通知等； c) 应建立敏感信息检查清单，包括本标准 6.1.2 列出的所有敏感信息。 _