ICS35.080DB12L77天津市地方標準DB12/T928—2020共享經濟靈活就業人員管理與服務平臺開發指南DevelopmentguidelinesofmanagementandserviceplatformoftheGigWorkerinthesharingeconomy天津市市場監督管理委員會發布DB12/T928—2020前言本標準按照GB/T1.1-2009《標準化工作導則第1部分：標準的結構和編寫》給出的規則起草。本標準由天津市工業和信息化局提出并歸口。本標準起草單位：云賬戶（天津）共享經濟信息咨詢有限公司、云賬戶技術(天津)有限公司。本標準主要起草人：楊暉、鄒永強、華燁姍、周軍、陳恩澤、翟文彪、徐文清、周明、白濤、石穩。IDB12/T928—2020共享經濟靈活就業人員管理與服務平臺開發指南1范圍本標準規定了共享經濟靈活就業人員管理與服務平臺在開發中的功能要求、性能要求、安全要求及質量要求。本標準適用于指導共享經濟靈活就業人員管理與服務平臺的功能設計、開發、測試等。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25000.10-2016系統與軟件工程系統與軟件質量要求和評價（SQuaRE）第10部分：系統與軟件質量模型GB/T25000.51-2016系統與軟件工程系統與軟件質量要求和評價（SQuaRE）第51部分：就緒可用軟件產品（RUSP）的質量要求和測試細則3GB/T35273-2017界定的以及下列術語和定義適用于本文件，為了便于使用，以下重復列出了GB/T35273-2017中的某些術語和定義。靈活就業人員theGigWorker自我雇傭并以個人身份從事合法合規生產經營活動的具備民事行為能力的市場主體。共享經濟靈活就業人員管理與服務（簡稱：“管理與服務”）managementandservicefortheGigWorkerinthesharingeconomy基于互聯網現代信息技術，為靈活就業人員提供的身份核驗、規則宣貫、收入結算、人工智能報稅、保險保障等共享經濟綜合服務。共享經濟靈活就業人員管理與服務機構（簡稱：“管理與服務機構”）managementandserviceinstituteoftheGigWorkerinthesharingeconomy提供共享經濟靈活就業人員管理與服務的平臺化的組織。3.4共享經濟靈活就業人員管理與服務平臺（簡稱：“管理與服務平臺”）managementandserviceplatformoftheGigWorkerinthesharingeconomy管理與服務機構的網絡系統平臺。1DB12/T928—20203.53.63.73.8企業用戶enterpriseuser共享經濟平臺型企業在管理與服務平臺中的企業身份。個人用戶individualuser靈活就業人員在管理與服務平臺中的個人身份。業務數據businessdata用戶在管理與服務平臺中的身份、活動以及其他的衍生數據。個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反應特定自然人活動情況的各種信息。注：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。[GB/T35273-2017，定義3.1]4功能要求4.1管理與服務平臺功能模塊功能模塊應包括：企業用戶功能、個人用戶功能、代理商功能、用工任務功能、經營所得發放功能、企業賬務功能、風險控制功能、業務數據管理功能、公共服務功能。功能模塊圖參考示例。示例：2DB12/T928—20204.2企業用戶功能4.2.1企業用戶準入管理應實現企業用戶名稱、營業執照、所屬行業、服務場景等基礎信息創建、修改、刪除等功能。應實現企業用戶基本信息、業務信息等審核通過、審核駁回、撤銷審核等功能。4.2.2企業用戶信息管理應實現企業用戶充值賬戶創建、修改、刪除等功能。應實現企業用戶服務費計費規則的配置、修改、刪除等功能。4.2.3企業用戶合同管理應實現企業用戶合同創建、修改、刪除等功能。應實現企業用戶合同審核通過、審核駁回、撤銷審核等功能。4.3個人用戶功能4.3.1個人用戶認證管理應實現以下個人用戶認證管理功能:a)b)個人用戶移動端填寫手機號碼注冊功能；至少一種實名認證功能：通過真實姓名、身份證件號碼及其影像信息、銀行卡號、銀行預留手機號進行實名認證，或通過真實姓名和身份證件號碼并結合人臉識別或其他生物特征識別進行實名認證；實名認證信息的查詢功能。應實現個人用戶在移動端進行簽約、簽約協議查詢等功能。宜實現基于電子簽章的簽約。宜實現渠道商名稱、開戶名稱、對公賬戶、開戶行、渠道返傭類型等信息創建、修改、刪除等功能。宜實現服務商企業名稱、回調地址等信息創建、修改、刪除等功能。應實現用工任務創建、發布、認領、查詢、刪除等功能。宜實現任務模板創建、修改、查詢、刪除3DB12/T928—2020應至少實現線下充值功能或企業用戶專屬虛擬賬戶自動認款功能。4.6.1.2轉賬宜實現同一企業用戶多賬戶間轉賬、查看轉入及轉出記錄等功能。4.6.1.3提現應實現將資金從企業用戶在管理與服務平臺中開立的賬戶，轉賬到企業用戶銀行賬戶的功能。4.6.1.4明細查詢應實現賬戶余額、充值記錄、轉賬記錄、提現記錄等資金流水明細查詢功能。4.6.2交易管理4.6.2.1經營所得發放限額配置應實現企業用戶配置單日發放額度功能。4.6.2.2經營所得發放應實現個人用戶自助發起及企業用戶輔助發起經營所得發放請求功能。應實現經營所得發放過程自動處理及實時到賬功能。經營所得發放應支持全國范圍內超過100家銀行，宜支持超過400家銀行。除銀行外，宜支持多種第三方支付機構支付通道。應實現自動匹配最優銀行通道發放經營所得功能。宜支持自動匹配最優第三方支付機構通道發放經應實現通道維護公告發布功能。應實現從各收付款通道自動下載對賬文件功能。應實現對賬文件中的資金流水與管理與服務平臺資金流水的自動對賬功能，確保管理與服務平臺和通道的資金流水一致。應實現對發生差錯的資金流水進行調賬的功能。4DB12/T928—20204.7.3.1生成會計分錄宜實現基于業務數據和資金流水自動生成會計分錄功能。4.7.3.2會計分錄同步宜實現自動同步會計分錄至會計記賬軟件功能。風險控制功能4.84.8.1風控檔案管理4.8.1.1企業用戶風控檔案信息維護應至少實現企業用戶準入基礎信息、巡檢補充信息、風險訂單統計等風控檔案功能。4.8.1.2評估風險等級應實現基于企業用戶風險檔案等信息評估風險等級功能。4.8.2業務風險管理風險名單維護4.8.2.1應實現風險名單創建、修改、刪除等功能。應對風險名單區分黑名單、灰名單、白名單。4.8.2.2風險標簽管理應實現風險標簽創建、修改、刪除等功能。a)風險識別：應實現基于風險交易規則，對每筆交易進行實時監控、識別風險訂單（如企業用戶主體公司、關聯公司的董事、監事、高級管理人員收款，16周歲以下個人用戶收款）等功能；b)發起訂單調查：基于風險識別結果，應實現針對觸發風險交易規則的訂單發起訂單調查核實、通知企業用戶的功能；c)風險處置：應實現企業用戶根據訂單調查信息提交證明資料功能。應實現對證明資料審核功能。應實現基于審核結果對風險訂單進行訂單放行、訂單拒絕、加入黑名單等風險處置功能。應實現企業用戶維度和個人用戶維度的訂單風險分析等功能。應實現對各類疑似風險點（如企業用戶主體公司、關聯公司的董事、監事、高級管理人員收款、16周歲以下個人用戶收款）的數據分析功能。應實現對企業用戶數據，如充值數據、經營所得發放數據、服務費數據、提現數據按日、按月統計5DB12/T928—2020應實現對新增和留存用戶數據的統計分析等功能。宜實現用戶畫像分析功能。4.10公共服務功能4.10.1總述管理與服務平臺應具備的基礎功能包括：權限管理、要素認證管理、審批管理、消息管理。4.10.2權限管理4.10.2.1賬號維護應實現創建管理與服務平臺登錄賬號、配置賬號角色、配置賬號數據權限等功能。4.10.2.2角色維護應實現創建賬號角色、分配角色權限、修改角色、刪除角色等功能。4.10.3要素認證管理4.10.3.1分場景多渠道要素認證根據發送簽約通知、線上簽約、發放經營所得的業務場景需求，認證要素應滿足：a)發送簽約通知應驗證二要素，包括姓名、身份證號；b)線上簽約應驗證四要素，包括姓名、身份證號、銀行卡號、手機號，或人臉等生物特征；c)發放經營所得應驗證三要素，包括姓名、身份證號、銀行卡號。應實現審批流程配置及條件審批流程配置、支持審批人和抄送人配置等功能。配置模式應實現指定成員、指定部門功能。應實現支持會簽和或簽等功能。應實現企業用戶入駐、合同管理、企業用戶提現、訂單調查審核等關鍵業務發起審批、審批記錄查詢等功能。5性能要求應包含但不限于以下內容：6DB12/T928—2020b)單筆經營所得發放業務完成時間應小于60s，宜小于10s；c)經營所得發放業務處理速度應大于5筆每秒，宜大于300筆每秒；；d)應支持在并發用戶數達到1000人的情況下同時使用，并發時的錯誤率應小于十萬分之一。6安全要求計算安全6.16.1.1安全計算環境系統應符合GB/T22239-2019中8.1.4要求，包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護。6.1.2敏感信息識別對敏感信息應作分類識別：a)個人用戶的敏感信息應至少包含：姓名、身份證號、銀行卡號、第三方支付機構賬號、手機號、收入數據、納稅數據、證件影像等；b)企業用戶的敏感信息應至少包含：公司名稱、營業執照、合同協議、聯系人姓名、聯系電話、聯系郵箱、聯系地址、登錄用戶名、登錄密碼、交易密碼、交易數據、IP、通信密鑰、數字證書等；c)管理與服務平臺的敏感信息應至少包含：外部系統通信密鑰、內部系統通信密鑰、郵件服務認證配置、短信通道認證配置、出款渠道認證配置、要素驗證渠道認證配置、電子簽約認證配置、電子發票認證配置、數字證書認證配置、數據庫認證配置、數據加密密鑰等。應在顯示敏感信息時予以掩蓋；應對數據在傳輸、存儲時進行加密；應對數據加密密鑰采取相同標準加密儲存。自行軟件開發應符合GB/T22239-2019中8.1.9.4的要求。外包軟件開發應符合GB/T22239-2019中8.1.9.5的要求。7DB12/T928—2020d)每次投產后，應在生產環境進行漏洞掃描；e)應每年至少進行一次外部滲透測試，宜每半年進行一次外部滲透測試。滲透測試宜在測試環境、集成測試環境、生產環境實施。在生產環境實施時，應注意滲透測試的級別或強度，避免造成生產故障。7質量要求7.1總述軟件質量應滿足本標準第4章～第6章要求，并應符合GB/T25000.10-2016產品質量的規定及本標準7.2～7.4要求。測試細則應符合GB/T25000.51測試文檔集要求，并應符合本標準7.5要求。7.2易用性管理與服務平臺的易用性還應滿足以下要求：a)具有管理與服務機構的辨識性，宜體現企業文化；b)用戶操作應當在資金交易、審批、配置等敏感操作進行彈框等明確提示；c)賬戶資金交易等敏感操作應有防重復操作機制，宜建立敏感操作列表；d)用戶界面涉及用戶協議的，應默認不選中，需