Basic Technical Specifications for Charitable Organizations' Internet Public Fundraising Information Platforms

Foreword

These Standards are drafted in accordance with the provisions give in GB/T 1.1-2009 . These Standards are put forward and attributable to the Bureau of Social Organization Management of the Ministry of Civil Affairs. Principle Units Drafting these Standards: Bureau of Social Organization Management of the Ministry of Civil Affairs, Justering (Beijing) Technology LLC, China National Institute of Standardization.

The main drafters of these Standards are: Shen Xinhua, Hou Zhengchun, Yi Xin, Guo Runmiao, Hou Fei, Ma Junda, Yu Hui and Qu tao.

Introduction

These Standards are formulated so as to implement the "People's Republic of China Charity Law", "the Measures on Management of Public Fundraising Platform Services" and other laws, regulations, and relevant regulations to further improve the designated processes for charitable organizations' public fundraising Internet information platforms; to lead the establishment of charitable organizations' Internet public fundraising platform services' capacity; to strengthen ex-post supervision of public fundraising internet information platforms; to preserve the lawful rights and interests of donors, beneficiaries, charitable organizations, and other entities participating in charitable activities; and to promote the healthy and orderly development of China's charitable enterprises.

1 Scope

These Standards specify the requirements for charitable organizations' Internet public fundraising information platforms as to performance, function, security, operations, maintenance, and so on.

These standards apply to the design, development and reformation of charitable organizations' Internet public fundraising information platforms, as well as their selection, assignment and routine operation and maintenance.

2 Normative reference documents

The following documents are essential for the application of this document. For all dated reference documents, only the dated versions are applied to this document. For all undated reference documents, the most recent version (including all lists of revisions) are applied to this document.

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 非金融机构支付服务管理办法 中国人民银行2010信息安全等级保护管理办法 公安部2007

3 Terms and Definitions

3.1慈善组织 charitable organization

A non-profit organization established in accordance with law and aimed at carrying out charitable activities in the community. Note: charitable organizations include organizations such as foundations, social organizations and social service organizations.

3.2慈善募捐 charitable fundraising

Charitable organizations' (3.1) activities for raising assets on the basis of their charitable purpose, including public fundraising aimed at the societal public, and directed fundraising with specified targets.
3.3捐赠人 donor

Natural persons, legal persons, or other organizations who voluntarily and without compensation participate in charitable activities on the basis of a charitable goal, through means such as gifting of assets.

3.4互联网公开募捐信息平台 online [public] fundraising platform

Internet service providers who publish public fundraising information through the Internet on behalf of charitable organizations with public fundraising credentials.

3.5互联网公开募捐信息平台服务 online [public] fundraising platform service

Online public fundraising platforms (3.4) that provide relevant information services for charitable organizations, donors, the public, and other such entities. Examples: displaying public fundraising information, providing donations payment channels, information disclosure, and accepting reports.

3.6互联网公开募捐信息平台用户 online [public] fundraising platform user

Natural persons, legal persons, or other organizations that use the Internet to access or use Online [Public] Fundraising Platforms.

3.7互联网公开募捐信息平台运营人员 online [public] fundraising [information] platform operator

互联网公开募捐信息平台负责信息审核、筛选和发布，承担平台维护与更新的工作人员。

4 Basic Requirements

4.1 Compliance requirements

互联网公开募捐信息平台(以下简称“平台”)应具有独立法人资格，其中:

——企业应取得通信管理部门核发的、在有效期内的《中华人民共和国增值电信业务经 营许可证》(ICP证)。 ICP许可证书上主体名称与平台主体名称应一致。

- public institutions, social groups, social service establishments, foundations and other non-profit legal persons, should perform the non-profit Internet information services filings, obtain ICP filing number and electronic certificate, in the period of validity. The entity name shall be consistent with the entity name on the platform.

—The information system's security protection grade is not to be lower than grade 3 as provided for in the "Measures for Graded Information Security Protection Administration", and obtain a proof of filing from an authorized organ.

4.2 Responsiveness requirements
4.2.1 number of requests per second; the number of requests successfully processed per second should be ≥300.

4.2.2 Response time requirements Platform average response time should be ≤0.5 seconds.

4.3 Stability requirements

The availability of the platform's system should be ≥99.95%, with ≤4 hours of downtime each year.

4.4 Extensibility requirements

The platform should be designed based on an extensible system architecture that extends data content and business processes without changing the system architecture.

4.5 Compatibility requirements

The platform should be suitable for computers, mobile phones, and other terminals to access, run, and display, without any confusion.

4.6 Data interface requirement

平台宜具有数据接口，能按照统一的数据传输标准、数据传输范围将平台数据上传至民 政部门统一的慈善信息公开平台。
4.7 日志记录要求
4.7.1 平台数据的操作应获得相应授权并保留记录，包括:

1. a) 慈善组织在平台上进行的操作
2. b) 互联网公开募捐信息平台运营人员(以下简称“运营人员”)在平台上进行的操作;
3. c) 互联网公开募捐信息平台用户(以下简称“用户”)在平台上进行的操作。

4.7.2 记录的内容应至少包括:

1. a) 操作者;
2. b) 操作时间;
3. c) 源/目的 IP;
4. d) 操作对象、操作。

其中，源 IP 应为原始公网 IP(非 CDN 转换后的 IP)，时间应准确到秒，并与国际权威时间源保持一致。

5 功能开发要求
5.1 基础功能
5.1.1 公开募捐活动展示

平台应有公开募捐活动汇总展示页面、活动详情页面，页面应无样式错乱。 用户能通过 活动名称等关键字在汇总展示页面进行检索。 活动详情页面信息应包括:

1. a) 公开募捐活动在民政部门的备案编号;
2. b) 活动名称;
3. c) fundraising goals;
4. d) 活动进展;
5. e) 起止日期;
6. f) 募捐情况;
7. g) 慈善组织全称、统一社会信用代码及支付账户信息;h) 受益人(对象);
8. i) 活动负责人及联系方式;
9. j) 活动执行机构全称及联系方式;
10. k) 募得款物用途;
11. l) 募捐成本;
12. m) 剩余财产处理方案;
13. n) 发票开具方式。

5.1.2 慈善组织展示

通过平台技术，慈善组织相关信息应能在页面展示，包括:

1. a) 慈善组织全称、统一社会信用代码及支付账户信息;
2. b) 登记管理机关;
3. c) 住址及联系方式;
4. d) 慈善组织登记证书扫描件;
5. e) 公开募捐资格证书扫描件。

5.1.3 公开募捐活动捐款

平台宜开通在线募捐支付功能并提供技术保障，捐赠资金应直接进入慈善组织的银行账 户或安全的第三方支付账户，不应截留或代为接受捐赠资金。 其中，第三方支付账户服务提 供者应具有《非金融机构支付服务管理办法》规定的支付业务许可证。

5.1.4 Donation inquiries

捐赠人可在平台查询历史捐赠记录，包括:

1. a) 捐赠时间;
   b) 参与捐赠的活动及活动进展;
   c) 捐赠金额。

5.1.5 Public reporting

The platform should provide a reporting function on the page displaying public fundraising activities, and after receiving a report , should communicate with the charitable organization and the authorized organs, and within 5 working days, give informants feedback by phone, email, SMS, or other means; upon confirmed that the report is true, there should technologically capacity to cooperate with the authorized organs in handling it, including but not limited to temporarily suspending fundraising activities, taking fundraising activities offline, notifying donors, and other methods.

5.2 Background management functions

5.2.1 Activity Management

通过平台技术，慈善组织应能对平台上发布的活动进行管理，包括:
a) 创建公开募捐活动，上线前编辑活动;
b) 查看捐赠总额;
c) 便捷地更新活动进展，并反馈给捐赠人。 可使用以下方式进行反馈:

—internal site messaging;

—sms;

—email；

——应用推送。

5.2.2 Donation Management

通过平台技术，慈善组织应能对平台内捐款信息进行管理，包括:

1. a) 查看捐款详情;

b)捐款详情包含:捐赠时间、捐赠人姓名或捐赠人独立标识、捐赠者 ID、支付方式、 支付金额、活动名称、捐赠是否来自境外等;

c)查看并导出捐赠人申请公益事业捐赠统一票据情况，包括:

——捐赠人名称;

——捐赠项目;

——捐赠金额;

——寄送地址;

——收件人。

5.2.3 捐赠人管理

通过平台技术，慈善组织应能对平台内捐赠人信息进行管理或导出，包括:

a)查看捐赠人信息，包括：

——捐赠人姓名或平台捐赠人独立标识、是否来自境外;

——捐赠人捐赠情况;

b)查看每个捐赠人名下对该慈善组织的捐赠总额、捐赠次数;

c)按照捐赠人姓名或平台捐赠人独立标识、捐赠总额、捐赠次数、捐赠人创建时间 搜索、排序并应能够导出捐赠人列表，包括:

——捐赠人姓名或平台捐赠人独立标识;

——捐赠人捐赠总额;

——捐赠人捐赠次数。

6 Security Requirements
6.1 Physical safety

自建机房的平台应满足GB/T 20271-2006 中6.3.1的有关要求。

6.2 Software and Hardware Security

平台应正确部署软硬件并配置其安全功能，包括:a)硬件架构中包含防火墙设备;b)操作系统和业务框架的重大公共漏洞在发现后 6 小时内修补;c)使用的第三方软件保持最新稳定版本。

6.3 Data Security

6.3.1 Data Backups

Platforms should backup donation information, donor information, public fund-raising activity information, charitable organization information, and other such platform operations data, including:

- incremental backup cycle should be ≤1 hour, with concurrent long-term preservation;

A full backup cycle should be ≤24 hours, with preservation time ≥2 years.

6.3.2 Data Recovery
The 6.3.2.1 Platforms should establish data recovery strategies, including:

1. a) 数据恢复的决策机制;b) 数据恢复的触发条件;c)数据恢复节点;d)数据恢复实施团队;
2. e) 数据恢复异常情况处理预案。

6.3.2.2 平台应符合数据恢复要求，包括:

1. a) 若需进行数据恢复，应尽可能减少数据损失;
   b) 恢复数据应以增量备份数据为首选，其次为最近时间完全备份数据;c) 恢复过程可容许中断时长≤30 分钟。

6.4 Security Accidents and Response

6.4.1 Security Accidents

安全事故通常包括:
a) 网络接入链路中断或拥塞;
b) 域名系统解析服务异常;
c) 系统瘫痪、遭到入侵或控制、应用服务中断;d) 用户数据被篡改、丢失;
e) 系统感染恶意代码;
f) 网页篡改、网络仿冒;
g) 其他安全事故。

6.4.2 安全事故响应

6.4.2.1平台应当明确安全事故通知与处理机制，包括：

1. a) 安全事故类型;
2. b) 安全事故具体负责人;

c)安全事故类型及应对方案。

6.4.2.2 若发现恶意攻击，平台应在 15 分钟内予以阻断，30 分钟内解决。

6.4.2.3 若平台在 30 分钟内未能解决安全事故，应及时上报有关部门。

6.4.3 安全事故记录

平台应就发生的安全事故进行记录，其中：

1. a) 安全事故记录应至少保留 2 年，并将处理结果作为定期服务报告的一部分;
2. b) 安全事故记录的内容至少包含:攻击来源/目的 IP、时间、报警设备、报警级别和内容。

其中，源 IP 应为原始公网 IP(非 CDN 转换后的 IP)，时间应准确到秒，且与国际权威时间源一致。

7 运行维护要求

7.1 运行维护团队

平台应有专门技术维护团队，并明确运行维护负责人。

7.2 运行维护人员权限管理

运行维护人员宜分为运行维护经理(主管)、普通运行维护人员。 普通运行维护人员对 于系统软硬件以及系统数据进行的任何访问或操作需要经过运行维护经理(主管)授权，访 问或操作完成后应立即收回权限。
7.3 运行维护日志

对于系统软硬件以及系统数据的操作应进行记录，记录内容至少包含:

1. a) 操作者姓名;
2. b) 操作时间;
3. c) 操作对象;
4. d) 操作详情。

7.4 技术报告

获指定平台向全国慈善工作主管部门(民政部)报送的年中报告、年度报告，应包含相 关技术内容:

1. a) 平台访问情况;
2. b) 平台技术改进情况;
3. c) 平台发生的安全事故情况、原因、影响时间以及解决方式，针对该类事故或风险的应对方案。

References

[1]《中华人民共和国慈善法》(自 2016 年 9 月 1 日起施行)

[2]《中华人民共和国网络安全法》(自 2017 年 6 月 1 日起施行)

[3]《慈善组织公开募捐管理办法》(自 2016 年 9 月 1 日起施行)

[4]《公开募捐平台服务管理办法》(自 2016 年 9 月 1 日起施行)

[5]《互联网信息服务管理办法》(自 2016 年 12 月 8 日起施行)