支付非金融机构支付业务设施技术认证技术规范

立案号

中金国盛认证认证技术规范CFNR 0001—20XX

非金融机构支付业务设施技术

认证技术规范

Technical specifications for no-financial payment business infrastructure techno lo gies

立案稿

本稿完成日期 20XX年04月10日

××××-××-××公布 ××××-××-实施

中金国盛认证公布

目 次

说 明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1范围. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

2规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3术语和定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3. 1术语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3.2定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

4支付系统业务类别. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5评判标准. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6技术要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6. 1互联网支付系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.2预付卡发行和受理系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.3银行卡收单系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.4移动支付近场支付系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.5移动支付远程支付系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.6外包附加要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7等级划分. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

附 录 A 规范性附录 审查项列表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.1互联网支付系统审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.2预付卡发行和受理系统审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.3银行卡收单系统审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.4移动支付近场支付系统审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.5移动支付远程支付系统审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

A.6外包附加审查项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

说 明

本技术规范依据《非金融机构支付服务管理措施》、 《非金融机构支付服务管理措施实施细则》、 《电子支付术语》、 《电子支付文件数据格式》、 《基于INT ERNET网上支付安全规范》、《基于INT ERNET网上支付交易模型及步骤》、《基于INT ERNET网上支付报文结构及要素》等中对非金融机构支付业务设施技术认证工作要求制订而成。本技术规范评定对象为从事非金融机构支付服务组织。

本技术规范关键起草单位北京中金国盛认证

本技术规范编制指导单位 中国人民银行科技司

非金融机构支付业务设施技术认证技术规范

1 范围

本技术规范要求了非金融机构支付业务设施技术标准符合性和系统安全性要求。

本技术规范适适用于对非金融机构支付业务设施技术评定依据可作为对非金融机构支付业务设施技术进行管理、检验、认证技术性规范也可作为非金融机构支付业务设施技术提供者改善本身能力指导依据。

2 规范性引用文件

1 JR/T××××电子支付术语

2 JR/T××××电子支付文件数据格式

3 J R/T××××基于INT ERNET网上支付安全规范

4 J R/T××××基于INT ERNET网上支付交易模型及步骤

5 J R/T××××基于INT ERNET网上支付报文结构及要素

6 GB/T 22239—20XX信息安全技术信息系统安全等级保护基础要求第七章第

三级基础要求、第八章第四级基础要求

7 GB/T 22081—20XX信息技术安全技术信息安全管理实用规则第十四章业

务连续性管理

8 ISO/IEC 27001:20XX信息技术安全技术 信息安全管理体系要求

3 术语和定义

3 1 术语

3 1 1 非金融机构支付服务non-financ ial payment servic e

是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务。3 1 2 互联网支付internet payment

是指依靠互联网实现收付款方之间货币资金转移行为。

3 1 3 预付卡

是指以营利为目标发行、在发行机构之外购置商品或服务预付价值包含采取磁条、芯片等技术以卡片、密码等形式发行预付卡。预付卡不包含

1 仅限于发放社会保障金预付卡

2 仅限于乘坐公共交通工具预付卡

3 仅限于缴纳电话费等通信费用预付卡

4 发行机构和特约商户为同一法人预付卡。

3 1 4 银行卡收单

是指经过销售点POS终端等为银行卡特约商户代收货币资金行为。

3 1 5 移动支付mobile payment

是指以个人移动终端通常指手机作为支付终端经过无线通信方法发出支付指令实现货币支付和资金转移行为。移动支付可分为远程支付和近场支付两类。远程支付是指移动终端本身使用短信SMS、WAP、用户端软件、语音IVR等方法经过无线网络和支付服务系统主机连接实现交易方法在这种方法下移动终端被当做支付终端来使用。近场支付则是指移动终端上内嵌智能卡经过非接触方法和金融支付终端进行通讯从而实现交易方

法这种方法下移动终端是当做支付卡片来使用。

3 1 6 通常支付instant payment

在支付过程中支付指令需要由付款方在支付服务方授权而且支付成功后即可结算支付行为。

3 1 7 担保支付s ecured payment

在支付过程中 由支付服务方为支付双方提供交易担保交易成功后付款方进行支付确定 由支付服务方把款项结算给收款方支付行为。

3 1 8 协议支付agreement p ayment

用户、商户、支付服务方事先签署协议在后续支付过程中商户依据协议直接向支付服务方提议扣款请求而无需用户在支付服务方授权即可完成付款支付行为。

3 2 定义

3 2 1 基础要求

是对非金融机构支付业务设施技术强制性要求。受审查方承诺提供系统服务应达成基础要求指标。

3 2 2 增强要求

考虑到非金融机构支付业务设施技术实际应用现实状况也考虑到金融行业对于业务规范化要求和未来发展需要对未来一段时间内行业发展水平进行合理预估提出增强指标要求。增强指标要求高于目前平均水平使得技术规范能够在比较长一段时间内适用。4 支付系统业务类别

 1 互联网支付系统

2 预付卡发行和受理系统

3 银行卡收单系统

4 移动支付近场支付系统

5 移动支付远程支付系统

6 中国人民银行确定其它支付系统

5 评判标准

非金融机构支付业务设施技术认证评判遵照以下标准

 1 客观性标准

必需以非金融机构支付业务设施技术提供者实际业务或事项为依据进行确定、审查

和汇报如实地反应符合确定和审查各项检验要素确保审查信息真实可靠内容完整。

2 公正性标准

必需依据国家法律法规和认可规范认可准则CNAS-CC21、 CNAS-CC22及其它

相关要求要求建立完整质量体系并严格根据质量体系开展认证活动。其认证活动不

受任何外来压力和商业原因影响和干扰。

3 科学性标准

要以科学思想为指导 以事实为依据。

6 技术要求

6 1 互联网支付系统要求

6 1 1 基础要求

互联网支付系统应在系统功效、风险监控、系统性能、安全、系统文档建设、外包管理

方面符合技术标准要求和管理要求基础要求参见附件《非金融机构支付服务业务系统检测基础要求_互联网支付部分》。审查项参见附录A.1 。

6 1 2 增强要求

6 1 2 1 功效要求

1 交易处理

报文设计符合《基于INT ERNET网上支付报文结构及要素》6.2.1、6.2.2、6.2.3、

6.2.9、 6.2.12、 6.2.13报文结构设计要求含有符合要求关键数据项交易模型及步骤设计符合《基于INT ERNET网上支付交易模型及步骤》 6.1.1、

6.1.2、 6.1.3、 6.2.1、 6.3.1要求。

2 资金结算

报文设计符合《基于INT ERNET网上支付报文结构及要素》 6.2.7、 6.2.8报文结构设计要求含有符合要求关键数据项

交易模型及步骤设计符合《基于INT ERNET网上支付交易模型及步骤》 6.1.5要求。

3 差错处理

报文设计符合《基于INT ERNET网上支付报文结构及要素》 6.2.10、 6.2.11报文结构设计要求含有符合要求关键数据项

交易模型及步骤设计符合《基于INT ERNET网上支付交易模型及步骤》 6.2.2要求。

6 1 2 2 安全性要求

1 网络安全

1) 网络结构安全

应确保网络设备业务处理能力含有冗余空间满足业务高峰期需要

2) 网络安全审计

应定义审计跟踪极限阈值当存放空间靠近极限时能采取必需方法当存放空间被耗尽时终止可审计事件发生

应依据信息系统统一安全策略实现集中审计时钟保持和时钟服务器同时。

3) 网络入侵防范

当审查到攻击行为时应统计攻击源IP、攻击类型、攻击目标、攻击时间在发生严重入侵事件时应提供报警及自动采取对应动作。

4) 网络设备防护

网络设备用户身份判别信息最少应有一个是不可伪造

2 主机安全

1) 身份判别

应设置判别警示信息描述未授权访问可能造成后果

应采取两种或两种以上组合判别技术对管理用户进行身份判别 而且身份判别信息最少有一个是不可伪造。

2) 可信路径

在系统对用户进行身份判别时系统和用户之间应能够建立一条安全信息传输路径。

在用户对系统进行访问时系统和用户之间应能够建立一条安全信息传输路径。

3) 安全审计

应能够依据信息系统统一安全策略实现集中审计。

3 应用安全

1) 身份判别

应对同一用户采取两种或两种以上组合判别技术实现用户身份判别其中一个是不可伪造

2) 使用数据证书

用户端、服务器端应使用数字证书。

3) 安全审计

应依据系统统一安全策略提供集中审计接口。

4) 剩下信息保护

应确保用户判别信息所在存放空间被释放或再分配给其它用户前得到完全清除不管这些信息是存放在硬盘上还是在内存中

应确保系统内文件、目录和数据库统计等资源所在存放空间被释放或重新分配给其它用户前得到完全清除。

5) 应用容错

应提供自动恢复功效当故障发生时立即自动开启新进程恢复原来工作状态。

6) 源码安全

应经过自动化工具如弱点扫描工具、静态代码审查工具等对应用程序进行检验

7) 可信时间戳服务

当地时间应从国家权威时间源采时确保时间同一性

应采取国家认可可信时间戳服务

应安全保留时间戳及相关信息确保数据可审计性实现系统数据处理抗抵赖性。

4 运维安全

1) 环境管理

开发、测试和运行设施应分离 以降低未授权访问或改变运行系统风险。

2) 设备管理

应对组织场所设备采取安全方法要考虑工作在组织场因另外不一样风险

包含储存介质设备全部项目应进行检验以确保在销毁之前任何敏感信息和注册软件已被删除或安全重写

设备、信息或软件在授权之前不应带出组织场所。

3) 监控管理

资源使用应加以监视、调整并应作出对于未来容量要求估计以确保拥有所需系统性能。

4) 变更管理

应建立对新信息系统、升级及新版本验收准则而且在开发中和验收前对系统进行合适测试。

6 2 预付卡发行和受理系统要求

6 2 1 基础要求

预付卡发行和受理系统应在系统功效、风险监控、系统性能、安全、系统文档建设、外包管理方面符合技术标准要求和管理要求基础要求参见附件《非金融机构支付服务业务系

统检测基础要求_预付卡部分》。审查项参见附录A.2。

6 2 2 增强要求

6 2 2 1 安全性要求

 1 网络安全

1) 网络结构安全

应确保网络设备业务处理能力含有冗余空间满足业务高峰期需要

2) 网络安全审计

应定义审计跟踪极限阈值当存放空间靠近极限时能采取必需方法当存放空间被耗尽时终止可审计事件发生

应依据信息系统统一安全策略实现集中审计时钟保持和时钟服务器同时。

3) 网络入侵防范

当审查到攻击行为时应统计攻击源IP、攻击类型、攻击目标、攻击时间在发生严重入侵事件时应提供报警及自动采取对应动作。

4) 网络设备防护

网络设备用户身份判别信息最少应有一个是不可伪造

2 主机安全

1) 身份判别

应设置判别警示信息描述未授权访问可能造成后果

应采取两种或两种以上组合判别技术对管理用户进行身份判别 而且身份判别信息最少有一个是不可伪造。

2) 可信路径

在系统对用户进行身份判别时系统和用户之间应能够建立一条安全信息传输路径。

在用户对系统进行访问时系统和用户之间应能够建立一条安全信息传输路径。

3) 安全审计

应能够依据信息系统统一安全策略实现集中审计。

3 应用安全

1) 身份判别

应对同一用户采取两种或两种以上组合判别技术实现用户身份判别其中一个是不可伪造

2) 使用数据证书

用户端、服务器端应使用数字证书。

3) 安全审计

应依据系统统一安全策略提供集中审计接口。

4) 剩下信息保护

应确保用户判别信息所在存放空间被释放或再分配给其它用户前得到完全清除不管这些信息是存放在硬盘上还是在内存中

应确保系统内文件、目录和数据库统计等资源所在存放空间被释放或重新分配给其它用户前得到完全清除。

5) 应用容错

应提供自动恢复功效当故障发生时立即自动开启新进程恢复原来工作状态。

6) 源码安全

应经过自动化工具如弱点扫描工具、静态代码审查工具等对应用程序进行检验

7) 可信时间戳服务

当地时间应从国家权威时间源采时确保时间同一性

应采取国家认可可信时间戳服务

应安全保留时间戳及相关信息确保数据可审计性实现系统数据处理抗抵赖性。

4 运维安全

1) 环境管理

开发、测试和运行设施应分离 以降低未授权访问或改变运行系统风险。

2) 设备管理

应对组织场所设备采取安全方法要考虑工作在组织场因另外不一样风险

包含储存介质设备全部项目应进行检验以确保在销毁之前任何敏感信息和注册软件已被删除或安全重写

设备、信息或软件在授权之前不应带出组织场所。

3) 监控管理

资源使用应加以监视、调整并应作出对于未来容量要求估计以确保拥有所需系统性能。

4) 变更管理

应建立对新信息系统、升级及新版本验收准则而且在开发中和验收前对系统进行合适测试。

6 3 银行卡收单系统要求

6 3 1 基础要求

银行卡收单系统应在系统功效、风险监控、系统性能、安全、系统文档建设、外包管理方面符合技术标准要求和管理要求基础要求参见附件《非金融机构支付服务业务系统检测基础要求_银行卡收单部分》。审查项参见附录A.3。

6 3 2 增强要求

6 3 2 1 功效要求

1 对账处理

报文设计符合《电子支付文件数据格式》 6报文结构设计要求含有符合要求关键数据项

2 差错处理

报文设计符合《电子支付文件数据格式》 5.1报文结构设计要求含有符合要求关键数据项

6 3 2 2 安全性要求

1 网络安全

1) 网络结构安全

应确保网络设备业务处理能力含有冗余空间满足业务高峰期需要

2) 网络安全审计

应定义审计跟踪极限阈值当存放空间靠近极限时能采取必需方法当存放空间被耗尽时终止可审计事件发生

应依据信息系统统一安全策略实现集中审计时钟保持和时钟服务器同