JRT 0245-2021條碼支付互聯(lián)互通技術規(guī)范

中國人民銀行發(fā)布ICS35.240.40CCSA11中華人JR民共和國金融行業(yè)標準TIJR/T0245—2021前言 Ⅱ1范圍 12規(guī)范性引用文件 13術語和定義 14編碼規(guī)則 24.1付款碼 24.2收款碼 35接口報文 35.1數(shù)據(jù)元屬性說明 35.2收款掃碼主要數(shù)據(jù)元細目 45.3付款掃碼主要數(shù)據(jù)元細目 56安全要求 66.1基本安全要求 66.2移動金融客戶端應用軟件安全要求 6參考文獻 7JR/T0245—2021前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國人民銀行提出。本文件由全國金融標準化技術委員會(SAC/TC180)提出并歸口。1JR/T0245—2021條碼支付互聯(lián)互通技術規(guī)范1范圍本文件按照“統(tǒng)一通用、便捷友好、安全可控、兼容并蓄”原則，在切實保障用戶信息與資金安全前提下，規(guī)定了條碼支付互聯(lián)互通的編碼規(guī)則、報文要素、安全要求等內(nèi)容。本文件適用于銀行業(yè)金融機構、清算機構、非銀行支付機構等在實現(xiàn)條碼支付互聯(lián)互通時所需軟硬件產(chǎn)品及信息系統(tǒng)的設計、研發(fā)和運營。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。JR/T0092移動金融客戶端應用軟件安全管理規(guī)范JR/T0149中國金融移動支付支付標記化技術規(guī)范JR/T0171個人金融信息保護技術規(guī)范3術語和定義下列術語和定義適用于本文件。3.1條碼barcode由一組規(guī)則排列的條、空及其對應字符組成，用以表示一定信息的標識。注：包括線性條碼、二維條碼等。3.2支付標記paymenttoken；Token作為支付賬號等原始交易要素的替代值，用于完成特定場景的支付交易。3.3支付標記化paymenttokenization用支付標記替代支付賬號等原始交易要素的過程。3.4付款碼paymentbarcode2JR/T0245—2021包含用于收款掃碼模式進行支付的相關條碼信息。3.5收款碼barcodeforreceiving包含用于付款掃碼模式進行支付的訂單信息、商戶信息、支付金額等條碼信息。注：分為靜態(tài)收款碼和動態(tài)收款碼。3.6收款掃碼consumer-presentedmode收款人通過識讀付款人移動終端展示的條碼(付款碼)完成支付的行為。3.7付款掃碼merchant-presentedmode付款人通過移動終端識讀收款人展示的條碼(收款碼)完成支付的行為。3.8受理終端paymentterminal參與條碼支付的具有條碼展示或識讀等功能的商戶端專用機具。3.9發(fā)碼機構paymentbarcodeprovider支付信息通過Token生成Tokendt，并將其展示成付款碼的銀行業(yè)金融機構、非銀行支付機構。注：1.Token為數(shù)字化渠道的支付標記，由支付要素通過支付標記化等技術生成，用于條碼支付中付款掃碼與收款掃碼。2.Token根據(jù)Token通過支付標記化技術生成，用于實現(xiàn)收款掃碼的一次一碼。4編碼規(guī)則4.1付款碼付款碼的編碼應采用固定長度的十進制數(shù)字格式，付款碼的編碼結構如表1所示。表1付款碼的編碼結構發(fā)碼機構編碼自定義編碼付款碼的生成應符合條碼支付國家及行業(yè)相關標準規(guī)范的安全要求。付款碼編碼應滿足以下要求：b)使用符合JR/T0149要求的支付標記化技術生成付款碼。c)付款碼應包含可識別賬戶管理機構的信息。若付款碼用于跨境交易，可考慮本編碼結構與國際標準兼容。3JR/T0245—20214.2收款碼4.2.1編碼結構收款碼應采用“協(xié)議標識://域名/自定義數(shù)據(jù)”的編碼結構，收款碼的編碼結構如表2所示。表2收款碼的編碼結構協(xié)議標識域名自定義數(shù)據(jù)三級域名二級域名一級域名安全協(xié)議轉接清算機構或收單機構標識根據(jù)具體情況定義注：COM為國際通用一級域名；CN為中國國家頂級域名。協(xié)議標識用于金融行業(yè)條碼支付的互聯(lián)互通，應采用安全協(xié)議，如https或其他安全級別不低于https的專用協(xié)議。協(xié)議標識不區(qū)分大小寫。注：https為超文本傳輸安全協(xié)議。域名具備唯一性，應采用多級域名，宜采用三級域名。其中：a)二級域名為轉接清算機構或收單機構標識。b)三級域名為自定義域名。自定義數(shù)據(jù)根據(jù)具體情況而定，區(qū)分大小寫，可采用加密或支付標記化等技術進行保護。若二級域名為轉接清算機構標識，自定義數(shù)據(jù)應包含可識別收單機構的信息。自定義數(shù)據(jù)應明確標識靜態(tài)收款碼和動態(tài)收款碼。靜態(tài)收款碼的自定義數(shù)據(jù)應包含商戶標識，動態(tài)收款碼的自定義數(shù)據(jù)應包含訂單標識。收款碼整體長度控制在500字節(jié)以內(nèi)。宜設置風險防控、合規(guī)管理相關自定義域段，防范條碼商戶經(jīng)營地址(注冊地址)、交易限額等支付交易信息被偽造篡改。若收款碼用于跨境交易，可考慮本編碼結構與國際標準兼容。4.2.2安全協(xié)議要求安全協(xié)議宜采用https。若采用其他安全協(xié)議，安全級別應不低于https，并滿足以下要求：a)應對客戶端與服務端之間進行合法性認證。b)應對傳輸數(shù)據(jù)進行加密。c)應保證傳輸數(shù)據(jù)的完整性。5接口報文5.1數(shù)據(jù)元屬性說明主要報文要素應確保條碼支付互聯(lián)互通交易的真實、完整、可追溯以及全流程一致。數(shù)據(jù)元與交易場景相關，其屬性具體含義為：a)中文名稱是指數(shù)據(jù)元的中文名稱，在一定語境下名稱應保持唯一。b)數(shù)據(jù)格式是指數(shù)據(jù)元值的類型、長度及數(shù)據(jù)格式的表示形式，具體表示如下：--a字母字符。--n數(shù)字字符。--m任意字符。--s特殊字符。上述符號可視具體實際情況組合使用，如an表示數(shù)字字母字符；ans表示數(shù)字字母及特殊字符。4JR/T0245—2021示例：1.a10表示定長為10的字母字符。2.n5表示定長為5的數(shù)字字符。3.nMax(20)表示最長為20個數(shù)字字符。4.a1n2表示1個字母與2個數(shù)字字符的組合。c)說明是指數(shù)據(jù)元含義描述。5.2收款掃碼主要數(shù)據(jù)元細目中文名稱：交易流水號數(shù)據(jù)格式：ansMax(40)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起的交易請求的編號，在特定的時間段內(nèi)不允許重復。中文名稱：交易類型數(shù)據(jù)格式：nMax(10)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起交易的場景類型。中文名稱：交易金額數(shù)據(jù)格式：nMax(18)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起交易的金額。中文名稱：硬件序列號數(shù)據(jù)格式：ansMax(50)說明：用于標識受理終端設備的硬件序列號。中文名稱：經(jīng)度信息數(shù)據(jù)格式：ansMax(10)說明：用于標識受理終端的實時經(jīng)度信息。中文名稱：緯度信息數(shù)據(jù)格式：ansMax(10)說明：用于標識受理終端的實時緯度信息。中文名稱：響應信息數(shù)據(jù)格式：ansMax(256)說明：用于標識信息系統(tǒng)或業(yè)務的處理結果。中文名稱：商戶名稱數(shù)據(jù)格式：ansMax(60)說明：用于標識商戶的名稱。中文名稱：付款方信息數(shù)據(jù)格式：ansMax(1000)說明：用于標識付款方相關信息，包括付款方賬戶、付款方賬戶開立機構的機構代碼等。5JR/T0245—2021中文名稱：收款方信息數(shù)據(jù)格式：ansMax(1000)說明：用于標識收款方相關信息，包括收款方賬戶、收款方賬戶開立機構的機構代碼等。中文名稱：付款碼數(shù)據(jù)格式：nMax(34)說明：用于標識收款掃碼模式進行支付的相關條碼信息。中文名稱：訂單編碼數(shù)據(jù)格式：anMax(40)說明：用于唯一標識訂單信息。5.3付款掃碼主要數(shù)據(jù)元細目中文名稱：交易流水號數(shù)據(jù)格式：ansMax(40)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起的交易請求的編號，在特定的時間段內(nèi)不允許重復。中文名稱：交易類型數(shù)據(jù)格式：nMax(10)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起交易的場景類型。中文名稱：交易金額數(shù)據(jù)格式：nMax(18)說明：用于標識銀行業(yè)金融機構或非銀行支付機構發(fā)起交易的金額。中文名稱：硬件序列號數(shù)據(jù)格式：ansMax(50)說明：用于標識受理終端設備的硬件序列號。中文名稱：經(jīng)度信息數(shù)據(jù)格式：ansMax(10)說明：用于標識受理終端的實時經(jīng)度信息。中文名稱：緯度信息數(shù)據(jù)格式：ansMax(10)說明：用于標識受理終端的實時緯度信息。中文名稱：響應信息數(shù)據(jù)格式：ansMax(256)說明：用于標識信息系統(tǒng)或業(yè)務的處理結果。6JR/T0245—2021中文名稱：商戶名稱數(shù)據(jù)格式：ansMax(60)說明：用于標識商戶的名稱。中文名稱：付款方信息數(shù)據(jù)格式：ansMax(1000)說明：用于標識付款方相關信息，包括付款方賬戶、付款方賬戶開立機構的機構代碼等。中文名稱：收款方信息數(shù)據(jù)格式：ansMax(1000)說明：用于標識收款方相關信息，包括收款方賬戶、收款方賬戶開立機構的機構代碼等。中文名稱：訂單編碼數(shù)據(jù)格式：anMax(40)說明：用于唯一標識訂單信息。6安全要求6.1基本安全要求應符合條碼支付國家及行業(yè)相關標準規(guī)范的安全要求。在采用前臺模式生成訂單的付款掃碼交易時，生成訂單應滿足以下安全要求：注：前臺模式是指用戶掃描包含訂單鏈接地址的收款碼后，通過跳轉頁面完成支付的模式。a)訂單交易報文傳輸過程中應使用安全協(xié)議，如https。b)用戶應二次確認商戶信息和交易金額。c)訂單報文應具有防重放能力。d)交易報文應進行簽名。6.2移動金融客戶端應用軟件安全要求移動金融客戶端應用軟件應符合JR/T0092、JR/T0171等要求，采取有效技術措施保證銀行卡有效期、CVN2、支付密碼等支付敏感信息的安全性，并滿足以下要求：注：CVN2全稱為CardValidationNumber2，是銀行卡(信用卡)的安全碼。a)通過各類客戶端采集支付敏感信息時，應提供即時防護功能降低惡意軟件竊取支付敏感信息的風險，如采取逐字符加密、自定義軟鍵盤、防拷屏等技術。b)支付敏感信息在傳輸時應采用經(jīng)國家密碼管理機構認可的密碼算法進行端到端加密。c)不得留存非本機構的支付敏感信息，確有必要留存的，應取得客戶本人及賬戶管理機構的授權后再進行不可逆變換或加密，并定期開展支付敏感信息安全的內(nèi)部審計。7JR/T0245—2021參考文獻[1]GB/T12406表示貨幣和資金的代碼