非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證技術(shù)規(guī)范

非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證技術(shù)規(guī)范

1范圍

本技術(shù)規(guī)范規(guī)定了非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)標準符合性和系統(tǒng)安全性的要求。

本技術(shù)規(guī)范適用于對非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)評估依據(jù)，可作為對非金融機構(gòu)支付

業(yè)務(wù)設(shè)施技術(shù)進行管理、檢查、認證的技術(shù)性規(guī)范，也可作為非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)

提供者改進自身能力的指導依據(jù)。

2規(guī)范性引用文件

(1)JR/TXXXX電子支付術(shù)語

(2)JR/TXXXX電子支付文件數(shù)據(jù)格式

(3)JR/TXXXX基于INTERNET的網(wǎng)上支付安全規(guī)范

(4)JR/TXXXX基于INTERNET的網(wǎng)上支付交易模型及流程

(5)JR/TXXXX基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素

(6)GB/T22239—2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求第七章第

三級基本要求、第八章第四級基本要求

(7)GB/T22081—2008信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則第十四章業(yè)

務(wù)連續(xù)性管理

(8)IS0/IEC27001:2005信息技術(shù)安全技術(shù)信息安全管理體系要求

3術(shù)語和定義

3.1術(shù)語

3.1.1非金融機構(gòu)支付服務(wù)non-financialpaymentservice

是指非金融機構(gòu)在收付款人之間作為中介機構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務(wù)。

3.1.2互聯(lián)網(wǎng)支付internetpayment

是指依托互聯(lián)網(wǎng)實現(xiàn)收付款方之間貨幣資金轉(zhuǎn)移的行為。

3.1.3預付卡

是指以營利為目的發(fā)行的、在發(fā)行機構(gòu)之外購買商品或服務(wù)的預付價值，包括采取磁條、芯

片等技術(shù)以卡片、密碼等形式發(fā)行的預付卡。預付卡不包括:

(1)僅限于發(fā)放社會保障金的預付卡；

(2)僅限于乘坐公共交通工具的預付卡；

(3)僅限于繳納電話費等通信費用的預付卡；

(4)發(fā)行機構(gòu)與特約商戶為同一法人的預付卡。

3.1.4銀行卡收單

是指通過銷售點(POS)終端等為銀行卡特約商戶代收貨幣資金的行為。

3.1.5移動支付mobilepayment

是指以個人移動終端(通常指手機)作為支付終端，通過無線通信方式發(fā)出支付指令，

實現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。移動支付可分為遠程支付與近場支付兩類。遠程支付是指移

動終端本身使用短信SMS、WAP、客戶端軟件、語音IVR等方式，通過無線網(wǎng)絡(luò)和支付服務(wù)

系統(tǒng)主機連接，實現(xiàn)交易的方式，在這種方式下，移動終端被當做支付終端來使用。近場支

付則是指移動終端上內(nèi)嵌的智能卡通過非接觸方式和金融支付終端進行通訊從而實現(xiàn)交易

的方式，這種方式下移動終端是當做支付卡片來使用的.

3.1.6一般支付instantpayment

在支付過程中，支付指令需要由付款方在支付服務(wù)方授權(quán)，并且支付成功后即可結(jié)算的支

付行為。

3.1.7擔保支付securedpayment

在支付過程中，由支付服務(wù)方為支付的雙方提供交易擔保，交易成功后，付款方進行支

付確認,由支付服備方把款項結(jié)算給收款方的支付行為。

3.1.8協(xié)議支付agreementpayment

客戶、商戶、支付服務(wù)方事先簽訂協(xié)議，在后續(xù)支付過程中，商戶根據(jù)協(xié)議直接向支付

服務(wù)方發(fā)起扣款請求，而無需客戶在支付服務(wù)方授權(quán)即可完成付款的支付行為。

3.2定義

3.2.1基本要求

是對非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)的強制性要求。受審查方承諾提供的系統(tǒng)服務(wù)應(yīng)達到

基本要求的指標。

3.2.2增強要求

考慮到非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)實際應(yīng)用現(xiàn)狀，也考慮到金融行業(yè)對于業(yè)務(wù)的規(guī)范

化要求，以及將來的發(fā)展需要，對未來一段時間內(nèi)行業(yè)的發(fā)展水平進行合理的預估，提出增

強指標的要求。增強指標要求高于當前的平均水平，使得技術(shù)規(guī)范能夠在比較長的一段時間

內(nèi)適用。

4支付系統(tǒng)業(yè)務(wù)類別

(1)互聯(lián)網(wǎng)支付系統(tǒng)

(2)預付卡的發(fā)行與受理系統(tǒng)

(3)銀行卡收單系統(tǒng)

(4)移動支付(近場支付)系統(tǒng)

(5)移動支付(遠程支付)系統(tǒng)

(6)中國人民銀行確定的其他支付系統(tǒng)

5評判原則

非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證的評判遵循以下原則：

(1)客觀性原則：

必須以非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)提供者的實際業(yè)務(wù)或事項為依據(jù)進行確認、審

查和報告，如實地反映符合確認和審查的各項檢查要素，保證審查信息的真實可靠，內(nèi)

容完整。

(2)公正性原則：

必須依據(jù)國家法律法規(guī)和認可規(guī)范，認可準則CNAS-CC21、CNAS-CC22及其他有關(guān)

規(guī)定的要求，建立完整的質(zhì)量體系，并嚴格按照質(zhì)量體系開展認證活動。其認證活動不

受任何外來壓力和商業(yè)因素的影響和干擾。

(3)科學性原則：

要以科學思想為指導，以事實為依據(jù)。

6技術(shù)要求

6.1互聯(lián)網(wǎng)支付系統(tǒng)要求

6.1.1基本要求

互聯(lián)網(wǎng)支付系統(tǒng)應(yīng)在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包管理

方面符合技術(shù)標準要求和管理要求，基本要求參見附件《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測基

本要求一互聯(lián)網(wǎng)支付部分》。審查項參見附錄A.Io

6.1.2增強要求

6.1.2.1功能要求

(1)交易處理

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.1.6.2.2.6.2.3、

6.2.9、6.2.12、6.2.13報文結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.1.1,

6.1.2、6.1.3、6.2.1、6.3.1的要求。

(2)資金結(jié)算

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.7、6.2.8報文

結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.1.5

的要求。

(3)差錯處理

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.10、6.2.11報

文結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.2.2

的要求。

6.1.2.2安全性要求

(1)網(wǎng)絡(luò)安全

1)網(wǎng)絡(luò)結(jié)構(gòu)安全

—應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

2)網(wǎng)絡(luò)安全審計

—應(yīng)定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當

存儲空間被耗盡時，終止可審計事件的發(fā)生；

—應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器

同步。

3)網(wǎng)絡(luò)入侵防范

—當審查到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時

間，在發(fā)生嚴重入侵事件時應(yīng)提供報警及自動采取相應(yīng)動作。

4)網(wǎng)絡(luò)設(shè)備防護

網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的;

（2）主機安全

1）身份鑒別

—應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

—應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且

身份鑒別信息至少有一種是不可偽造的。

2）可信路徑

—在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信

息傳輸路徑。

—在用戶對系統(tǒng)進行訪問時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息傳輸

路徑。

3）安全審計

—應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

（3）應(yīng)用安全

1）身份鑒別

—應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其

中一種是不可偽造的

2）使用數(shù)據(jù)證書

—客戶端、服務(wù)器端應(yīng)使用數(shù)字證書。

3）安全審計

—應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。

4）剩余信息保護

—應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到

完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

—應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重

新分配給其他用戶前得到完全清除。

5）應(yīng)用容錯

—應(yīng)提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工

作狀態(tài)。

6）源碼安全

應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審查工具等）對應(yīng)用程序

進行檢杳；

7）可信時間戳服務(wù)

—本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；

—應(yīng)采用國家認可的可信時間戳服務(wù)；

—應(yīng)安全保存時間欲及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理

的抗抵賴性。

（4）運維安全

1）環(huán)境管理

一開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

2）設(shè)備管理

—應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風險;

—包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查，以確保在銷毀之前，任何敏

感信息和注冊軟件已被刪除或安全重寫；

—設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

3）監(jiān)控管理

—費源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預測，以確

保擁有所需的系統(tǒng)性能。

4）變更管理

—應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和臉收前對

系統(tǒng)進行適當?shù)臏y試。

6.2預付卡的發(fā)行與受理系統(tǒng)要求

6.2.1基本要求

預付卡發(fā)卡受理系統(tǒng)在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全性、系統(tǒng)文檔建設(shè)、外包

管理等方面應(yīng)符合技術(shù)標準和管理要求。基本要求參見《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)測試

基本要求—預付卡》。檢查項目見附錄a.2。

6.2.2增強要求

6.2.2.1安全性要求

（1）網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)結(jié)構(gòu)安全

—應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

2）網(wǎng)絡(luò)安全審計

—應(yīng)定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當

存儲空間被耗盡時，終止可審計事件的發(fā)生；

—應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同

步。

3）網(wǎng)絡(luò)入侵防范

一當審查到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時

間，在發(fā)生嚴重入侵事件時應(yīng)提供報警及自動采取相應(yīng)動作。

4）網(wǎng)絡(luò)設(shè)備防護

—網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的；

（2）主機安全

1）身份鑒別

—應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

—應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且

身份鑒別信息至少有一種是不可偽造的。

2）可信路徑

一在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息

傳輸路徑。

—在用戶對系統(tǒng)進疔訪問時，系統(tǒng)與用戶之間應(yīng)能夠建R一條安全的信息傳輸

路徑。

3）安全審計

—應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

（3）應(yīng)用安全

1）身份鑒別

一應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其

中一種是不可偽造的

2）使用數(shù)據(jù)證書

—客戶端?、服務(wù)器端應(yīng)使用數(shù)字證書。

3）安全審計

一應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。

4）剩余信息保護

一應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到

完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

—應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重

新分配給其他用戶前得到完全清除。

5）應(yīng)用容錯

一應(yīng)提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工

作狀態(tài)。

6）源碼安全

—應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審食工具等）對應(yīng)用程序

進行檢查；

7）可信時間戳服務(wù)

—本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；

—應(yīng)采用國家認可的可信時間戳服務(wù)；

—應(yīng)安全保存時間戳及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理的

抗抵賴性。

（4）運維安全

1）環(huán)境管理

—開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

2）設(shè)備管理

—應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風險;

一包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查，以確保在銷毀之前，任何敏

感信息和注冊軟件已被刪除或安全重寫；

—設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

3）監(jiān)控管理

一費源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預測，以確

保擁有所需的系統(tǒng)性能。

4）變更管理

一應(yīng)續(xù)立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對

系統(tǒng)進行適當?shù)臏y試。

6.3銀行卡收單系統(tǒng)要求

6.3.1基本要求

銀行卡收單系統(tǒng)應(yīng)在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包管理

方面符合技術(shù)標準要求和管理要求，基本要求參見附件《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測基

本要求一銀行卡收單部分》。審查項參見附錄A.3o

6.3.2增強要求

6.3.2.1功能要求

(1)對賬處理

—報文設(shè)計符合《電子支付文件數(shù)據(jù)格式》6報文結(jié)構(gòu)設(shè)計要求，具有符合要求

的主要數(shù)據(jù)項

(2)差錯處理

—報文設(shè)計符合《電子支付文件數(shù)據(jù)格式》5.1報文結(jié)構(gòu)設(shè)計要求，具有符合要

求的主要數(shù)據(jù)項

6.3.2.2安全性要求

(1)網(wǎng)絡(luò)安全

1)網(wǎng)絡(luò)結(jié)構(gòu)安全

—應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

2)網(wǎng)絡(luò)安全審計

—應(yīng)定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當

存儲空間被耗盡時，終止可審計事件的發(fā)生；

—應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同

步。

3)網(wǎng)絡(luò)入侵防范

一當審查到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時

間，在發(fā)生嚴重入侵事件時應(yīng)提供報警及自動采取相應(yīng)動作。

4)網(wǎng)絡(luò)設(shè)備防護

—網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的；

(2)主機安全

I）身份鑒別

—應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

一應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且

身份鑒別信息至少有一種是不可偽造的。

2）可信路徑

一在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息

傳輸路徑。

—在用戶對系統(tǒng)進行訪問時，系統(tǒng)與用戶之間應(yīng)能夠建王一條安全的信息傳輸

路徑。

3）安全審計

—應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

（3）應(yīng)用安全

1）身份鑒別

一應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其

中一種是不可偽造的

2）使用數(shù)據(jù)證書

—客戶端、服務(wù)器端應(yīng)使用數(shù)字證書。

3）安全審計

—應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。

4）剩余信息保護

一應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到

完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

—應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重

新分配給其他用戶前得到完全清除。

5）應(yīng)用容錯

一應(yīng)提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工

作狀態(tài)。

6）源碼安全

—應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審奩工具等）對應(yīng)用程序

進行檢查；

7）可信時間戳服務(wù)

—本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；

—應(yīng)采用國家認可的可信時間戳服務(wù)；

一應(yīng)安全保存時間戳及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理的

抗抵賴性。

（4）運維安全

1）環(huán)境管理

—開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

2）設(shè)備管理

—應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風險;

一包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查，以確保在銷毀之前，任何敏

感信息和注冊軟件已被刪除或安全重寫；

—設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

3）監(jiān)控管理

—資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預測，以確

保擁有所需的系統(tǒng)性能。

4）變更管理

一應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對

系統(tǒng)進行適當?shù)臏y試。

6.4移動支付（近場支付）系統(tǒng)要求

6.4.1基本要求

移動支付（近場支付）系統(tǒng)應(yīng)在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外

包管理方面符合技術(shù)標準要求和管理要求，基本要求參見附件《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)

檢測基本要求一近場移動支付部分》。審查項參見附錄A.4o

6.4.2增強要求

6.4.2.1安全性要求

（1）網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)結(jié)構(gòu)安全

—應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

2）網(wǎng)絡(luò)安全審計

—應(yīng)定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當

存儲空間被耗盡時，終止可審計事件的發(fā)生；

—應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同

步。

3）網(wǎng)絡(luò)入侵防范

一當審查到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時

間，在發(fā)生嚴重入侵事件時應(yīng)提供報警及自動采取相應(yīng)動作。

4）網(wǎng)絡(luò)設(shè)備防護

—網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的；

（2）主機安全

1）身份鑒別

—應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

—應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且

身份鑒別信息至少有一種是不可偽造的。

2）可信路徑

一在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息

傳輸路徑。

—在用戶對系統(tǒng)進疔訪問時，系統(tǒng)與用戶之間應(yīng)能夠建R一條安全的信息傳輸

路徑。

3）安全審計

—應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

（3）應(yīng)用安全

1）身份鑒別

一應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其

中一種是不可偽造的

2）使用數(shù)據(jù)證書

—客戶端?、服務(wù)器端應(yīng)使用數(shù)字證書。

3）安全審計

一應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。

4）剩余信息保護

一應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到

完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

—應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重

新分配給其他用戶前得到完全清除。

5）應(yīng)用容錯

一應(yīng)提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工

作狀態(tài)。

6）源碼安全

—應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審食工具等）對應(yīng)用程序

進行檢查；

7）可信時間戳服務(wù)

—本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；

—應(yīng)采用國家認可的可信時間戳服務(wù)；

—應(yīng)安全保存時間戳及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理的

抗抵賴性。

（4）運維安全

1）環(huán)境管理

—開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

2）設(shè)備管理

—應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風險;

一包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查，以確保在銷毀之前，任何敏

感信息和注冊軟件已被刪除或安全重寫；

—設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

3）監(jiān)控管理

一費源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預測，以確

保擁有所需的系統(tǒng)性能。

4）變更管理

一應(yīng)婕立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對

系統(tǒng)進行適當?shù)臏y試。

6.5移動支付（遠程支付）系統(tǒng)要求

6.5.1基本要求

移動支付（遠程支付）系統(tǒng)應(yīng)在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外

包管理方面符合技術(shù)標準要求和管理要求，基本要求參見附件《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)

槍測基本要求一遠程移動支付部分》。審查項參見附錄A.5。

6.5.2增強要求

6.5.2.1功能要求

（1）交易處理

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.1、6.2.2、6.2.3、

6.2.9、6.2.12、6.2.13報文結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.1.1,

6.1.2、6.1.3、6.2.1、6.3.1的要求。

（2）資金結(jié)算

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.7、6.2.8報文

結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.1.5

的要求。

（3）差錯處理

—報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》6.2.10、6.2.11報

文結(jié)構(gòu)設(shè)計要求，具有符合要求的主要數(shù)據(jù)項；

—交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》6.2.2

的要求。

6.5.2.2安全性要求

（1）網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)結(jié)構(gòu)安全

—應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

2）網(wǎng)絡(luò)安全審計

—應(yīng)定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，

當存儲空間被耗盡時，終止可審計事件的發(fā)生；

—應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同

步。

3）網(wǎng)絡(luò)入侵防范

—當審查到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時

間，在發(fā)生嚴重入侵事件時應(yīng)提供報警及自動采取相應(yīng)動作。

4）網(wǎng)絡(luò)設(shè)備防護

—網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的；

（2）主機安全

1）身份鑒別

—應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

一應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且

身份鑒別信息至少有一種是不可偽造的。

2）可信路徑

一在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息

傳輸路徑。

—在用戶對系統(tǒng)進行訪問時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息傳輸

路徑。

3）安全審計

—應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

（3）應(yīng)用安全

1）身份鑒別

一應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其

中一種是不可偽造的

2）使用數(shù)據(jù)證書

—客戶端、服務(wù)器端應(yīng)使用數(shù)字證書。

3）安全審計

—應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。

4）剩余信息保護

—應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到

完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

—應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重

新分配給其他用戶前得到完全清除。

5）應(yīng)用容錯

—應(yīng)提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工

作狀態(tài)。

6）源碼安全

—應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審查工具等）對應(yīng)用程序

進行檢查；

7）可信時間戳服務(wù)

—本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；

—應(yīng)采用國家認可的可信時間戳服務(wù)；

一應(yīng)安全保存時間戳及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理的

抗抵賴性。

（4）運維安全

1）環(huán)境管理

—開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

2）設(shè)備管理

—應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風險;

一包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查，以確保在銷毀之前，任何敏

感信息和注冊軟件已被刪除或安全重寫；

—設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

3）監(jiān)控管理

—資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預測，以確

保擁有所需的系統(tǒng)性能。

4）變更管理

一應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對

系統(tǒng)進行適當?shù)臏y試。

6.6外包附加要求

對于非金融機構(gòu)將支付服務(wù)業(yè)務(wù)系統(tǒng)相關(guān)開發(fā)、運維等外包給第三方服務(wù)機構(gòu)的附加要求。

外包提供的服務(wù)包括：基礎(chǔ)設(shè)施運維服務(wù)、應(yīng)用系統(tǒng)運維服務(wù)和安全管理服務(wù)等。其中，基礎(chǔ)設(shè)施

運維服務(wù)是指對IT基礎(chǔ)設(shè)施進行監(jiān)視、日常維護和維修保障；基礎(chǔ)設(shè)施運維服務(wù)包括網(wǎng)絡(luò)系

統(tǒng)、主機系統(tǒng)、存儲/備份系統(tǒng)、安全系統(tǒng)等；應(yīng)用系統(tǒng)運維服務(wù)是指對應(yīng)用系統(tǒng)進行維護

及改進。安全管理服務(wù)是指對IT環(huán)境涉及的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的安全進行管理，包括安全保

護、安全監(jiān)控等服務(wù)。審查項參見附錄A.6。

6.6.1基本要求

—外包內(nèi)容應(yīng)符合法律法規(guī)的要求；

—應(yīng)對外包行為和外包模式進行風險評估；

—確定外包行為前應(yīng)對外包服務(wù)提供方的經(jīng)驗和能力、硬件資源、財務(wù)狀況、資

金構(gòu)成、人員構(gòu)成、主管部門審批等資質(zhì)進行評估；

—應(yīng)與外包服務(wù)提供方就外包內(nèi)容簽訂合同，合同中應(yīng)明確各方的權(quán)利、義務(wù)及

責任和爭議解決辦法；

—應(yīng)在合同中設(shè)定安全保密條款或單獨簽署安全保密協(xié)議；

—應(yīng)在合同中設(shè)定條款要求外包服務(wù)提供方提供的外包服務(wù)符合本規(guī)范要求；

—應(yīng)制訂對外包的控制制度、事件報告程序和應(yīng)急計劃；

—應(yīng)確保第三方實施、運行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措

施、服務(wù)定義和交付水準。

—應(yīng)定期監(jiān)視和評審由第三方提供的服務(wù)、報告和記錄，審核也應(yīng)定期執(zhí)行。

—應(yīng)管理服務(wù)提供的變更，包括保持和改進現(xiàn)有的信息安全方針策略、程序和控

制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風險的再評估。

—應(yīng)制訂詳細的外包交付清單，并對外包相關(guān)人員進行業(yè)務(wù)培訓，保障順利交付

外包內(nèi)容；

—應(yīng)指定或授權(quán)專門的部門或人員負責對外包服務(wù)進行管理和監(jiān)督，定期評估外

包商的運營狀況，定期審查合同條款的履行情況。

6.6.2增強要求

—外包商應(yīng)建立質(zhì)量管理體系和安全管理體系。

7等級劃分

非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)等級分為二級：一級和二級。一級覆蓋本技術(shù)規(guī)范的

基本要求，二級覆蓋本技術(shù)規(guī)范的基本要求和增強要求。

附錄A

(規(guī)范性附錄)

審查項列表

A.1互聯(lián)網(wǎng)支付系統(tǒng)審查項

A.1.1功能審查項

編號審查項宙查說明

(1)客戶信息登記及管理必備項

(2)商業(yè)狼行管理

1客戶管理

(3)客戶證書頒發(fā)

(4)客戶審核必備項

(1)客戶賬戶管理必備項

(2)客戶賬戶管理審核

2賬戶管理(3)客戶賬戶查詢必備項

(4)客戶賬戶資金調(diào)撥及歸集

(5)客戶賬戶資金審核

(1)一般支付一般支付類必備項

(2)擔保支付擔保支付類必備項

(3)協(xié)議支付協(xié)議支付類必備項

(4)支付撤銷必備項

(5)轉(zhuǎn)賬

(6)預存

3交易處理(7)提現(xiàn)

(8)積分查詢

(9)積分兌換

(10：積分兌換撤銷

(11：交易糾紛處理

(12)交易明細查詢必備項

(13)交易明細下載

編號審查項官查說明

(14：邀請其他人代付

4資金結(jié)算(1)客戶結(jié)算必備項

(1)商戶發(fā)送對賬請求

5對賬處理

(2)商戶下載對賬文件

(1)長款/短款處理必備項

6差錯代理(2)單筆退款必備項

(3)批量退款

(1)業(yè)務(wù)類報表必備項

7統(tǒng)計報表

(2)運行管理類報表必備項

(1)運營人員權(quán)限管理必備項

(2)提現(xiàn)風控處理

8運營管理(3)提現(xiàn)財務(wù)處理

(4)退款風控處理

(5)退款財務(wù)處理

A.1.2風險監(jiān)控審查項

編號審查項審查說明

(1)多種用戶身份鑒別方式必備項

1賬戶風險管理(2)甄別可疑交易必備項

(3)監(jiān)控規(guī)則管理必備項

(1)當日交易查詢必備項

(2)歷史交易查詢必備項

(3)實時交易監(jiān)控必備項

2交易監(jiān)控

(4)異常交易監(jiān)控必咯項

(5)交易事件報警必備項

(6)系統(tǒng)自動審核必備項

(1)人工審核必備項

3交易審核

(2)風控規(guī)則管理必備項

編號審查項審查說明

(1)黑名單必備項

(2)風險識別必備項

4風控規(guī)則

(3)事件管理必備項

(4)風險報表必備項

A.1.3性能審查項

編號審查項審查說明

1支付必備項

2預存

3轉(zhuǎn)賬

4交易明細查詢必備項

5日終批處理

A.1.4安全性審查項

(1)網(wǎng)絡(luò)安全性

編號審查項審查說明

(1)網(wǎng)絡(luò)冗余和備份必備項

(2)網(wǎng)絡(luò)安全路由器

(3)網(wǎng)絡(luò)安全防火墻

1結(jié)構(gòu)安全

(4)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

(5)IP子網(wǎng)劃分

(6)QoS保證

(1)網(wǎng)絡(luò)域安全隔離和限制必備項

2網(wǎng)絡(luò)訪問控制(2)地址轉(zhuǎn)換和綁定

(3)內(nèi)容過濾

編號審查項審查說明

(4)訪問控制

(5)流量控制

(6)會話控制

(7)遠程撥號訪問控制和記錄

(1)日志信息必備項

<2)網(wǎng)絡(luò)系統(tǒng)故障分析

3網(wǎng)絡(luò)安全審計(3)網(wǎng)絡(luò)對象操作審計

(4)日志權(quán)限和保護

(5)審計工具

(1)內(nèi)外網(wǎng)非法連接阻斷和定必備項

4邊界完整性檢查

位

(1)網(wǎng)絡(luò)ARP欺騙攻擊必備項

(2)信息竊取

5網(wǎng)絡(luò)入侵防范

(3)DOS/DDOS攻擊

(4)網(wǎng)絡(luò)入侵防范機制

(1)惡意代碼防范措施必備項

6惡意代碼防范

(2)定時更新

(1)設(shè)備登錄設(shè)置必備項

(2)設(shè)備登錄口令安全性

(3)登錄地址限制

7網(wǎng)絡(luò)設(shè)備防護(4)遠程管理安全

(5)設(shè)備用戶設(shè)置策略

(6)權(quán)限分離

(7)最小化服務(wù)

(1)網(wǎng)絡(luò)設(shè)備運維手冊必備項

(2)定期補丁安裝

8網(wǎng)絡(luò)安全管理

(3)漏洞掃描

(4)網(wǎng)絡(luò)數(shù)據(jù)傳輸加密

編號審查項審查說明

(1)網(wǎng)絡(luò)安全管理人員配備必備項

(2)網(wǎng)絡(luò)安全管理人員責任劃

網(wǎng)絡(luò)相關(guān)人員安全

9分規(guī)則

管理

(3)網(wǎng)絡(luò)安全關(guān)鍵崗位人員管

理

(2)土機安全性

編號審查項審查說明

(1)系統(tǒng)與應(yīng)用管理員用戶設(shè)：治、備項

置

1身份鑒別(2)系統(tǒng)與應(yīng)用管理員口令安

全性

(3)登錄策略

(1)訪問控制范圍必備項

2訪問控制(2)主機信任關(guān)系

(3)默認過期用戶

(1)日志信息必備項

(2)日志權(quán)限和保護

3安全審計

(3)系統(tǒng)信息分析

(4)用戶操作審計

(1)系統(tǒng)備份必備項

(2)故障恢復策略

4系統(tǒng)保護

(3)磁盤空間安全

(4)主機安全加固

5剩余信息保護(1)過期信息、文檔處理必備項

(1)入侵防范記錄必備項

6入侵防范(2)關(guān)閉服務(wù)和端口

(3)最小安裝原則

編號審查項審查說明

(1)防范軟件安裝部署必備項

7惡意代碼防范(2)病毒庫定時更新

(3)防范軟件統(tǒng)一管理

(1)連接控制必備項

8資源控制

(2)資源監(jiān)控和預警

<1)主機運維手冊必備項

(2)漏洞掃描

9主機安全管理

(3)系統(tǒng)補丁

(4)操作日志管理

(1)主機安全管理人員配備必備項

(2)主機安全管理人員責任劃

主機相關(guān)人員安全

10分規(guī)則

管理

(3)主機安全關(guān)鍵崗位人員管

理

(3)應(yīng)用安全性

編號審查項審查說明

(1)系統(tǒng)與普通用戶設(shè)置必備項

(2)系統(tǒng)與普通用戶口令安全

性

(3)登錄訪問安全策略

(4)非法訪問警示和記錄

1身份鑒別

(5)客戶端鑒別信息安全

(6)口令有效期限制

(7)限制認證會話時間

(8)身份標識唯一性

(9)及時清除鑒別信息

2WEB頁面安全(1)登錄防窮舉必備項

編號審查項審查說明

(2)安全控件

(3)使用數(shù)字證書

(4)獨立的支付密碼

(5)網(wǎng)站頁面SQL注入防范

(6)網(wǎng)站頁面跨站腳本攻擊防

范

(7)網(wǎng)站頁面源代碼暴露防范

(8)網(wǎng)站頁面黑客掛馬防范

(9)網(wǎng)站頁面防篡改措施

(10：網(wǎng)站頁面防釣魚

(11：工商局ICP備案

(1)訪問權(quán)限設(shè)置必備項

(2)自主訪問控制范圍

(3)業(yè)務(wù)操作日志

3訪問控制

(4)關(guān)鍵數(shù)據(jù)存放

(5)異常中斷防護

(6)數(shù)據(jù)庫安全配置

(1)日志信息必備項

(2)日志權(quán)限和保護

(3)系統(tǒng)信息查詢與分析

4安全審計

(4)對象操作審計

(5)審計工具

(6)事件報警

5剩余信息保護(1)過期信息、文檔處理必備項

(1)連接控制必備項

(2)會話控制

6資源控制

(3)進程資源分配

(4)資源審查預警

編號審查項審查說明

(1)數(shù)據(jù)有效性校驗必備項

(2)容錯機制

7應(yīng)用容錯

(3)故障機制

(4)回退機制

8報文完整性(1)通信報文有效性必備項

9報文保密性(1)報文或會話加密必備項

10抗抵賴(1)原發(fā)和接收證據(jù)必備項

(1)源代碼審查必備項

(2)插件安全性審查

11編碼安全(3)編碼規(guī)范約束

(4)源代碼管理

(5)版本管理

(1)第三方電子認證機構(gòu)必備項

(2)關(guān)鍵業(yè)務(wù)電子認證技術(shù)應(yīng)

12電子認證應(yīng)用用

(3)電子簽名有效性

(4)服務(wù)器證書私鑰保護

(4)數(shù)據(jù)安全性

編號審查項審查說明

(1)客戶身份信息保護必備項

1數(shù)據(jù)保護(2)支付業(yè)務(wù)信息保護

(3)會計檔案信息保護

(1)重要數(shù)據(jù)更改機制必備項

(2)數(shù)據(jù)備份記錄

2數(shù)據(jù)完整性(3)保障傳輸過程中的數(shù)據(jù)完

整性

(4)備份數(shù)據(jù)定期恢復

3交易數(shù)據(jù)以及客戶(1)數(shù)據(jù)物理存儲安全必備項

編號審查項審查說明

數(shù)據(jù)的安全性(2)客戶身份認證信息存儲安