非金融机构支付业务设施技术要求.docx

1、非金融机构支付业务设施技术要求非金融机构支付业务设施技术要求Technical requirements of Non-financial institutions payment service facilities（本稿完成时间 2013-12-20）2013 - 12-31发布2014 - 1-1实施目次前言为促进支付服务市场健康发展，规范非金融机构支付服务行为，防范支付风险，保护当事人的合法权益，根据中华人民共和国标准化法、中华人民共和国认证认可条例、非金融机构支付服务管理办法（中国人民银行令2010第2号）、非金融机构支付服务管理办法实施细则（中国人民银行公告2010第17号）及非金

2、融机构支付服务业务系统检测认证管理规定（中国人民银行公告2011第14号）等相关法律法规的规定，制定非金融机构支付业务设施技术要求。本要求的评估对象为从事非金融机构支付服务的非金融机构支付企业，包括申请或已获得支付业务许可证的非金融机构。引言非金融机构支付业务设施技术要求包括基本要求和增强要求两部分；增强要求在本要求中做出了具体的规定。本要求根据现有技术的发展水平，提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求，即基本要求，基本要求包括技术标准符合性和系统安全性要求。达到本要求的可以实现系统的基本技术符合和相对安全。非金融机构支付业务设施技术要求1范围本要求规定了非金融机构支付

3、业务设施的技术标准符合性和系统安全性相应级别的基本要求。本要求为认证机构、检测机构对非金融机构支付业务设施进行认证、检测的依据，也可作为非金融机构支付业务设施提供者改进自身技术能力的指导依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。下列文件中的条款通过本技术规范的引用而成为本要求的条款。凡是注日期的引用文件，其随后所有的修订单（不包括勘误的内容）或修订版均不适用于本要求；凡是不注日期的引用文件其最新版本适用于本要求。注明报批的文件以批准发布版本为准。1GB/T-

4、22239-2008 信息安全技术 信息系统安全等级保护基本要求2GB/T-22081-2008 信息技术 安全技术 信息安全管理实用规则3GB/T- 22080-2008 信息技术安全技术 信息安全管理体系要求3等级划分非金融机构支付业务设施技术认证分为二级：一级和二级。一级覆盖本技术规范的基本要求，二级覆盖本技术规范的基本要求和增强要求。4术语非金融机构支付服务 non-financial institutions payment services 是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：a)互联网支付b)移动电话支付c)固定电话支付d)数字电视支付e)

5、预付卡发行与受理f)银行卡收单g)中国人民银行确定的其他支付服务互联网支付internet payment是指依托互联网实现收付款方之间货币资金转移的行为。固定电话支付 fixed telephone payment是指电话通过语音IVR方式，使用电话线路发出支付指令，实现货币支付与资金转移的行为。数字电视支付 Digital TV payment是指依托交互机顶盒等数字电视支付终端发起的，使用IC卡或网络实现支付交易的行为。数字电视支付业务不涉及IC卡的发行和管理。预付卡发行与受理Prepaid cards是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分

6、为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。银行卡收单bank card acceptance是指收单机构与特约商户签订银行卡受理协议，在特约商户按约定受理银行卡并与持卡人达成交易后，为特约商户提供交易资金结算服务的行为。一般支付 General payment在支付过程中，支付指令需要由付款方在支付服务方授权，并且支付成功后即可结算的支付行为。担保支付 Guarantee payment在支付过程中，由支付服务方为支付的双方提供交易担保，付款方进行支付确认后，由支付服务方把款项结算

7、给收款方的支付行为。协议支付 Agreement to pay客户、商户、支付服务方事先签订协议，在后续支付过程中，商户根据协议直接向支付服务方发起扣款请求，而无需通过客户另行授权即可完成付款的支付行为。基本要求 basic requirement是对非金融机构支付业务设施的基础性技术要求。增强要求 Enhancement request考虑到非金融机构支付业务设施的实际技术应用现状，也考虑到金融行业对于业务的规范化要求，以及将来的发展需要，对未来一段时间内行业的发展水平进行合理的预估，提出增强要求。增强要求高于当前的平均水平，使得技术规范能够在比较长的一段时间内适用。5评判原则非金融机构支付

8、业务设施技术认证的评判遵循以下原则：5.1客观性原则必须以非金融机构支付业务设施提供者的实际业务或事项为依据进行确认、审查和报告，如实地反映符合确认和审查的各项检查要素，保证审查信息的真实可靠，内容完整。5.2公正性原则必须依据国家法律法规和认可规范，认可准则CNAS-CC21、CNAS-CC22及其他有关规定的要求，建立完整的质量体系，并严格按照质量体系开展认证活动。其认证活动不受任何外来压力和商业因素的影响和干扰。5.3科学性原则要以科学思想为指导，以事实为依据。5.4审慎性原则对可能存在的风险予以充分考量。6互联网支付技术要求6.1功能要求验证支付服务业务系统的业务功能是否正确实现，测试

9、系统业务处理的准确性，基本要求如下：客户管理客户信息登记及管理应实现客户注册、客户信息的编辑等功能。商业银行管理应实现商业银行的接入、信息修改和删除。客户证书管理应实现电子证书的申请、发放、更新、作废等服务。客户审核应实现客户注册信息的审核、确认开通及关键信息修改审核等功能。账户管理客户支付账户管理应实现客户支付账户的开户、修改、状态设置等功能;客户支付账户状态至少包括正常、冻结、注销等。增强要求为：应实现客户账户的开户、修改、冻结/解冻、销户等功能。客户支付账户管理审核应实现客户支付账户信息的审核、确认等服务。客户支付账户查询应实现客户支付账户设置、交易等信息的查询。客户支付账户资金审核应实

10、现当客户支付账户资金转移、交易、结算时，进行资金的审核和确认等。交易处理增强要求为：报文设计符合基于INTERNET的网上支付报文结构及要素6.2.1、6.2.2、6.2.3、6.2.9、6.2.12、6.2.13中的报文结构设计要求；交易模型及流程设计符合基于INTERNET的网上支付交易模型及流程6.1.1、6.1.2、6.1.3、6.2.1、6.3.1中的要求。一般支付一般支付指客户在商户提供的平台上选购商品或服务，并在支付服务方确认付款的支付交易流程。本交易的特点为：客户在支付服务方进行身份认证、交易认证、支付工具确认等，并且支付服务方不对交易双方提供交易担保。应实现客户一般支付交易功

11、能。担保支付担保支付指客户在商户提供的平台上选购商品或服务，并确认付款到支付服务方提供的中间账户，由支付服务方为支付的双方提供交易担保，由付款人在确认收到货物（服务）后或者在指定期限付款人未进行收货确认时，把资金划转到收款人账户的一种业务。应实现客户担保支付交易功能。协议支付协议支付指客户、商户、支付服务方事前签约，在支付时商户根据签约凭证直接向支付服务方发起扣款交易。协议支付要求客户信任商户能够保障自己的资金安全。应实现客户协议支付交易功能。订单撤销应实现客户撤销订单功能。订单撤销是客户因业务需要，在支付业务未完成前，取消订单的过程。如果支付已经完成，则拒绝响应撤销订单请求。转账应实现不同客

12、户支付账户之间的相互转账功能。充值应实现客户支付账户的充值或预存现金。提现应实现将资金从客户支付账户转账到银行账户的服务。积分查询应实现客户积分信息的查询。积分兑换应实现客户积分兑换服务。积分兑换撤销应实现撤销客户积分兑换，且撤消后积分退还客户服务。交易纠纷处理应实现客户交易的投诉、处理、确认、撤销等。交易明细查询应实现按照时间、交易类型或者客户等交易明细信息进行查询的功能，且能实现浏览交易明细。交易明细下载应实现交易明细信息下载到指定终端。邀请其他人代付应实现邀请他人进行支付。资金结算客户结算应实现支付服务方与客户之间的资金结算功能。增强要求为：报文设计符合基于INTERNET的网上支付报文

13、结构及要素6.2.7、6.2.8中的报文结构设计要求；交易模型及流程设计符合基于INTERNET的网上支付交易模型及流程6.1.5中的要求。对账处理商户发送对账请求应实现商户提交对账申请，支付服务方提供对账信息的服务。商户下载对账文件应实现商户对账文件的查询、浏览和下载等。差错处理增强要求为：报文设计符合基于INTERNET的网上支付报文结构及要素6.2.10、6.2.11中的报文结构设计要求；交易模型及流程设计符合基于INTERNET的网上支付交易模型及流程6.2.2中的要求。调账处理应实现对资金结算时发现的有待查明原因的现金溢余或短缺等情况进行调账等服务并进行记录。单笔退款应实现对已发生的

14、单笔交易进行退款申请、确认、审核、退款等功能。因商品退回或服务取消，客户向支付服务方提交单笔退款请求，支付服务方将部分或全部已扣款项退还给客户（个人或企业买方）的原扣款账户，原扣款账户不能接收退款的，退款到付款人其他账户。批量退款应实现对已发生的多笔交易同时进行退款申请、确认、审核、退款等功能。因商品退回或服务取消，客户向支付服务方提交批量退款请求，支付服务方将部分或全部已扣款项退还给客户（个人或企业买方）的原扣款账户，原扣款账户不能接收退款的，退款到付款人其他账户。统计报表业务类报表应实现对一段时间内业务操作（客户注册、商户开通、支付、结算、转账、提现等操作）的查询统计功能。运行管理类报表应

15、实现对一段时间内运行管理情况（资产、监控、安全事件等）的查询统计，第三方支付公司可以根据自身的情况将“一段时间”细化为“月季年”。运营管理运营人员权限管理运营人员指具有审核、确认等权限的管理人员，应实现对此类人员权限的增加、删除、修改或审核等功能。提现管理应实现对提现操作进行管理，如提现规则设置、提现审核确认等措施。提现财务处理应实现对提交的提现申请进行财务处理。退款风控处理应实现对退款操作进行风险处理，如采用退款风险识别、退款审核确认等措施。退款财务处理应实现对退款申请进行财务处理。6.2风险监控要求账户风险管理实名认证应对客户进行实名认证。交易监控监控规则管理应确保在相关风险管理制度中完整

16、、明确的定义各类（如实时、异常等）交易监控规则。当日交易查询应实现当日交易信息的查询。历史交易查询应实现历史交易信息的查询。实时交易监控应实现交易监控规则的设置，以实现对实时交易的监控，并提供对违反规则的交易进行查询、处理、风险控制等服务。增强要求为：建立账户与交易监控系统，对支付交易全过程实施7*24小时监控。可疑交易处理 应实现可疑交易处理规则的设置，以实现对可疑交易的查询、分析处理等服务。交易事件报警应实现对违反规则的交易事件进行报警，并提供事件的查询统计。支付限额管理应根据用户使用的不同身份认证方式设置支付限额，以保护用户的资金安全。单笔交易限额应设置单笔交易限额。当日累计交易限额应设

17、置当日累计交易限额。交易审核系统自动审核应实现交易审核规则的设置，系统根据交易规则自动进行交易审核，并提供交易审核记录。人工审核应确保在相关管理制度中完整、明确的定义需要人工审核的交易类型，实现人工审核规则的设置，并保存人工审核的记录。风控规则风控规则管理应确保在相关风险管理制度中是否完整、明确的定义各项风控规则的变更、审核和确认制度。黑名单应实现黑名单的管理功能，并对黑名单中客户的交易进行风险监控。风险识别应确保在相关风险管理制度中是否完整、明确的定义各种风险类别。事件管理应确保在相关风险管理制度中是否完整、明确的定义各项风险事件处理规则，并保留事件的记录。风险报表应提供一段时间内的风险事件

18、报表，或提供查询一段时间内的风险事件报表功能。商户风险管理商户资质审核应对商户资质进行审核。严格限制发展具有风险的商户。审核内容包括： a.营业执照、税务登记证、组织机构代码证，法人代表或商户负责人身份证等； b.商户网站域名是否可以正常访问，网站信息是否定时更新； c.是否取得 ICP证或有 ICP备案；d.网站内容。应提示特约商户定期审核网站，杜绝非法链接。商户签约应与合作商户签订相关协议。6.3性能要求系统要求支付服务业务系统性能基本要求如表1所示。表1互联网支付性能检测基本要求列表策略并发数CPU平均利用率并发成功率交易成功率测试时长稳定并发比对性能需求表高峰时段并发数=99%=30分

19、钟6.4安全性要求网络安全性要求对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全，基本要求如下：结构安全网络冗余和备份应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。应保证网络各个部分的带宽满足业务高峰期需要。增强要求为：应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；网络安全路由器应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径。网络安全防火墙应避免将重要网段部署在网络边界处且

20、直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。网络拓扑结构应绘制与当前运行情况相符的网络拓扑结构图。IP子网划分应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。QoS保证宜按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。增强要求为：应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。网络访问控制网络域安全隔离和限制应在网络边界部署访问控制设备，启用访问控制功能。地址转换和绑定重要网段应采取技术手段防止地址欺

21、骗。内容过滤应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。访问控制应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。应按用户和系统之间的访问控制规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。流量控制应限制网络最大流量数及网络连接数。会话控制应在会话处于非活跃一定时间或会话结束后终止网络连接。远程拨号访问控制和记录应通过技术手段控制管理用户对服务器进行远程访问。如使用VPN等技术。网络安全审计日志信息应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括

22、：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。网络系统故障分析应对网络系统故障进行分析，查找原因并形成故障知识库。网络对象操作审计应能够根据记录数据进行分析，并生成审计报表。日志权限和保护应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。审计工具应具备日志审计工具，对日志进行记录、分析和报告。增强要求为：应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生；应根据信息系统的统一安全策略，实现集中审计，时钟宜采用多模方式授时。并应安排专人负责时间服务器，防止被恶意篡改。边界完整性检查内外网非法连接阻断和定位应

23、能够对非授权设备私自连接到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。应能够对内部网络用户私自连接到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。增强要求为：对非法外联和非法接入行为进行检测并阻断的同时，应通过报警方式通知管理员。网络入侵防范网络ARP欺骗攻击应能够有效的防范网络ARP欺骗攻击。信息窃取应采用防范信息窃取的措施。DOS/DDOS攻击应具有防DOS/DDOS攻击设备或技术手段。网络入侵防范机制应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时，记录攻击源IP、攻

24、击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。增强要求为：应在系统网络中监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。恶意代码防范恶意代码防范措施应在网络边界处对恶意代码进行检测和清除。增强要求为：应在系统边界中对恶意代码进行检测和清除。定时更新应维护恶意代码库的升级，检测系统的更新。网络设备防护设备登录设置应对登录网络设备的用户进行身份鉴别。网络设备用户的标识应唯一。主要网络设备宜对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。增强要求为：主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身

25、份鉴别，网络设备用户的身份鉴别信息至少应有一种是不可伪造的。设备登录口令安全性身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。登录地址限制应对网络设备的管理员登录地址进行限制。远程管理安全当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。设备用户设置策略应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。权限分离应实现设备特权用户的权限分离。最小化服务应实现设备的最小服务配置，并对配置文件进行定期离线备份。网络安全管理网络设备运维手册应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁

26、、口令更新周期等方面做出规定。应保证所有与外部系统的连接均得到授权和批准。应定期检查违反规定拨号上网或其他违反网络安全策略的行为。定期补丁安装应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份。漏洞扫描应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。网络数据传输加密当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。网络相关人员安全管理网络安全管理人员配备应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。网络安全管理人员责任划分规则应制定文件明确网络安全管理岗位的职责、分工和技

27、能要求。网络安全关键岗位人员管理应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。应对关键岗位的人员进行全面、严格的安全审查和技能考核。主机安全性要求对支付服务业务系统主机安全防护进行检测，考察主机的安全控制能力。基本要求如下：身份鉴别系统与应用管理员用户设置应对登录操作系统和数据库系统的用户进行身份标识和鉴别。应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。增强要求为：应设置鉴别警示信息，描述未授权访问可能导致的后果；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有一种

28、是不可伪造的。系统与应用管理员口令安全性操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。登录策略应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。访问控制访问控制范围应启用访问控制功能，依据安全策略控制用户对资源的访问。应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。应实现操作系统和数据库系统特权用户的权限分离。增强要求为：在系统对用户进行身份鉴别时，系统与用户之间应能够建立一条安全的信息传输路径；在用户对系统进行访问时，系统与用户之间应能够建立一条安全的信息传输路径。主机信任关系应避免不必要

29、的主机信任关系。默认过期用户应及时删除多余的、过期的用户，避免共享用户的存在。应严格限制默认用户的访问权限，重命名系统默认用户，修改这些用户的默认口令。安全审计日志信息审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 增强要求为：应能够根据信息系统的统一安全策略，实现集中审计。日志权限和保护应保护审计记录，避免受到未预期的删除、修改或覆盖等。宜保护审计进程，避免受到未预期的中断。增强要求为：应保护审计进程，避免受到未

30、预期的中断。系统信息分析应能够根据记录数据进行分析，并生成审计报表。系统保护系统备份应具有系统备份或系统重要文件备份。故障恢复策略应具备各种主机故障恢复策略。磁盘空间安全应对主机磁盘空间进行合理规划，确保磁盘空间使用安全。主机安全加固应对主机进行安全加固。剩余信息保护剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。入侵防范入侵防范记录宜能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。宜能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。增强要求为：应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；