PDF《ICS 03.060》

ICS 03.

060 A

11 JR 中华人民共和国金融行业标准JR/T 0122―2018 代替 JR/T 0122―2014 非银行支付机构支付业务设施技术要求 Technical requirements of non-bank payment institutions payment service facilities

2018 -

10 -

29 发布

2018 -

10 -

29 实施 中国人民银行 发布JR/T 0122―2018 I 目次前言 II 引言 IV

1 范围

1 2 规范性引用文件

1 3 术语和定义

1 4 缩略语

4 5 等级划分

4 6 评判原则

5 7 功能要求

5 8 风险监控及反洗钱要求

19 9 性能要求

28 10 安全性要求

28 参考文献

53 JR/T 0122―2018 II 前言本标准按照GB/T l.1―2009给出的规则起草. 本标准代替JR/T 0122―2014《非金融机构支付业务设施技术要求》,与JR/T 0122―2014相比主要 变化如下: ――为确保本标准的针对性和适用性, 将本标准名称变更为 《非银行支付机构支付业务设施技术要 求》;

――将互联网支付、 数字电视支付和固定电话支付的功能要求合并成网络支付功能要求, 以对应 《非 银行支付机构网络支付业务管理办法》 (中国人民银行公告〔2015〕第43 号)的相关要求(见第7章);

――增加了商户管理类、支付账户分类管理类、争议投诉处理类以及支付标记化管理类等要求(见7.1);

――增加了特约商户管理类要求(见7.2.1);

――增加了客户风险管理类、支付账户风险管理、商户风险管理类等要求(见8.1);

――增加了当年累计交易限额、 当日累计交易限次、 异常行为监控、 账户资金监控要求 (见8.1.4) ;

――增加了风险及反洗钱管理制度类要求(见8.1.

6、8.2.

3、8.3.3);

――增加了自建机房的物理安全要求(见10.1);

――增加了主机对象审计、应用操作审计要求(见10.

3、10.4);

――修订了网络域安全隔离和限制、内容过滤、网络对象审计等要求(见10.2);

――修订了访问控制范围等要求(见10.3);

――修改了应用安全中可信时间戳服务、支付安全策略、日志信息等要求(见10.4);

――修订了应急恢复预案、定期业务连续性演练、定期业务连续性培训等要求(见10.7);

――增加了个人信息保护、数据使用等要求(见10.5);

――增加了运维安全文档管理要求(见10.6.5);

――删除了文档要求(见2014 版6.

5、7.

5、8.

5、9.

5、10.5);

――删除外包附加要求(见2014 版第

11 章);

――增加了条码支付功能、风控、安全等方面的要求(见

7、

8、10 章);

――增加了移动支付功能、风控、安全等方面的要求(见

7、

8、10 章);

――增加了 SM 系列算法的使用要求(见第

10 章). 本标准由中国人民银行提出. 本标准由全国金融标准化技术委员会(SAC/TC 180)归口. 本标准起草单位:中国人民银行科技司、北京中金国盛认证有限公司、中国信息安全认证中心、中 国金融电子化公司、银行卡检测中心、上海市信息安全测评认证中心、中金金融认证中心有限公司、工 业和信息化部计算机与微电子发展研究中心 (中国软件评测中心) 、 北京软件产品质量检测检验中心 (国 家应用软件产品质量监督检验中心)、中电科技(北京)有限公司、中国电子科技集团公司第十五研究 所(信息产业信息安全测评中心)、支付宝(中国)网络技术有限公司、银联商务股份有限公司、财付 通支付科技有限公司、网银在线(北京)科技有限公司. JR/T 0122―2018 III 本标准主要起草人:李伟、安荔荔、潘润红、邬向阳、李兴锋、聂丽琴、赵春华、高天游、王翠、 王鹏飞、裴倩如、李红曼、焦莉纳、唐立军、牛跃华、林春、马鸣、刘欣、王妍娟、夏采莲、高祖康、 陆嘉琪、王凯阳、赵亮、于泉、冯云、张益、宋铮、何|、吴永强、马志斌. 本标准于2014年11月24日首次发布,本次为第一次修订. JR/T 0122―2018 IV 引言为规范非银行支付机构支付服务行为,防范支付风险,保护当事人的合法权益,根据《中华人民共 和国标准化法》、《中华人民共和国认证认可条例》(中华人民共和国国务院令第390号)、《非金融 机构支付服务管理办法》(中国人民银行令〔2010〕第2号)、《非金融机构支付服务管理办法实施细 则》(中国人民银行公告〔2010〕第17号)、《非金融机构支付服务业务系统检测认证管理规定》(中 国人民银行公告〔2011〕第14号)、《支付机构预付卡业务管理办法》(中国人民银行公告〔2012〕第12号)、《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)等相关法律 法规及管理办法,制定本标准. 本标准是JR/T 0123―2018《非银行支付机构支付业务设施检测规范》的制定依据.凡涉及密码应 用的部分,根据国家密码主管部门的相关要求制定并执行. JR/T 0122―2018