标准简介
本标准规定了非银行支付机构支付业务设施的技术标准符合性和系统安全性相应级别的基本要求和增强要求,为非银行支付机构支付业务设施认证、检测提供了依据。本标准适用于中华人民共和国境内的非银行支付机构。如无支付业务类型的特别说明,本标准条款适用于全部支付业务范围。注:支付业务设施包括支付业务处理系统、网络通信系统以及容纳以上系统的专用机房。英文名称:Technical requirements of non-bank payment institutions payment service facilities
标准状态:现行
替代情况:替代JR/T 0122-2014
中标分类:综合>>经济、文化>>A11金融、保险
ICS分类:社会学、 服务、公司(企业)的组织和管理、行政、运输>>03.060金融、银行、货币体系、保险
发布部门:中国人民银行
发布日期:2018-10-29
实施日期:2018-10-29
页数:214页
前言
本标准按照GB/T l.1—2009给出的规则起草。本标准代替JR/T 0122—2014《非金融机构支付业务设施技术要求》,与JR/T 0122—2014相比主要变化如下:——为确保本标准的针对性和适用性,将本标准名称变更为《非银行支付机构支付业务设施技术要求》;——将互联网支付、数字电视支付和固定电话支付的功能要求合并成网络支付功能要求,以对应《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第 43 号)的相关要求(见第 7 章);——增加了商户管理类、支付账户分类管理类、争议投诉处理类以及支付标记化管理类等要求(见7.1);——增加了特约商户管理类要求(见 7.2.1);——增加了客户风险管理类、支付账户风险管理、商户风险管理类等要求(见 8.1);——增加了当年累计交易限额、当日累计交易限次、异常行为监控、账户资金监控要求(见 8.1.4);——增加了风险及反洗钱管理制度类要求(见 8.1.6、8.2.3、8.3.3);——增加了自建机房的物理安全要求(见 10.1);——增加了主机对象审计、应用操作审计要求(见 10.3、10.4);——修订了网络域安全隔离和限制、内容过滤、网络对象审计等要求(见 10.2);——修订了访问控制范围等要求(见 10.3);——修改了应用安全中可信时间戳服务、支付安全策略、日志信息等要求(见 10.4);——修订了应急恢复预案、定期业务连续性演练、定期业务连续性培训等要求(见 10.7);——增加了个人信息保护、数据使用等要求(见 10.5);——增加了运维安全文档管理要求(见 10.6.5);——删除了文档要求(见 2014 版 6.5、7.5、8.5、9.5、10.5);——删除外包附加要求(见 2014 版第 11 章);——增加了条码支付功能、风控、安全等方面的要求(见 7、8、10 章);——增加了移动支付功能、风控、安全等方面的要求(见 7、8、10 章);——增加了 SM 系列算法的使用要求(见第 10 章)。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC 180)归口。本标准起草单位:中国人民银行科技司、北京中金国盛认证有限公司、中国信息安全认证中心、中国金融电子化公司、银行卡检测中心、上海市信息安全测评认证中心、中金金融认证中心有限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、北京软件产品质量检测检验中心(国家应用软件产品质量监督检验中心)、中电科技(北京)有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、支付宝(中国)网络技术有限公司、银联商务股份有限公司、财付通支付科技有限公司、网银在线(北京)科技有限公司。本标准主要起草人:李伟、安荔荔、潘润红、邬向阳、李兴锋、聂丽琴、赵春华、高天游、王翠、王鹏飞、裴倩如、李红曼、焦莉纳、唐立军、牛跃华、林春、马鸣、刘欣、王妍娟、夏采莲、高祖康、陆嘉琪、王凯阳、赵亮、于泉、冯云、张益、宋铮、何韡、吴永强、马志斌。本标准于2014年11月24日首次发布,本次为**次修订。
