非金融机构支付业务设施技术认证技术规范.docVIP

非金融机构支付业务设施技术认证技术规范 范围 本技术规范规定了非金融机构支付业务设施技术标准符合性和系统安全性的要求。 本技术规范适用于对非金融机构支付业务设施技术评估依据，可作为对非金融机构支付业务设施技术进行管理、检查、认证的技术性规范，也可作为非金融机构支付业务设施技术提供者改进自身能力的指导依据。 规范性引用文件 JR/T ××××电子支付术语 JR/T ××××电子支付文件数据格式 JR/T ××××基于INTERNET的网上支付安全规范 JR/T ××××基于INTERNET的网上支付交易模型及流程 JR/T ××××基于INTERNET网上支付报文结构及要素 GB/T 22239—2008信息安全技术 信息系统安全等级保护基本要求 第七章第三级基本要求、第八章第四级基本要求 GB/T 22081—2008 信息技术 安全技术 信息安全管理实用规则 第十四章业务连续性管理 ISO/IEC 27001:2005信息技术安全技术 信息安全管理体系要求 术语和定义 术语 非金融机构支付服务 non-financial payment service 是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务。 互联网支付 internet payment 是指依托互联网实现收付款方之间货币资金转移的行为。 预付卡 是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。预付卡不包括： 仅限于发放社会保障金的预付卡； 仅限于乘坐公共交通工具的预付卡； 仅限于缴纳电话费等通信费用的预付卡； 发行机构与特约商户为同一法人的预付卡。 银行卡收单 是指通过销售点（POS）终端等为银行卡特约商户代收货币资金的行为。 移动支付 mobile payment 是指以个人移动终端（通常指手机）作为支付终端，通过无线通信方式发出支付指令，实现货币支付与资金转移的行为。移动支付可分为远程支付与近场支付两类。远程支付是指移动终端本身使用短信SMS、WAP、客户端软件、语音IVR等方式，通过无线网络和支付服务系统主机连接，实现交易的方式，在这种方式下，移动终端被当做支付终端来使用。近场支付则是指移动终端上内嵌的智能卡通过非接触方式和金融支付终端进行通讯从而实现交易的方式，这种方式下移动终端是当做支付卡片来使用的。 一般支付 instant payment 在支付过程中，支付指令需要由付款方在支付服务方授权，并且支付成功后即可结算的支付行为。 担保支付 secured payment 在支付过程中，由支付服务方为支付的双方提供交易担保，交易成功后，付款方进行支付确认，由支付服务方把款项结算给收款方的支付行为。 协议支付 agreement payment 客户、商户、支付服务方事先签订协议，在后续支付过程中，商户根据协议直接向支付服务方发起扣款请求，而无需客户在支付服务方授权即可完成付款的支付行为。 定义 基本要求 是对非金融机构支付业务设施技术的强制性要求。受审查方承诺提供的系统服务应达到基本要求的指标。 增强要求 考虑到非金融机构支付业务设施技术实际应用现状，也考虑到金融行业对于业务的规范化要求，以及将来的发展需要，对未来一段时间内行业的发展水平进行合理的预估，提出增强指标的要求。增强指标要求高于当前的平均水平，使得技术规范能够在比较长的一段时间内适用。 支付系统业务类别 互联网支付系统 预付卡的发行与受理系统 银行卡收单系统 移动支付（近场支付）系统 移动支付（远程支付）系统 中国人民银行确定的其他支付系统 评判原则 非金融机构支付业务设施技术认证的评判遵循以下原则： 客观性原则： 必须以非金融机构支付业务设施技术提供者的实际业务或事项为依据进行确认、审查和报告，如实地反映符合确认和审查的各项检查要素，保证审查信息的真实可靠，内容完整。 公正性原则： 必须依据国家法律法规和认可规范，认可准则CNAS-CC21、CNAS-CC22及其他有关规定的要求，建立完整的质量体系，并严格按照质量体系开展认证活动。其认证活动不受任何外来压力和商业因素的影响和干扰。 科学性原则： 要以科学思想为指导，以事实为依据。 技术要求 互联网支付系统要求 基本要求 互联网支付系统应在系统功能、风险监控、系统性能、安全、系统文档建设、外包管理方面符合技术标准要求和管理要求，基本要求参见附件《非金融机构支付服务业务系统检测基本要求_互联网支付部分》。审查项参见附录A.1。 增强要求 功能要求 交易处理 报文设计符合《基于INTERNET网上支付报文结构及要素》6.2.1、6.2.2、6.2.3、6.2.9、6.2.12、6.2.13报文结构设计要求，具有符合要求的主要