《聚合支付安全技术规范》(征求意见稿).pdf

ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T XXXXX—XXXX 聚合支付安全技术规范 Aggregation payment security technical specification （草案稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中国人民银行 发 布 XX/T XXXXX—XXXX 目 次 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语与定义 1 4 系统实现 2 5 安全技术要求 4 6 安全管理要求 8 7 风险控制要求 10 参考文献 15 1 XX/T XXXXX—XXXX 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位： 本标准主要起草人： 2 XX/T XXXXX—XXXX 引 言 本标准所称聚合支付是指将多种支付方式或者多个支付渠道进行技术整合，为商户提供一点接入和 对账的技术服务。在参与此过程的各类角色中，客户与商户是服务的使用方，聚合机构是支付渠道整合 服务方，商业银行、非银行支付机构提供账户管理、支付受理服务。从聚合支付的特点及目前存在的问 题来看，聚合支付面临一系列技术风险，如单点故障、中间人攻击、信息泄露、交易不可追溯、支付接 口交叉感染等。在收集、分析和评估聚合支付风险的基础上，本标准从安全技术、安全管理和风险控制 三个方面对聚合支付进行规范。 3 XX/T XXXXX—XXXX 聚合支付安全技术规范 1 范围 本标准规定了聚合技术服务商与支付服务机构开展聚合支付服务的总体框架、安全、风控管理等要 求。 本标准适用于聚合支付业务设施的设计、开发、部署和运营等方面。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 《中国金融移动支付支付标记化技术规范》（JR/T 0149-2016） 《网络支付报文结构及要素技术规范V1.0》（银办发〔2016〕222号） 《条码支付安全技术规范（试行）》（银办发〔2017〕242号） 《条码支付受理终端技术规范（试行）》（银办发〔2017〕242号） 《条码支付业务规范（试行）》（银办发〔2017〕296号） 《非银行支付机构支付业务设施技术要求》（JR/T 0122-201X）