非金融机构支付业务设施技术要求V3.0(2)

表1 互联网支付性能检测基本要求列表 .................................................. 8 表2 预付卡发行与受理性能检测基本要求列表 ........................................... 37 表3 银行卡收单性能检测基本要求列表 ................................................. 67 表4 固定电话支付性能检测基本要求列表 ............................................... 95 表5 数字电视支付性能检测基本要求列表 .............................................. 123 表A.1 外包附加检测项 .............................................................. 147

V

前 言

为促进支付服务市场健康发展，规范非金融机构支付服务行为，防范支付风险，保护当事人的合法权益，根据《中华人民共和国标准化法》、《中华人民共和国认证认可条例》、《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）、《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）及《非金融机构支付服务业务系统检测认证管理规定》（中国人民银行公告〔2011〕第14号）等相关法律法规的规定，制定《非金融机构支付业务设施技术要求》。本要求的评估对象为从事非金融机构支付服务的非金融机构支付企业，包括申请或已获得《支付业务许可证》的非金融机构。

VI

引 言

《非金融机构支付业务设施技术要求》包括基本要求和增强要求两部分；增强要求在本要求中做出了具体的规定。

本要求根据现有技术的发展水平，提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求，即基本要求，基本要求包括技术标准符合性和系统安全性要求。达到本要求的可以实现系统的基本技术符合和相对安全。

VII

非金融机构支付业务设施技术要求

1 范围

本要求规定了非金融机构支付业务设施的技术标准符合性和系统安全性相应级别的基本要求。 本要求为认证机构、检测机构对非金融机构支付业务设施进行认证、检测的依据，也可作为非金融机构支付业务设施提供者改进自身技术能力的指导依据。 2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

下列文件中的条款通过本技术规范的引用而成为本要求的条款。凡是注日期的引用文件，其随后所有的修订单（不包括勘误的内容）或修订版均不适用于本要求；凡是不注日期的引用文件其最新版本适用于本要求。注明报批的文件以批准发布版本为准。

——GB/T-22239-2008 信息安全技术 信息系统安全等级保护基本要求 ——GB/T-22081-2008 信息技术 安全技术 信息安全管理实用规则 ——GB/T- 22080-2008 信息技术安全技术 信息安全管理体系要求 3 等级划分

非金融机构支付业务设施技术认证分为二级：一级和二级。一级覆盖本技术规范的基本要求，二级覆盖本技术规范的基本要求和增强要求。 4 术语

4.1

非金融机构支付服务 non-financial institutions payment services

是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务： a) 互联网支付 b) 移动电话支付 c) 固定电话支付 d) 数字电视支付 e) 预付卡发行与受理 f) 银行卡收单

g) 中国人民银行确定的其他支付服务

1

4.2

互联网支付internet payment

是指依托互联网实现收付款方之间货币资金转移的行为。 4.3

固定电话支付 fixed telephone payment

是指电话通过语音IVR方式，使用电话线路发出支付指令，实现货币支付与资金转移的行为。 4.4

数字电视支付 Digital TV payment

是指依托交互机顶盒等数字电视支付终端发起的，使用IC卡或网络实现支付交易的行为。 数字电视支付业务不涉及IC卡的发行和管理。 4.5

预付卡发行与受理Prepaid cards

是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。 4.6

银行卡收单bank card acceptance

是指收单机构与特约商户签订银行卡受理协议，在特约商户按约定受理银行卡并与持卡人达成交易后，为特约商户提供交易资金结算服务的行为。 4.7

一般支付 General payment

在支付过程中，支付指令需要由付款方在支付服务方授权，并且支付成功后即可结算的支付行为。 4.8

担保支付 Guarantee payment

在支付过程中，由支付服务方为支付的双方提供交易担保，付款方进行支付确认后，由支付服务方把款项结算给收款方的支付行为。 4.9

协议支付 Agreement to pay

客户、商户、支付服务方事先签订协议，在后续支付过程中，商户根据协议直接向支付服务方发起扣款请求，而无需通过客户另行授权即可完成付款的支付行为。 4.10

基本要求 basic requirement

是对非金融机构支付业务设施的基础性技术要求。 4.11

增强要求 Enhancement request

考虑到非金融机构支付业务设施的实际技术应用现状，也考虑到金融行业对于业务的规范化要求，以及将来的发展需要，对未来一段时间内行业的发展水平进行合理的预估，提出增强要求。增强要求高于当前的平均水平，使得技术规范能够在比较长的一段时间内适用。 5 评判原则

非金融机构支付业务设施技术认证的评判遵循以下原则： 5.1 客观性原则

2