《聚合支付安全技术规范》(征求意见稿)

ICS35.240.40A11JR中华人民共和国金融行业标准JR/TXXXXX—XXXX聚合支付安全技术规范Aggregationpaymentsecuritytechnicalspecification（草案稿）XXXX-XX-XX发布XXXX-XX-XX实施中国人民银行发布XX/TXXXXX—XXXX1目次前言................................................................................II引言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语与定义........................................................................14系统实现..........................................................................25安全技术要求......................................................................46安全管理要求......................................................................87风险控制要求.....................................................................10参考文献............................................................................15XX/TXXXXX—XXXX2前言本标准按照GB/T1.1—2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会归口。本标准负责起草单位：中国人民银行科技司。本标准参加起草单位：本标准主要起草人：XX/TXXXXX—XXXX3引言本标准所称聚合支付是指将多种支付方式或者多个支付渠道进行技术整合，为商户提供一点接入和对账的技术服务。在参与此过程的各类角色中，客户与商户是服务的使用方，聚合机构是支付渠道整合服务方，商业银行、非银行支付机构提供账户管理、支付受理服务。从聚合支付的特点及目前存在的问题来看，聚合支付面临一系列技术风险，如单点故障、中间人攻击、信息泄露、交易不可追溯、支付接口交叉感染等。在收集、分析和评估聚合支付风险的基础上，本标准从安全技术、安全管理和风险控制三个方面对聚合支付进行规范。XX/TXXXXX—XXXX4聚合支付安全技术规范1范围本标准规定了聚合技术服务商与支付服务机构开展聚合支付服务的总体框架、安全、风控管理等要求。本标准适用于聚合支付业务设施的设计、开发、部署和运营等方面。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术信息系统安全等级保护基本要求《中国金融移动支付支付标记化技术规范》（JR/T0149-2016）《网络支付报文结构及要素技术规范V1.0》（银办发〔2016〕222号）《条码支付安全技术规范（试行）》（银办发〔2017〕242号）《条码支付受理终端技术规范（试行）》（银办发〔2017〕242号）《条码支付业务规范（试行）》（银办发〔2017〕296号）《非银行支付机构支付业务设施技术要求》（JR/T0122-201X）3术语与定义下列术语和定义适用于本文件。3.1客户customer支付交易中，购买商品或服务的自然人或组织。3.2商户merchant支付交易中，直接接入支付服务方提供商品或服务的自然人或组织。3.3聚合技术服务商aggregatortechnologyservices聚合技术服务商是指经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。3.4支付服务机构paymentserviceinstitutionXX/TXXXXX—XXXX5主要承担账户开立与注销、商户资质审核、支付指令处理、交易验证、交易授权、资金结算等服务的机构。4系统实现4.1体系架构4.1.1连接方式聚合机构位于商户与支付服务机构之间，为商户提供聚合条码、聚合条码设备、APP、支付接口SDK等，如图1所示：商户1的系统聚合平台支付服务机构1的系统商户2的系统商户M的系统支付服务机构2的系统支付服务机构N的系统图1聚合支付连接方式4.1.2系统组成聚合支付相关系统主要包括商户系统、聚合系统和支付服务系统。其中，商户系统部署在商户方，聚合系统部署在聚合机构，支付服务系统部署在支付服务机构。4.2处理流程4.2.1静态码聚合支付静态码聚合支付模式将多个支付服务机构的条码整合成一个由聚合机构生成的“聚合码”，条码编码规则、条码承载内容、生成、展示等都由聚合机构掌握。用户使用不同的支付机构APP（如微信、支付宝等），均可扫描“聚合码”完成支付。具体交易流程如图2所示。商户系统聚合系统支付服务机构1支付系统支付服务机构2支付系统聚合前端APP1聚合前端APP2图2静态码聚合支付交易流程图XX/TXXXXX—XXXX6——聚合系统为商户提供统一的静态码，该条码能够接受多个支付服务机构APP的扫描；——用户使用其支付服务机构的APP对条码进行扫描；——支付服务机构的APP调用内嵌的浏览器容器，将支付请求路由到聚合系统；——支付服务机构的APP调用内嵌的聚合前端，统一将支付请求汇集到聚合系统；——聚合系统将支付请求转发给对应的支付服务机构支付系统，完成支付；——支付服务机构支付系统将支付结果通知聚合系统和用户APP；——聚合系统将支付结果通知商户系统。4.2.2动态码聚合支付动态码中除商户信息外还包含支付订单信息，用户扫码后不需要输入金额等信息即可完成支付过程。根据用户不同的支付需求，商户统一通过聚合机构获取条码。具体流程如图3所示。商户系统聚合系统支付服务机构1支付系统支付服务机构2支付系统聚合前端APP1聚合前端APP2图3动态码支付聚合交易流程图——商户系统将商品信息、金额、商户账户信息等发送给聚合系统；——聚合系统为商户系统生成订单条码，该条码能够接受多个支付服务机构APP的扫描；——用户使用支付服务机构APP对条码进行扫描；——支付服务机构APP调用内嵌的浏览器容器，打开订单页面；——聚合系统将支付请求/渠道信息、订单信息汇集，并生成支付请求转发给对应的支付服务机构支付系统，完成支付；——支付服务机构APP调用内嵌的聚合前端，统一将支付渠道信息、订单信息汇集到聚合系统，并生成支付请求；——聚合系统将支付请求转发给对应的支付服务机构支付系统，完成支付；——支付服务机构支付系统将支付结果通知聚合系统和用户APP；——聚合系统将支付结果通知商户系统。4.2.3条码设备聚合支付静态码聚合支付和动态码聚合支付均为均为用户扫码模式，条码设备聚合支付为商户扫码模式。聚合机构统一为商户部署条码设备及聚合前端，商户可以通过此设备扫描不同支付服务机构的条码，如图4所示。XX/TXXXXX—XXXX7商户系统聚合系统聚合前端支付服务机构1支付系统支付服务机构2支付系统APP1APP2图4条码设备聚合支付交易流程图——收银员通过聚合条码设备扫描用户APP显示的动态付款码；——商户系统调用内嵌的聚合前端，将获取的付款码信息和订单信息等发送给聚合系统；——聚合系统通过收银员选择或者动态付款码规则，判断支付服务机构，将信息转发给相应支付服务机构支付系统，完成支付；——聚合系统根据付款码中的支付服务机构编码，将信息转发给相应支付服务机构支付系统，完成支付；——支付服务机构支付系统将支付结果通知聚合系统和用户APP；——聚合系统将支付结果通知商户系统。4.2.4线上聚合支付无论是静态码聚合支付、动态码聚合支付还是条码设备的聚合支付，均为通过二维码或条码载体进行聚合支付的模式；在线上聚合支付中，支付信息的载体为H5页面等形式的链接或者SDK等调用方式，由用户主动发起支付动作，如图5所示。图5线上聚合支付交易流程图——商户系统将商品信息、金额、商户账户信息等发送给聚合系统；XX/TXXXXX—XXXX8——聚合系统为商户系统生成订单，该订单为可通过H5浏览器展示的页面；——用户使用支付服务机构App打开该支付链接，支付服务机构App调用内嵌的浏览器容器，打开订单页面；——聚合系统将支付请求/渠道信息、订单信息汇集，并生成支付请求支付请求转发给对应的支付服务机构支付系统，完成支付；——支付服务机构APP调用内嵌的聚合前端，统一将支付渠道信息、订单信息汇集到聚合系统，并生成支付请求；——聚合系统将支付请求转发给对应的支付服务机构支付系统，完成支付；——支付服务机构支付系统将支付结果通知聚合系统和用户APP；——聚合系统将支付结果通知商户系统。5安全技术要求5.1系统安全5.1.1物理安全要求按GB/T22239—2008中7.1.1执行。5.1.2网络安全要求按GB/T22239—2008中7.1.2执行。5.1.3主机安全要求按GB/T22239—2008中7.1.3执行。5.1.4应用安全要求按GB/T22239—2008中7.1.4执行。5.1.5数据和交易安全5.1.5.1基本要求数据和交易安全基本要求如下：——聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施，提高聚合系统日志和数据库的信息安全防护水平，防范拖库撞库攻击。——聚合支付系统应能够通过支付标记化技术，防范跨渠道交易安全风险。——应定期开展敏感信息安全的内部审计。5.1.5.2数据录入数据录入应满足以下要求：——聚合技术服务商应用应用软件的口令框应默认屏蔽显示；——应具有错误次数限制等防穷举措施；——应采用信息输入安全防护、即时数据加密等安全措施防止敏感信息被非法截获；——应采取防篡改机制降低交易敏感信息和交易数据被非法篡改的风险。XX/TXXXXX—XXXX95.1.5.3数据访问数据访问应满足以下要求：——应根据业务需要保证敏感信息仅供授权用户或授权应用组件访问。——敏感信息应按业务要求进行保存和使用，显示时应进行屏蔽处理。5.1.5.4数据存储数据存储应满足以下要求：——在满足法律、管理规定和业务需求的前提下，聚合技术服务商应用宜保留最少的支付信息（如支付账号等），并限制数据存储量和保留时间；——聚合技术服务商不应保存用户支付敏感信息（如支付口令等）及其密文；——聚合技术服务商应用在使用过身份认证、交易等敏感信息后，应及时清除敏感信息；——不得留存非本机构的支付敏感信息，确有必要留存的应取得客户本人及账户管理机构的授权；——应具备重要数据的访问控制措施。5.1.5.5数据传输数据传输应满足以下要求：——身份认证信息等敏感信息通过公共网络传输或与其他本地应用软件间传输时应采取加密措施，保证敏感信息传输的保密性；——数据传输时如涉及安全通讯协议宜采用国际或国内标准规定的协议，如SSL、IPSec等；——交易数据在传输时，聚合技术服务商应用应采取安全措施（如消息认证码MAC等）以确保交易数据的完整性。5.1.6运维安全按JR/T0122中的运维安全性要求相关章节执行。5.1.7业务连续性5.2按J