ICS 03.060 A 11 JR 中华人民共和国金融 行业标准 JR/T 0123.1—2018 代替JR/T 0123.1— 2014 非银行支付机构支付业务设施检测规范 第1部分：互联网支付 Test specif ication of non -bank payment institutions payment service facilities — Part 1：Internet payment 2018 - 10 - 29发布 2018 - 10 - 29实施 中国人民银行 发布 JR/T 0123.1—2018 I 目 次 前言 ................................................................................ II 引言 ................................................................................ IV 1 范围................................................................ .............. 1 2 规范性引用文件 ................................................................ .... 1 3 术语和定义 ................................................................ ........ 1 4 启动准则 ................................................................ .......... 2 5 功能测试 ................................................................ .......... 2 6 风险监控及反洗钱测试 ................................ .............................. 4 7 性能测试 ................................................................ .......... 5 8 安全性测试 ................................................................ ........ 5 参考文献 ............................................................................ 64 JR/T 0123.1—2018 II 前 言 JR/T 0123 《非银行支付机构支付业务设施检测规范》分为 6个部分： ——第1部分：互联网支付； ——第2部分：预付卡发行与受理； ——第3部分：银行卡收单； ——第4部分：固定电话支付； ——第5部分：数字电视支付； ——第6部分：条码支付。 本部分为JR/T 0123 的第1部分。 本部分按照 GB/T l.1 —2009给出的规则起草。 本部分代替 JR/T 0123.1 —2014《非金融机构支付业务设施检测规范 第1部分：互联网支付 》，与 JR/T 0123.1—2014 相比主要变化如下： ——标准名称由 《非金融机构支付业务设施检测规范 第1部分：互联网支付 》修改为《非银行支 付机构支付业务设施 检测规范 第1部分：互联网支付》； ——增加了商户管理、争议投诉处理、支付标记化管理要求（见第 5章）； ——增加了客户风险管理、支付账户风险管理、商户风险管理、客户教育要求（见第 6章）； ——增加了当年累计交易限额、当日累计交易限次、异常行为监控、账户资金监控、风险及反洗钱 管理制度要求（见第 6章）； ——增加了对自建机房的物理安全要求（见 8.1）； ——增加了主机对象审计、应用操作审计的要求（见第 8章）； ——修改了网络安全中对网络 域安全隔离和限制、内容过滤、网络对象审计等的要求（见第 8章， 2014年版的第 8章）； ——修改了主机安全中对访问控制范围等的要求（见第 8章，2014年版的第 8章）； ——修改了应用安全中对可信时间戳服务、登录访问安全策略、日志信息的要求（见第 8章，2014 年版的第 8章）； ——增加了数据安全中对个人信息保护、数据使用的要求（见 8.5）； ——增加了运维安全文档管理要求（见 8.6）； ——删除了文档要求（见 2014年版的第 9章）； ——删除了外包附加要求（见 2014年版的第 10章）； ——增加了SM系列算法的使用要求（见第 8章）。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC 180 ）归口。 本部分起草单位：北京中金国盛认证有限公司、中国信息安全认证中心、中国金融电子化公司、银 行卡检测中心、上海市信息安全测评认证中心、中金金融认证中心有限公司、工业和信息化部计算机与 微电子发展研究中心（中国软件评测中心）、北京软件产品质量检测检验中心（国家应用软件产品质量监督检验中心）、中电科技（北京）有限公司、中国电子科技集团公司第十五研究所（信息产业信息安 全测评中心）、支付宝（中国）网络技术有限公司、银联商务股份有限公司、 财付通支付科技有限公司、 网银在线（北京）科技有限公司。 JR/T 0123.1—2018 III 本部分主要起草人：安荔荔、潘润红、邬向阳、聂丽琴、赵春华、高天游、王翠、王鹏飞、裴倩如、 李红曼、焦莉纳、唐立军、牛跃华、林春、马鸣、刘欣、王妍娟、夏采莲、高祖康、陆嘉琪、王凯阳、 赵亮、于泉、冯云、张益、宋铮、何韡、吴永强、马志斌。 本部分于2014年 11月24日首次发布，本次为第一次修订。 JR/T 0123.1—2018 IV 引 言 JR/T 0123 —2018基于JR/T 0122— 2018《非银行支付机构支付业务设施技术要求》编制。检测目标 是在系统版本确定的基础上，对非银行支付机构提供的支付业务设施的功能、风险监控、性能、安全性 进行测试，客观、公正地评估设施是否符合中国人民银行对支付业务设施的技术标准要求，保障我国支付业务设施的安全稳定运行。 JR/T 0123.1—2018 1 非银行支付机构支付业务设施检测规范 第1部分：互联网支付 1 范围 本部分规定了非银行支付机构互联网支付业务设施的功能、风险监控、性能、安全等方面的测试要 求。 本部分适用于非银行支付机构互联网支付业务设施的建设管理，以及第三方检测机构的检测工作。 注：支付业务设施包括支付业务处理系统、网络通信系统以及容纳上述系统的专用机房。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 32905 信息安全技术 SM3密码杂凑算法 GB/T 32907 信息安全技术 SM4分组密码算法 GB/T 32918 （所有部分） 信息安全技术 SM2椭圆曲线公钥密码算法 GM/T 0054 —2018 信息系统密码应用基本要求 JR/T 0122 非银行支付机构支付业务设施技术要求 中国人民银行. 非银行支付机构网络支付业务管理办法（中国人民银行公告〔2015 〕第43号）， 2016-07-01. 3 术语和定义 下列术语和定义适用于本文件。 3.1 非银行支付机构支付服务 non-bank institutions payment services 非银行支付机构在收付款人之间作为中介机构提供的下列部分或全部货币资金转移服务： a) 网络支付； b) 预付卡发行与受理； c) 银行卡收单； d) 中国人民银行确定的其他支付服务。 3.2 网络支付业务 online payment service 收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起 支付指令，且 付款人电子设备不与收款人特定专属设备交互， 由 非银行支付机构为收付款人提供货币资金转移服务的 活动。 注：网络支付业务范围包括互联网支付、移动电话支付、数字电视支付、固定电话支付。 3.3 JR/T 0123.1—2018 2 互联网支付 internet payment 收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且 付款人电子设备不与收款人特定专属设备交互， 由 非银行支付机构为收付款人提供货币资金转移服务的 活动。 4 启动准则 启动测试工作应满足如下条件： a) 非银行支付机构提交的支付服务业务系统被测版本与生产版本一致。 b) 非银行支付机构支付服务业务系统已完成内部测试。 c) 系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕。 d) 测试环境准备完毕，具体包括：