ICS 03.060 A 11 JR 中华人民共和国 金融行业标准 JR/T 0122—2018 代替JR/T 0122 —2014 非银行支付机构支付业务设施技术要求 Technical requirements of non -bank payment institutions payment service facilities 2018 - 10 - 29发布 2018 - 10 - 29实施 中国人民银行 发布 JR/T 0122 —2018 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ................ IV 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 4 5 等级划分 ................................ ................................ .......... 4 6 评判原则 ................................ ................................ .......... 5 7 功能要求 ................................ ................................ .......... 5 8 风险监控及反洗钱要求 ................................ ............................. 19 9 性能要求 ................................ ................................ ......... 28 10 安全性要求 ................................ ................................ ...... 28 参考文献 ................................ ................................ ............ 53 JR/T 0122 —2018 II 前 言 本标准按照 GB/T l.1 —2009给出的规则起草。 本标准代替 JR/T 0122 —2014《非金融机构支付业务设施技术要求》，与 JR/T 0122 —2014相比主要 变化如下： ——为确保本标准的针对性和适用性，将本标准名称变更为《非银行支付机构支付业务设施技术要 求》； ——将互联网支付、 数字电视支付和固定电话支付 的功能要求合并成网络支付 功能要求， 以对应 《非 银行支付机构网络支付业务管理办法》 （中国人民银行公告〔 2015〕第43号）的相关要求（见 第7章）； ——增加了商户管理类、支付账户分类管理 类、争议投诉处理类以及支付标记化管理类等要求（见 7.1）； ——增加了特约商户管理类要求（见 7.2.1）； ——增加了客户风险管理 类、支付账户风险管理、商户风险管理类等要求（见 8.1）； ——增加了当年累计交易限额、 当日累计交易限次、 异常行为监控、 账户资金监控 要求 （见 8.1.4）； ——增加了风险及反洗钱管理 制度类要求（见 8.1.6、8.2.3、8.3.3）； ——增加了自建机房的物理安全要求（见 10.1）； ——增加了主机对象审计、应用操作审计 要求（见 10.3、10.4）； ——修订了网络域安全隔离和限制、内容过滤、网络对象审计等要求（见 10.2）； ——修订了访问控制范围等要求（见 10.3）； ——修改了应用安全中 可信时间戳服务、支付安全策略、日志信息 等要求（见 10.4）； ——修订了应急恢复预案、定期业务连续性演练、定期业务连续性培训 等要求（见 10.7）； ——增加了个人信息保护、数据使用等 要求（见 10.5）； ——增加了运维安全 文档管理要求（见 10.6.5）； ——删除了文档要求（见 2014版6.5、7.5、8.5、9.5、10.5）； ——删除外包附加要求（见 2014版第11章）； ——增加了条码支付功能、风控、安全等方面的要求（见 7、8、10章）； ——增加了移动支付功能、风控、安全等方面的要求（见 7、8、10章）； ——增加了SM系列算法的使用要求（见第 10章）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（ SAC/TC 180 ）归口。 本标准起草单位： 中国人民银行科技司 、北京中金国盛认证有限公司 、中国信息安全认证中心 、中 国金融电子化公司 、银行卡检测中心 、上海市信息安全测评认证中心 、中金金融认证中心有限公司 、工 业和信息化部计算机与微电子发展研究中心 （中国软件评测中心） 、北京软件产品质量检测检验中心 （国 家应用软件产品质量监督检验中心） 、中电科技（北京）有限公司 、中国电子科技集团公司第十五研究 所（信息产业信息安全测评中心） 、支付宝（中国）网络技术有限公司 、银联商务股份有限公司 、财付 通支付科技有限公司 、网银在线（北京）科技有限公司 。 JR/T 0122 —2018 III 本标准主要起草人： 李伟、安荔荔、潘润红、邬向阳、李兴锋、聂丽琴、赵春华、高天游、王翠、 王鹏飞、裴倩如、 李红曼、焦莉纳、唐立军、牛跃华、林春、马鸣、刘欣 、王妍娟、 夏采莲、 高祖康、 陆嘉琪、王凯阳、赵亮、于泉、冯云、张益、宋铮、何韡、吴永强、马志斌。 本标准于 2014年11月24日首次发布，本次为第一次修订。 JR/T 0122 —2018 IV 引 言 为规范非银行支付机构支付服务行为，防范支付风险，保护当事人的合法权益，根据《中华人民共 和国标准化法》、《中华人民共和国认证认可条例》 （中华人民共和国国务院令第 390号）、《非金融 机构支付服务管理办法》（中国人民银行令〔 2010〕第2号）、《非金融机构支付服务管理办法实施细 则》（中国人民银行公告〔 2010〕第17号）、《非金融机构支付服务业务系统检测认证管理规定》（中 国人民银行公告〔 2011〕第14号）、《支付机构预付卡业务管理办法》 （中国人民银行公告〔 2012〕第 12号）、《非银行支付机构网络支付业务管理办法》 （中国人民银行公告〔 2015〕第43号）等相关法律 法规及管理办法，制定本标准。 本标准是 JR/T 012 3—2018《非银行支付机构支付业务设施检测规范 》的制定依据。凡涉及密码应 用的部分，根据国家密码主管部门的相关要求制定并执行。 JR/T 0122 —2018 1 非银行支付机构支付业务设施技术要求 1 范围 本标准规定了非银行支付机构支付业务设施的技术标准符合性和系统安全性相应级 别的基本要求 和增强要求，为非银行支付机构支付业务设施认证、检测 提供了依据。 本标准适用于 中华人民共和国境内 的非银行支付机构。如无支付业务类型的特别说明，本标准条款 适用于全部支付业务范围。 注：支付业务设施包括支付业务处理系统、网络通信系统以及容纳以上系统的专用机房。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 32905 信息安全技术 SM3密码杂凑算法 GB/T 32907 信息安全技术 SM4分组密码算法 GB/T 32918 （所有部分） 信息安全技术 SM2椭圆曲线公钥密码算法 GM/T 0054 —2018 信息系统密码应用基本要求 JR/T 0025.7 —2018 中国金融集成电路（ IC）卡规范 第7部分：借记贷记应用安全规范 中国人民银行 .非银行支付机构网络 支付业务管理办法（ 中国人民银行公告〔 2015〕第43号）， 2016-07-01. 中国人民银行 .中国人民银行关于印发《条码支付业务规范（试行）》的通知 （银发〔2017〕296 号），2017-12-25. 3 术语和定义 下列术语和定义适用于本文件。 3.1 网络支付业务