ICS 35.240.40 A 11 JR 中华人民共和国 金融行业标准 JR/T 0149—2016 中国金融移动支付 支付标记化技术规范 China financial mobile payment —Payment tokenization specification 2016 - 11 - 09发布 2016 - 11 - 09实施 中国人民银行 发布 JR/T 0149—2016 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 符号和缩略语 ................................ ................................ ...... 2 5 系统实现 ................................ ................................ .......... 2 6 支付标记申请 ................................ ................................ ...... 4 7 支付标记使用 ................................ ................................ ...... 6 8 支付标记生命 周期管理 ................................ .............................. 7 9 风险控制要求 ................................ ................................ ...... 7 10 安全要求 ................................ ................................ ......... 8 附录A（资料性附录） 交易要素 ................................ ....................... 14 参考文献 ................................ ................................ ............ 20 JR/T 0149—2016 II 前 言 本标准按照 GB/T 1.1 —2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（ SAC/TC 180 ）归口。 本标准负责起草单位：中国人民银行科技司、中国金融电子化公司。 本标准参加起草单位：中国工商银行、中国农业银行、中国银行、中国建设银行、招商银行、中信 银行、中国银联股份有限公司、蚂蚁 金融服务集团、财付通支付科技有限公司、京东金融、中移电子商 务有限公司、北京中金国盛认证有限公司、中金金融认证中心有限公司、银行卡检测中心、工业和信息 化部计算机与微电子发展研究中心（中国软件评测中心）、信息产业信息安全测评中心。 本标准主要起草人：李伟、王永红、陆书春、李兴锋 、曲维民 、邬向阳、杨倩、王禄禄、周皓、 蒋慧科、吴永强、黄本涛、 王欢、赵哲、汤沁莹 、贾铮、刘运、王兆国、罗鹏飞、卢婷、连宾雄、杨明、 范俐捷、盛莹、同勇、王晓月、陈泽智、李明婕、戚小朝、李斌、刘栋、落红卫、方海峰、张谦、周 缅、 李茂材、付博、孙霄、丁晓强、阮森灵、罗乐、姜名峰、刘婧雯、黄江、许自强、叶强林、高志民、高 强裔、白阳、郑晓娟、孙茂增、魏博锴、宋铮、黄晓培、王冠华。 JR/T 0149—2016 III 引 言 近年来，国内 商业银行 、非银行支付机构等 为保护支付敏感信息、提升支付安全， 防范信息泄露和 欺诈交易，在 移动支付业务中逐步引入了支付标记化（ Payment Tokenization ）技术，通过支付标记 （Token）代替银行卡 卡号、非银行支付机构 支付账户等支付要素进行交易，并对标记的应用范围加以 限定，从源头遏制信息泄露，最大程度上保障用户交易安全。为 落实《中国人民银行关于进一步加强银 行卡风险管理的通知》（银发 〔2016〕170号）要求， 引导和规范各机构应用支付标记化技术， 特制定 本标准。JR/T 0149—2016 1 中国金融移动支付 支付标记化技术规范 1 范围 本标准提出了支付标记化技术的基本架构，规定了应用支付标记化技术的 系统接口、安全、 风险控 制等要求。 本标准适用于从事支付标记化系统建设 或服务运营的商业银行、 非银行支付机构、 支付转接清算 机 构、商户等机构。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件。 JR/T 0071—2012 金融行业信息系统信息安全等级保护实施指引 《中国人民银行关于进一步加强银行卡风险管理的通知 》（银发〔2016〕170号，2016年6月15日） 3 术语和定义 下列术语和定义适用于 本文件。 3.1 支付账号 payment account 具有金融交易功能的银行账户、非银行支付机构 支付账户的编码，及银行卡卡号。 3.2 支付标记 payment token（Token） 作为支付账号等原始交易要素的替代 值，用于完成特定场景支付交易。 3.3 支付标记化 payment tokenization 用支付标记替换支付账号等原始交易要素的过程。 3.4 去标记化 de-tokenization 标记服务提供方 根据当前交易场景 验证支付标记有效性 后， 将其还原为支付账号等原始交易要素 的 过程。 3.5 标记服务提供方 token service provider JR/T 0149—2016 2 支付标记的发行机构 ，负责支付 标记生命周期管理， 提供支付标记化、去标记化等 服务。 3.6 标记有效期 token expiry date 支付标记使用的有效时间，应小于或等于支付账号等原始交易要素有效期。 3.7 支付标记发行机构识别码 token issuer identification number 唯一标识支付标记发行机构的编码 。 3.8 标记请求方 token requestor 向标记服务提供方提交标记申请的机构。 3.9 域控 token domain restriction controls 标记服务提供方在生成标记时预设的一组参数 ，用于确定标记的使用范围， 如交易类型、 交易金额、 使用次数、支付渠道 等。 4 符号和缩略语 下列符号和缩略语适用于本文件。 C 有条件的选择项 M 必选项 O 可选项 R 应答中应返回 VAR 可变长度域 a 字母a～z n 数字0～9 s 特殊字符 an 字母和数字字符 ans 字母、数字和特殊字符 as 字母和特殊字符 ns 数字和特殊字符 ARQC 授权请求密文（ Authorization Request Cryptogram ） ID&V 身份识别和验证（ Identification and Verification ） PA 支付账号（ Payment Accoun t） TIN 支付标记发行机构识别码（ Token Issuer Identification Number ） TR 标记请求方（ Token Requestor ） TSP 标记服务提供方（ Token Service Provider ） 5 系统实现 JR/T 0149—2016 3 5.1 体系架构 支付标记化 体系架构描述了 支付标记化的 主要角色， 规定了标记请求方 （ TR）、标记服务提供方 （TSP） 与传统支付流程的关系和数据交互接口，明确了 各角色如何共同为 用户提供标记服务。 图1描述了支付 标记化体系架