非银行支付机构支付业务设施技术要求.PDF

ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0122—2018 代替JR/T 0122—2014 非银行支付机构支付业务设施技术要求 Technical requirements of non-bank payment institutions payment service facilities 2018 - 10 - 29 发布 2018 - 10 - 29 实施 中国人民银行 发 布 JR/T 0122—2018 目 次 前言 II 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 4 5 等级划分 4 6 评判原则 5 7 功能要求 5 8 风险监控及反洗钱要求 19 9 性能要求 28 10 安全性要求 28 参考文献 53 I JR/T 0122—2018 前 言 本标准按照GB/T l.1—2009给出的规则起草。 本标准代替JR/T 0122—2014 《非金融机构支付业务设施技术要求》，与JR/T 0122—2014相比主要 变化如下： ——为确保本标准的针对性和适用性，将本标准名称变更为《非银行支付机构支付业务设施技术要 求》； ——将互联网支付、数字电视支付和固定电话支付的功能要求合并成网络支付功能要求，以对应《非 银行支付机构网络支付业务管理办法》（中国人民银行公告〔2015〕第43 号）的相关要求（见 第7 章）； ——增加了商户管理类、支付账户分类管理类、争议投诉处理类以及支付标记化管理类等要求（见 7.1）； ——增加了特约商户管理类要求（见7.2.1）； ——增加了客户风险管理类、支付账户风险管理、商户风险管理类等要求（见8.1）； ——增加了当年累计交易限额、当日累计交易限次、异常行为监控、账户资金监控要求（见8.1.4）； ——增加了风险及反洗钱管理制度类要求（见8.1.6、8.2.3、8.3.3）； ——增加了自建机房的物理安全要求（见10.1）； ——增加了主机对象审计、应用操作审计要求（见10.3、10.4）； ——修订了网络域安全隔离和限制、内容过滤、网络对象审计等要求（见10.2）； ——修订了访问控制范围等要求（见10.3）； ——修改了应用安全中可信时间戳服务、支付安全策略、日志信息等要求（见10.4）； ——修订了应急恢复预案、定期业务连续性演练、定期业务连续性培训等要求（见10.7）； ——增加了个人信息保护、数据使用等要求（见10.5）； ——增加了运维安全文档管理要求（见10.6.5）； ——删除了文档要求（见2014 版6.5、7.5、8.5、9.5、10.5）； ——删除外包附加要求（见2014 版第11 章）； ——增加了条码支付功能、风控、安全等方面的要求（见7、8、10 章）； ——增加了移动支付功能、风控、安全等方面的要求（见7、8、10 章）； ——增加了SM 系列算法的使用要求（见第10 章）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/