JRT 0123.1-2018 非银行支付机构支付业务设施检测规范 第1部分：互联网支付.pdf

ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0123.1—2018 代替JR/T 0123.1—2014 非银行支付机构支付业务设施检测规范 第1 部分：互联网支付 Test specification of non-bank payment institutions payment service facilities— Part 1 Internet payment ： 2018 - 10 - 29 发布 2018 - 10 - 29 实施 中国人民银行 发 布 JR/T 0123.1—2018 目 次 前言 II 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 启动准则 2 5 功能测试 2 6 风险监控及反洗钱测试 4 7 性能测试 5 8 安全性测试 5 参考文献 64 I JR/T 0123.1—2018 前 言 JR/T 0123 《非银行支付机构支付业务设施检测规范》分为6个部分： ——第1 部分：互联网支付； ——第2 部分：预付卡发行与受理； ——第3 部分：银行卡收单； ——第4 部分：固定电话支付； ——第5 部分：数字电视支付； ——第6 部分：条码支付。 本部分为JR/T 0123的第1部分。 本部分按照GB/T l.1—2009给出的规则起草。 本部分代替JR/T 0123.1—2014 《非金融机构支付业务设施检测规范 第1部分：互联网支付》，与 JR/T 0123.1—2014相比主要变化如下： ——标准名称由 《非金融机构支付业务设施检测规范 第1 部分：互联网支付》修改为《非银行支 付机构支付业务设施检测规范 第1 部分：互联网支付》； ——增加了商户管理、争议投诉处理、支付标记化管理要求（见第5 章）； ——增加了客户风险管理、支付账户风险管理、商户风险管理、客户教育要求（见第6 章）； ——增加了当年累计交易限额、当日累计交易限次、异常行为监控、账户资金监控、风险及反洗钱 管理制度要求（见第6 章）； ——增加了对自建机房的物理安全要求（见8.1）； ——增加了主机对象审计、应用操作审计的要求（见第8 章）； ——修改了网络安全中对网络域安全隔离和限制、内容过滤、网络对象审计等的要求（见第8 章， 2014 年版的第8 章）； ——修改了主机安全中对访问控制范围等的要求（见第8 章，2014 年版的第8 章）； ——修改了应用安全中对可信时间戳服务、登录访问安全策略、日志信息的要求（见第8 章，2014 年版的第8 章）； ——增加了数据安全中对个人信息保护、数据使用的要求（见8.5）； ——增加了运维安全文档管理要求（见8.6）； ——删除了文档要求（见2014 年版的第9 章）； ——删除了外包附加要求（见2014 年版的第10 章）； ——增加了SM 系列算法的使用要求（见第8 章）。 本部分由中国人