支付数据安全防护技术导则(试行).docxVIP

支付数据安全防护技术导则(试行)

1范围

本导则适用于从事支付业务的机构（以下简称支付机构）在处理支付数据过程中的安全防护工作，旨在规范支付数据的全生命周期管理，保障支付数据的保密性、完整性和可用性，防范支付数据安全风险，维护支付市场的稳定和健康发展。本导则所涉及的支付数据包括但不限于用户身份信息、账户信息、交易信息、设备信息等与支付业务相关的数据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《金融数据安全数据安全分级指南》（JR/T0197—2020）

《金融数据安全数据生命周期安全规范》（JR/T0223—2021）

《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）

3术语和定义

支付数据：指支付机构在开展支付业务过程中收集、存储、使用、传输和共享的各类数据，包括但不限于用户的姓名、身份证号码、银行卡号、支付密码、交易金额、交易时间、交易地点等。

数据全生命周期：指支付数据从产生、收集、存储、处理、传输、共享到销毁的整个过程。

敏感支付数据：指一旦泄露、篡改或丢失可能对用户权益造成严重损害的数据，如用户的支付密码