1 条码支付规范由来

2017年12月央行发布了《中国人民银行办公厅关于加强条码支付安全管理的通知》,在该文件中正式发布了《条码支付安全技术规范(试行)》及《条码支付受理终端技术规范(试行)》。同月央行还发布了《条码支付业务规范(试行)》。通过上述3个规范的发布,针对条码支付形成了较为全面的管理要求,既对技术提出了要求,同时又对业务提出了要求。

本文对《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》的内容及体系进行了介绍。

2 条码支付规范主要内容简述

《条码支付安全技术规范(试行)》中规定了系统安全、移动终端安全、受理终端安全及交易安全的安全技术要求。

《条码支付受理终端技术规范(试行)》中规定了显码设备技术要求、扫描设备技术要求、安全性技术要求、适应性技术要求及可靠性技术要求。

两规范主要的针对对象为银行、非银行支付机构、清算机构开展条码支付业务时所需的:

  • 软硬件的设计、研发、集成和维护。

  • 受理终端的设计、研发、维护和采购。

3 条码支付安全体系概述

《条码支付安全技术规范(试行)》文中的系统安全中的物理安全、网络安全、主机安全、应用安全、数据安全及部份恢复均参考GB/T 22239-20081中的三级系统安全要求。其中应用安全除了基本要求之外还增加了针对会话安全、常见攻击防范的两处安全要求。

《条码支付安全技术规范(试行)》文中的移动终端安全包含了人机交互安全、客户端软件安全及通信安全三大板块,其中人机交互安全又划分为:身份验证信息管理、交易异常处理。客户端软件安全又划分为:数据有效性校验、页面回退清除敏感信息机制、反编译、客户端软件完整性、运行时安全。通信安全又划分为:网络通讯协议、抗抵赖。

《条码支付安全技术规范(试行)》文中的受理终端安全需符合银发〔2017〕21号2的规定及《条码支付受理终端技术规范(试行)》的相关要求。

《条码支付安全技术规范(试行)》文中交易安全的基本安全要符合银发〔2016〕170号3的规定及JR/T 01494中的相关要求。交易安全除了基本安全要求以外还包含了:码制、数据录入、数据访问、数据存储、数据传输、条码生成、条码识读与解析、交易验证与确认、交易风险控制及交易过程安全共计11大板块。其中的条码生成又划分为:基本要求、收款扫码、付款扫码。交易过程安全又可以划分为:交易报文安全(银办发〔2016〕222号)5、风险识别与干预、交易监控、客户与商户教育。

图1 条码支付安全技术规范(试行)架构

3 条码支付受理终端技术体系概述

《条码支付受理终端技术规范(试行)》中的显码设备技术要求主要包括了:数据要求、条码表现要求。其中数据要求又可以划分为:正确性、规范性、码制。条码表现要求又可以划分为:外形、颜色、介质、精度。

《条码支付受理终端技术规范(试行)》中的扫描设备技术要求主要包括了:数据要求、性能要求。其中数据要求又可以划分为:准确性、规范性(GB 18030—2005)6。性能要求又可以划分为:精度、识别速度、出错率。

《条码支付受理终端技术规范(试行)》中的安全性技术要求应符合《条码支付安全技术规范(试行)》中的相关要求,在PIN输入设备中应符合JR/T 0120.57,受理终端应符合JR/T 0120.1、JR/T 0120.2等的相关要求。涉及支付敏感信息的还应符合银发〔2016〕170号的要求8

《条码支付受理终端技术规范(试行)》中的适应性技术要求主要包括了:电源适应能力、接口、环境适应性及可靠性技术。其中的环境适应性要求又可以划分为:气候环境适应性、光照环境适应性。

《条码支付受理终端技术规范(试行)》中的可靠性技术要求主要是对无故障工作时间来衡量产品的可靠性,并要求无故障工作时间不少于15000小时。

图2 条码支付受理终端技术规范(试行)架构

4 参考文献

1 GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求

2 银发〔2017〕21号 中国人民银行关于强化银行卡受理终端安全管理的通知

3 银发〔2016〕170号 中国人民银行关于进一步加强银行卡风险管理的通知

4 JR/T 0149—2016 中国金融移动支付 支付标记化技术规范

5 银办发〔2016〕222号 中国人民银行办公厅关于印发《网络支付报文结构及要素技术规范(V1.0)》的通知

6 GB18030—2005 信息技术 中文编码字符集

7 JR/T 0120—2016  银行卡受理终端安全规范

8 银发〔2016〕170号 中国人民银行关于进一步加强银行卡风险管理的通知

陆雨雷,8年网络信息安全工作经验 ,目前专注于银行业信息科技风险管理相关工作,同时具备政府、运营商行业信息安全经验,目前主导及参与了近50家国有银行、全国股份制银行、城商行的信息安全咨询和评估工作,对银行业务安全、合规管理、信息科技风险管理领域有着丰富的实践经验。

声明:本文来自中金网安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。