王凯阳,专注于非银行支付系统检测、认证与咨询等工作。从2011年至今已参与起草、修订6项非银行支付领域相关标准,实施过200多家支付机构业务系统检测工作,对支付业务安全、风险合规管理、支付安全管理体系有较为深入的理解。
支付业务设施技术检测,是指对申请《支付业务许可证》的非银行支付机构或《非金融机构支付服务管理办法》所指的支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测工作。
—1什么是非金融机构支付服务?—
为促进支付服务市场健康发展,规范非金融机构支付服务行为,防范支付风险,保护当事人的合法权益,中国人民银行在2010年发布了《非金融机构支付服务管理办法》。
其中规定,非金融机构支付服务是指非金机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:
(1)网络支付;
(2)预付卡发行与受理;
(3)银行卡收单;
(4)中国人民银行确定的其他支付服务。
图1非金融机构支付服务示意图
中国人民银行在2015年发布了《非银行支付机构网络支付业务管理办法》,其中将非金融支付机构更名为非银行支付机构。
—2什么支付业务需要检测?—
支付业务设施技术检测业务范围包括互联网支付、移动电话支付(远程支付)、移动电话支付(近场支付)、数字电视支付、固定电话支付、预付卡发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。
图2非银行支付机构检测业务范围
条码支付是指以条码为信息载体,通过移动终端或受理终端直接或间接获取支付要素,并利用已有支付渠道完成交易的一种支付方式。
网络支付业务是指收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由非银行支付机构为收付款人提供货币资金转移服务的活动。网络支付业务范围包括互联网支付、移动电话支付、数字电视支付、固定电话支付。
互联网支付是指依托互联网实现收付款方之间货币资金转移的支付方式。
移动电话支付是指允许用户使用移动终端对所消费的商品或服务进行账务支付的一种支付方式。移动电话支付主要分为近场支付和远程支付两种。近场支付是指移动终端通过实体受理终端在交易现场以联机或脱机方式完成交易处理的支付方式。远程支付是指移动终端通过无线通信网络接入直接与后台服务器进行交互完成交易处理的支付方式。
数字电视支付是指依托交互机顶盒等数字电视支付终端发起的实现货币支付与资金转移的支付方式。
固定电话支付是指电话通过语音IVR方式,使用电话线路发出支付指令,实现货币支付与资金转移的支付方式。
预付卡是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。
银行卡收单是指收单机构与特约商户签订银行卡受理协议,在特约商户按约定受理银行卡并与持卡人达成交易后,为特约商户提供交易资金结算服务的行为。
—3什么场景下需要检测?—
(1)拟申请《支付业务许可证》的机构
参考依据:《非金融机构支付服务业务系统检测认证管理规定》要求非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证。
(2)已获得《支付业务许可证》的支付机构定期检测
参考依据:《非金融机构支付服务业务系统检测认证管理规定》要求支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。
(3)在检测报告有效期内,发生需重新检测的事件
参考依据:《非银行支付机构支付业务设施技术认证实施规则》要求发生如下场景时需重新检测。
出现重大安全事故;
业务系统应用架构或者支撑环境变更(包括:系统架构变更(如B/S架构变为C/S架构),操作系统变更,数据库产品变更,中间件产品变更,开发语言变更等)、重要版本变更;
生产中心机房(主机房)场地迁移;
相关主管部门或者采信方要求。
(4)其他可能需检测的情况
《支付业务许可证》续展;
非银行支付机构被收购。
—4什么检测内容?—
支付业务设施技术检测内容包括4部分:功能测试、风险监控及反洗钱测试、性能测试、安全性测试。其中安全性测试又细分为物理安全性测试、网络安全性测试、主机安全性测试、应用安全性测试、数据安全性测试、运维安全性测试、业务连续性测试。
图3支付业务设施技术检测内容
功能测试主要验证支付服务业务系统的业务功能是否正确实现,测试系统业务处理的准确性。
风险监控及反洗钱测试主要验证支付服务业务系统是否具有账户风险、交易风险及反洗钱监控措施,并符合相关要求。
性能测试主要验证支付服务业务系统是否满足未来3年业务运行的性能需求。
安全性测试主要验证自建机房的物理安全性、经网络系统传输的数据安全性以及网络系统所连接的设备安全性、主机安全防护能力、应用系统对非法访问及操作的控制能力、数据安全防护能力、运维安全管理制度及运维安全执行情况、业务连续性管理制度及设计目标等是否均符合JR/T 0122相关要求。
—5关联服务—
支付机构按照《非金融机构支付服务业务系统检测认证管理规定》中规定,至少每3年对其业务系统进行一次全面的检测认证。还需在日常运营过程中关注信息系统安全等级保护测评、第三方机构接入银联支付网络的入网测评、银联卡支付信息安全合规评估等相关测评。
(1)信息系统安全等级保护测评
信息系统安全等级保护测评是指依据信息安全等级保护的国家标准或行业标准,对未涉及国家秘密的信息系统的安全防护能力进行科学公正的综合评判过程。
参考依据:《非金融机构支付服务业务系统检测认证管理规定》第十条检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
(2)第三方机构接入银联支付网络的入网测评
为推动银联卡支付环境的健康有序发展,规范接入机构参与银联卡支付业务行为,保护持卡人、特约商户合法权益,防范支付业务的信息安全管理与技术风险,中国银联技术管理委员会发布《第三方机构入网技术安全管理办法》、《第三方机构入网技术安全规范》,明确和细化接入机构应达到的信息安全管理要求和技术安全要求。
(3)银联卡支付信息安全合规评估(即:UPDSS合规评估)
为加强银联卡支付信息安全管理,进一步明确和细化各业务参与方支付信息安全管理要求,防范支付信息泄漏风险,中国银联风险管理委员会制定和发布《银联卡支付信息安全管理标准》,检测机构依据此标准对银联网络内从事银联卡收单业务的收单机构、向银联卡收单机构提供收单专业化服务的第三方机构和银联卡收单特约商户进行支付信息安全合规评估。
展开全文
- 移动支付网 | 2018/5/4 9:50:42
- 移动支付网 | 2022/9/5 10:10:06
- 移动支付网 | 2022/9/2 18:30:51
- 移动支付网 | 2022/9/2 18:20:53
- 网络 | 2022/9/2 17:12:13
- 移动支付网 | 2022/9/2 17:06:57
- 移动支付网 | 2022/9/2 16:58:15
- 移动支付网 | 2022/9/2 14:54:26
- 移动支付网 | 2022/9/2 11:51:32
- 移动支付网 | 2022/9/1 18:04:23
- 移动支付网 | 2022/9/1 15:33:39
- 移动支付网 | 2022/9/1 14:40:34
- 移动支付网 | 2022/9/1 14:16:39
- 移动支付网 | 2022/8/31 18:06:51
- 移动支付网 | 2022/8/31 18:04:08