全国金融标准化技术委员会
非金融机构支付业务设施系列技术行业标准应用
更新时间:2016-04-17 15:04:15 点击量:

一、标准背景

随着国民收入增加,消费需求上升,网络购物兴起,联网通用的不断深入,国内非金融机构支付产业取得了长足的发展。在受理渠道上,从以往主要依靠POS等传统渠道进一步扩大到互联网、手机、掌上电脑、固定电话、数字电视等新兴支付渠道。非金融支付产业的不断创新、应用空间的不断拓展和支付渠道的多元化发展适应了多层次支付服务需求,大大推动了非金融支付产业的应用。同时,随着非金融机构支付服务行业的飞速发展,该领域的一些问题和风险隐患逐渐暴露,这些问题仅仅依靠行政力量难以彻底有效解决,经调研,探寻出可以通过技术标准认证手段进行规范有效管理。因此,2010年,中国人民银行发布《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)开始逐步规范对非金融机构支付机构的管理,并建立起非金融机构支付业务设施技术认证(以下简称“非金支付认证”)机制。

随着非金支付认证机制的不断健全,为进一步明确支付机构业务设施技术要求,科学规范开展非金支付认证工作,中金国盛认证中心联合中国信息安全认证中心组织多家检测机构、支付机构提出了非金融机构支付业务设施系列标准立项申请,并获得金标委批准。20141124日《非金融机构支付业务设施技术要求》(JR/T 0122-2014)、《非金融机构支付业务设施检测规范》(JR/T 0123.1-2014JR/T 0123.5-2014)经过中国人民银行批准正式发布。标准的发布实施,为非金融支付机构提升信息化水平,改进自身技术能力提供指导依据,也为检测认证机构对非金融机构支付业务设施开展检测认证工作提供了依据,既有利于非金融支付机构提高支付业务设施的安全性,提升服务质量,促进行业可持续发展,也有利于检测认证工作的规范,为非金融机构支付业务的健康发展保驾护航,落实央行标准化战略实施部署。

二、标准概述

非金融机构支付业务设施系列技术行业标准分为《非金融机构支付业务设施技术要求》和《非金融机构支付业务设施检测规范》2项,其中《非金融机构支付业务设施检测规范》又分为互联网支付、预付卡发行与受理、银行卡收单、固定电话支付和数字电视支付5个部分。

(一)《非金融机构支付业务设施技术要求》

《非金融机构支付业务设施技术要求》主要针对从事非金融机构支付服务的非金融机构支付企业,包括申请或已获得《支付业务许可证》的非金融机构。内容涉及互联网支付、预付卡的发行与受理、银行卡收单、固定电话支付和数字电视支付5大业务类型,从功能、性能、风险监控、安全性、文档和外包等方面提出了技术标准符合性和安全性要求。该标准根据非金融机构支付业务设施认证的不同等级,规定了非金融机构支付业务设施的技术标准符合性和系统安全性相应级别的要求,即基本要求和增强要求。其中,基本要求是根据现有技术的发展水平,并考虑非金融机构支付业务设施的实际技术应用现状,提出和规定了非金融机构支付业务设施技术认证相应级别的最低要求。增强要求,是考虑到金融行业对于业务的规范化要求,以及将来的发展需要,对未来一段时间内行业的发展水平进行合理预估,提出增强要求。增强要求高于当前的平均水平,使得本标准能够在比较长的一段时间内适用。

(二)《非金融机构支付业务设施检测规范》1-5部分)

《非金融机构支付业务设施检测规范》作为认证机构、检测机构对非金融机构支付业务设施进行认证、检测的依据,同时也可作为非金融机构支付业务设施提供者安全建设、评估和自我管理的指导依据。该标准5个部分在结构体例上保持一致,包含第1-4章节的范围、规范性引用文件、术语和定义、启动准则,第5-10章节为核心的检测内容。主要规定了功能测试、风险监控测试、性能测试、安全性测试、文档审核和外包附件测试规范,在第8章安全性部分包括网络安全性测试规范、主机安全性测试规范、应用安全性测试规范、数据安全性测试规范、运维安全性测试规范和业务连续性测试规范。附录A为规范性附录,描述了检测过程风险分析和应对措施。

三、推广应用

非金支付认证是我国金融业第一个认证活动,在金融领域首次贯穿标准编制、实施、评估、改进的全过程,为金融标准落地实施探索出了一条新的道路。但标准作为检测认证工作依据,需通过建立标准维护的长效机制,确保其先进性、科学性及有效性。认证机构将非金融机构支付业务设施系列标准的维护作为己任,积极跟踪非金支付认证行业发展,每年开展标准评估,定期开展标准修订工作。

(一)开展标准培训宣贯

为推动非金融机构支付业务设施系列技术行业标准应用实施,扩大标准应用范围,提升标准影响力,促进非金支付产业的健康快速发展,两家认证机构联合组织、积极开展标准宣传推广工作。20141128日对65家支付机构及9家检测机构进行培训,并建立起行业QQ群,提供标准资讯服务。下一步还将分片区组织2-4次标准培训,使标准培训尽快覆盖全行业。

(二)多措并举推动标准落地

两家认证机构依据《非金融机构支付业务设施技术要求》的检测认证实施方案,制定标准在支付机构和检测机构中的实施方案,通过两家认证机构网站发布,并要求检测机构按照该方案实施。同时,组织9家检测机构召开会议详细介绍实施方案,推动标准落地实施。此外,非金支付作为新兴行业,技术水平参差不齐,业务涉及行业众多,自身发展迅速,新技术、新要求层出不穷,对于标准制修订周期较长,为确保标准的有效实施,认证机构针对标准实施制定了评估准则、判例库和实施规则。通过上述措施配合标准实施,既保证了标准相对稳定,又增强了标准的实用性及可操作性。

经过4年的发展,非金支付认证工作已初具规模。截至2014年年底,共颁发认证证书300多张,开展技术认证1300多次,支付领域范围涉及小到公交一卡通、话费充值等便民服务,大到钢材、煤炭等大宗商品交易结算,覆盖面广、技术要求高、实施难度大。非金融机构支付业务设施系列标准的发布,是对前期非金认证技术工作的全面总结和升华,对于明确非金认证技术要求,提升非金支付行业技术水平具有重大意义。