ICS 03.060 A 11 JR 中华人民共和国金融 行业标准 JR/T 0123.2—2018 代替JR/T 0123.2— 2014 非银行支付机构支付业务设施检测规范 第2部分：预付卡发行与受理 Test specification of non- bank payment institutions payment service facilities — Part 2：Prepaid card issuance and acceptance 2018 - 10 - 29发布 2018 - 10 - 29实施 中国人民银行 发布 JR/T 0123.2—2018 I 目 次 前言 ................................................................................ II 引言 ................................................................................ IV 1 范围................................................................ .............. 1 2 规范性引用文件 ................................................................ .... 1 3 术语和定义 ................................................................ ........ 1 4 启动准则 ................................................................ .......... 2 5 功能测试 ................................................................ .......... 2 6 风险监控及反洗钱测试 ................................ .............................. 4 7 性能测试 ................................................................ .......... 5 8 安全性测试 ................................................................ ........ 6 参考文献 ............................................................................ 67 JR/T 0123.2—2018 II 前 言 JR/T 0123 《非银行支付机构支付业务设施检测规范》分为 6个部分： ——第1部分：互联网支付； ——第2部分：预付卡发行与受理； ——第3部分：银行卡收单； ——第4部分：固定电话支付； ——第5部分：数字电视支付； ——第6部分：条码支付。 本部分为JR/T 0123 的第2部分。 本部分按照 GB/T l.1 —2009给出的规则起草。 本部分代替JR/T 0123.2—2014 《非金融机构支付业务设施检测规范 第2部分：预付卡发行与受 理》，与JR/T 0123.2—2014 相比主要变化如下： ——标准名称由《非金融机构支付业务设施检测规范 第2部分：预付卡发行与受理》修改为《非 银行支付机构支付业务设施检测规范 第2部分：预付卡发行与受理》； ——增加终端机具管理类要求（见第 5章）； ——增加商户风险管理、风险及反洗钱管理制度要求（见第 6章）； ——增加对自建机房的物理安全要求（见 8.1）； ——增加主机对象审计、应用操作审计的要求（见第 8章）； ——修改网络安全中对网络域安全隔离和限制、 内容过滤、 网络对象审计等的要求 （见第 8章，2014 年版的第 8章）； ——修改主机安全中对访问控制范围等的要求（见第 8章，2014 年版的第 8章）； ——修改应用安全中对可信时间戳服务、登录访问安全策略、日志信息的要求（见第 8章，2014 年版的第 8章）； ——增加数据安全中对个人信息保护、数据使用的要求（见 8.5）； ——增加运维安全文档管理要求（见 8.6）； ——删除文档要求（见 2014年版的第 9章）； ——删除外包附加要求（见 2014年版的第 10章）； ——增加SM系列算法的使用要求（见第 8章）。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC 180）归口。 本部分起草单位：北京中金国盛认证有限公司、中国信息安全认证中心、中国金融电子化公司、银 行卡检测中心、上海市信息安全测评认证中心、中金金融认证中心有限公司、工业和信息化部计算机与 微电子发展研究中心（中国软件评测中心）、北京软件产品质量检测检验中心（国家应用软件产品质量 监督检验中心）、中电科技（北京）有限公司、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、支付宝（中国）网络技术有限公司、银联商务股份有限公司、财付通支付科技有限公司、网银在线（北京）科技有限公司。 JR/T 0123.2—2018 III 本部分主要起草 人：安荔荔、潘润红、邬向阳、聂丽琴、赵春华、高天游、王翠、王鹏飞、裴倩如、 李红曼、焦莉纳、唐立军、牛跃华、林春、马鸣、刘欣、王妍娟、夏采莲、高祖康、陆嘉琪、王凯阳、 赵亮、于泉、冯云、张益、宋铮、何韡、吴永强、马志斌。 本部分于2014年 11月24日首次发布，本次为第一次修订。 JR/T 0123.2—2018 IV 引 言 JR/T 0123 —2018基于JR/T 0122— 2018《非银行支付机构支付业务设施技术要求》编制。检测目标 是在系统版本确定的基础上，对非银行支付机构提供的支付业务设施的功能、风险监控、性能、安全性 进行测试，客观、公正地评估设施是否符合中国人民银行对支付业务设施的技术标准要求，保障我国支付业务设施的安全稳定运行。 JR/T 0123.2—2018 1 非银行支付机构支付业务设施检测规范 第2部分：预付卡发行与受理 1 范围 本部分规定了非银行支付机构预付卡发行与受理业务设施的功能、风险监控、性能、安全等方面的 测试要求。 本部分适用于非银行支付机构预付卡发行与受理业务设施的建设管理， 以及第三方检测机构的检测 工作。 注：支付业务设施包括支付业务处理系统、网络通信系统以及容纳上述系统的专用机房。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 32905 信息安全技术 SM3密码杂凑算法 GB/T 32907 信息安全技术 SM4分组密码算法 GB/T 32918 （所有部分） 信息安全技术 SM2椭圆曲线公钥密码算法 GM/T 0054 —2018 信息系统密码应用基本要求 JR/T 0025.7—2018 中国金融集成电路（ IC）卡规范 第7部分：借记贷记应用安全规范 JR/T 0122 非银行支付机构支付业务设施技术要求 中国人民银行. 非银行支付机构网络支付业务管理办法（中国人民银行公告〔2015 〕第43号）， 2016-07-01. 3 术语和定义 下列术语和定义适用于本文件。 3.1 非银行支付机构支付服务 non-bank payment institutions payment service 非银行支付机构在收付款人之间作为中介机构提供的下列部分或全部货币资金转移服务： a) 网络支付； b) 预付卡发行与受理； c) 银行卡收单； d) 中国人民银行确定的其他支付服务。 3.2 预付卡 prepaid card 发卡机构以特定载体和形式发行的、可在 发卡机构之外购买商品或服务的预付价值。 JR/T 0123.2—2018 2 注：预付卡分为记名预付卡和不记名预付卡。 3.3 记名预付卡 registered prepaid card 预付卡业务处理系统中记载持卡人身份信息的预付卡。 3.4 不记名预付卡 anonymous prepaid card 预付卡业务处理系统中不记载持卡人身份信息的预付卡。 4 启动准则 启动测试工作应满足如下条件： a) 非银行支付机构提交的支付服务业务系统被测版本与生产版本一致。 b) 非银行支付机构支付服务业务系统已完成内部测试。 c) 系统需求说明书、系统设计说明书、用户手册、安装手册等相 关文档准备完毕。 d) 测试环境准备完毕，具体包括： 1) 测试环境与生产环境基本一致，其中安全性测试在生产环境下进行； 2) 支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配