GB_T 41460-2022标准规范下载简介
GB_T 41460-2022 非银行支付机构支付业务设施技术要求.pdf简介:
GB/T 41460-2022《非银行支付机构支付业务设施技术要求》是中国国家标准,由国家市场监督管理总局发布。该标准主要针对非银行支付机构,如第三方支付公司等在提供支付业务时所需的技术设施设定了一系列的技术要求。它涵盖了支付系统的安全性、稳定性、可靠性、效率、合规性等方面,旨在保障支付业务的正常运行,保护消费者和商户的权益,以及促进支付行业的健康发展。
具体包括但不限于以下几个方面:
1. 安全要求:规定了支付设施的安全防护措施,如数据加密、访问控制、风险防范、应急预案等,以防止信息泄露、欺诈等风险。
2. 技术架构:对支付系统的架构设计、服务接口、数据存储等提出规范,确保系统的稳定性和可扩展性。
3. 性能要求:对支付系统的处理能力、响应时间、并发处理能力等有明确的要求,以满足大规模用户的需求。
4. 合规性:确保支付设施符合国家和行业的相关法律法规,如反洗钱、反恐怖主义融资等。
5. 用户体验:强调支付设施应提供简单易用、便捷高效的支付体验,包括但不限于用户界面、操作流程等。
6. 数据管理:要求支付机构对用户数据进行妥善管理,遵守数据保护和隐私政策。
总之,GB/T 41460-2022是一个强制性的技术标准,要求非银行支付机构在设计和运营支付业务时必须达到,以保证支付行业的健康发展和用户权益。
GB_T 41460-2022 非银行支付机构支付业务设施技术要求.pdf部分内容预览:
应实现预授权完成(在预授权有效期内,持卡人以实时发送结算通知报文的形式对已批准的预授权 交易作支付结算)的功能
5.2.4.17预授权完成撤销
应实现预授权完成撤销(因预授权交易的商品退回或服务取消,将已扣款项退还至持卡人原扣款账 户的过程)的功能。
5.2.4.18追加预授权
GB 50617-2010 建筑电气照明装置施工与验收规范应实现追加预授权的功能
5.2.5.1商户结算
应实现商户资金结算的功能
实现商户资金结算的功能
5.2.5.2银行清算
应能根据银行的要求正确完成与银行之间的清
5.2.6.1发送对账请求
5.2.6.2生成对账文件
实现商户对账文件的查询、浏览或下载等功能
5.2.7.1单笔退款
GB/T414602022
应实现单笔交易退款的功能。 支付服务方应将部分或全部已扣款项退还至个人或企业客户的原扣款账户,原扣款账户不能 款的,退款至付款方其他账户
5.2.7.2批量退款
应实现差错处理过程中批量交易退款的功能。 支付服务方应将部分或全部已扣款项退还至个人或企业客户的原扣款账户,原扣款账户不能接收 退款的,退款至付款方其他账户
5.2.7.3差错交易查询
应实现对各种差错交易查询的功能
应实现对各种差错交易查询的功能。
5.2.7.4对账差错处理
账文件出错、对账结果不平等差错情况的处理流
5.2.8.1统计报表
应实现对一段时间内的业务操作(如客户注册、商户开通、支付、结算等操作)进行查询统计的功 付服务方可根据自身的情况将“一段时间”细化为“月、季、年”等
5.2.8.2运营人员权限管理
应实现运营人员权限的增加、删除、修改和审核
6风险监控及反洗钱要求
6.1互联网支付风险监控及反洗钱要求
6.1.1客户风险管理
6.1.1.1客户签约
应与客户签订相关协议,针对风险防范条款、客户身份基本信息的使用目的和范围、差错和争议处 理、支付账户与支付账户之间或支付账户与银行账户之间的日累计转账限额和笔数等事项,明确双方权 利义务。
6.1.1.2 实名认证
应自主或委托合作机构以面对面方式核实客 权威性的外部认证渠道对客户身份基 本信息进行实名认证。实名认证对客户身份基本信息的采集、存储、传输和使用应遵循最小化原则,并 留存客户有效身份证件影印件或复印件信息。应根据外部认证渠道的数量对个人支付账户进行分类管
6.1.1.3客户风险评级管理
6.1.1.4小额免密支付风险管理
经过客户授权,在风险可控条件下,对小额免密支付可适当简化身份验证流程,简化流程时应在 展现交易信息,
6.1.2客户支付账户风险管理
应根据客户身份对同一客户的不同支付账户进行关联管理。同一个人在同一家支付机构只能开立 个Ⅲ类账户。
6.1.2.2支付账户资金管理
由预付卡转账至支付账户中的余额应单独管理。支付账户不应透支,
6.1.2.3支付账户风险管理
自开户之日起6个月内无交易记录的账户,支付机构应暂停其资金往来业务,仅保留非资金
6.1.3商户风险管理
6.1.3商户风险管理
应审核特约商户资质,方式包括但不限于查询统一社会信用代码等。应对特约商户的法定代表人
GB/T414602022
或负责人实行实名制管理。应具有明确 程和标准,明确资质审核岗位和权限
6.1.3.2商户签约
应与商户签订相关协议,就风险防范条款、商户身份基本信息的使用目的和范围、可受理的卡种类、 开通的交易类型、结算账户的设置和变更、资金结算周期、结算手续费标准、差错和争议处理等事项,明 确双方权利义务
6.1.3.3商户日常风险管理
应向商户发放风险提示信息,对商户进行风险培训
6.1.4.1交易查询
应实现交易信息的查询功能。
6.1.4.2交易监控模型
应利用历史交易数据分析、客户鉴别安全强度、客户行为建模、监测终端设备异常等手段,建立交易 风险监控模型和系统
6.1.4.3当日累计交易限额
应根据客户的支付验证方式的步 年对其正确识别、记录、响应。应 按约定限制支付账户与支付账户之间、支付账户与银行账户之间的日累计转账额度。开展条码支付业 务,应根据条码支付业务场景和客户的风险防范能力,设置当日累计交易限额
1.4.4当月累计交易限客
6.1.4.5当年累计交易限额
6.1.4.6当日累计转账限次
应按约定限制支付账户与支付账户之间、支付账户与银行账户之间的日累计转账次数。
6.1.4.7异常行为监控
6.1.4.8账户资金监控
应实现对客户账户资金异常转移、交易、结算的审核和确认等处理
6.1.4.11黑名单
应实现黑名单管理功能,并对黑名单中客户的行为进行正确地识别、记录、听
应实现黑名单管理功能,并对黑名单中客户的行为进行正确地识别、记录、响应。
6.1.5.1风控规则管理
6.1.5.2反洗钱管理制度和操作规程
6.1.5.3岗位设置
应健全系急止付和快: 制度中完整、明确地定义各项风 理规则以及向上级部门和主管音
6.1.5.5风险报表
6.2.1商户风险管理
6.2.1.1商户资质审核
商户资质审核要求如下: 应审核特约商户资质,方式包括但不限于查询统一社会信用代码等; 应对特约商户的法定代表人或负责人实行实名制管理; 应具有明确的审核流程和标准,明确资质审核岗位和权限
6.2.1.2商户签约
.2.1.3商户日常风险管
应向特约商户发放风险提示信息,对特约商户进行风险培训。应提示特约商户定期审核网站,杜绝 12
GB/T414602022
6.2.1.4合作的第三方机构的风险管理
应对合作的第三方机构进行风险提示和培训
6.2.1.5商户黑名单管理
应实现商户黑名单的管理功能,并对黑名单中的商户进行风险监控。应在机构间实现商户黑 信息共享。
6.2.2交易风险管理
6.2.2.1联机交易ARQC/ARPC验证
应能进行联机交易的ARQC/ARPC验证。
6.2.2.2联机报文MAC验证
6.2.2.3脱机交易TAC
6.2.2.4脱机交易MAC验证
脱机交易中,应进行MAC验证
机交易中,应进行MAC
6.2.2.5可疑交易处理
应实现可疑交易处理规则的设置,并对其进行正确识别、记录、响应,以实现对可疑交易的查询、分 析、处理等服务
6.2.2.6卡片黑名单监控
应实现卡片黑名单的管理功能,对黑名单中的交易进行风险监控,并对其进行正确识别、记录 响应。
6.2.3风险及反洗钱管理制度
6.2.3风险及反洗钱管理制度
6.2.3.1风控规则管理
应确保在相关风磁管理制度 则,以及各项风控规则的变更、审核和确认制度
6.2.3.2反洗线管理制度和操作规程
应制定大额交易和可疑交易报告内部管理制度和操作规程,对大额交易和可疑交易报告工作作出 统一要求,并对分支机构、附属机构大额交易和可疑交易报告制度的执行情况进行监督管理。
6.2.3.3岗位设置
6.2.3.5风险报表
6.2.4终端风险管理
6.2.4.1终端使用生命周期的管理
应提供终端管理制度,对终端的管理流程进行详细规定,包括甲请、参数设置、程序灌装、使用、更 换、维护、撤销等。应提供商户申请、使用、更换、维护、撤销终端的详细记录。 开展条码支付业务,应提供终端管理制度,对终端管理流程进行详细规定,包括申请、使用、更换、维 护、撤销等。
6.2.4.2终端密钥和参数的安全管理
每台终端应具有唯一的密钥加密密钥,并对其管理、 终端密钥算法应符合双倍长密钥算法规范、 开展条码支付业务.应提供终端密钥和参数的管理制度,对终端密钥和参数进行管理
6.2.4.3控制移动终端的安装
立在制度中详细规定移动终端的安装和管理要求,对移动终端的安装进行限制。 商户安装移动终端,应进行详细登记,登记内容应包括移动终端通信卡或通信模块编号及运营商信 息等。
使用的终端应有安全检测报告,报告内容应能反映终端的安全状况。 应有终端入网检测报告,报告内容应能明确POS签购单打印格式和要素, 开展条码支付业务,使用的终端应具有安全认证证书
6.2.4.5密码键盘安全检测报告
使用的密码键盘应有安全检测 整筛的安全获况
6.2.4.6终端监控管理
应建立对受理终端的日常监控巡查机制,重点检查终端是否被非法改装,防止不法分子窃取账户信 息,并保留巡查记录,包括终端巡检制度、巡检内容、巡检记录等
支付业务设施性能要求应符合表1的要求。
支付业务设施性能要求应符合表1的要求。
GB/T414602022
表1支付业务设施性能要求
8.1.1物理位置选择
8.1.1.1机房所在建筑物
GB/T 39660-2020 物流设施设备的选用参数要求.pdf机房应选择设在中华人民共和国境内具有防震、防风和防雨等能力的建筑中
8.1.1.2建筑物内机房位置
机房场地不应设在建筑物的顶层或地下室,否则应加强防水和防潮措施
机房场地不应设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
DB31/T 310004-2021 长三角生态绿色一体化发展示范区环境空气质量预报技术规范.pdf8.1.2物理访问控制
8.1.2.1机房设置电子门禁系统
增强要求:机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进出的人员。