1. 澳门贵宾厅

      1. 欢迎光临~昆明澳门贵宾厅科技有限公司
          咨询电话:400-0871-488

        行业新闻

        陆雨雷:条码支付技术体系介绍

        来源:中金网安

        陆雨雷,8年网络信息安全工作经验,目前专注于银行业信息科技风险管理相关工作,同时具备政府、运营商行业信息安全经验 ,目前主导及参与了近50家国有银行 、全国股份制银行 、城商行的信息安全咨询和评估工作,对银行业务安全、合规管理、信息科技风险管理领域有着丰富的实践经验。
        —1条码支付规范由来—
        2017年12月央行发布了《中国人民银行办公厅关于加强条码支付安全管理的通知》,在该文件中正式发布了《条码支付安全技术规范(试行)》及《条码支付受理终端技术规范(试行)》。同月央行还发布了《条码支付业务规范(试行)》 。通过上述3个规范的发布,针对条码支付形成了较为全面的管理要求,既对技术提出了要求,同时又对业务提出了要求 。
        本文对《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》的内容及体系进行了介绍。
        —2条码支付规范主要内容简述—
        《条码支付安全技术规范(试行)》中规定了系统安全、移动终端安全、受理终端安全及交易安全的安全技术要求。
        《条码支付受理终端技术规范(试行)》中规定了显码设备技术要求 、扫描设备技术要求、安全性技术要求、适应性技术要求及可靠性技术要求。
        两规范主要的针对对象为银行 、非银行支付机构、清算机构开展条码支付业务时所需的:
        软硬件的设计、研发、集成和维护 。
        受理终端的设计 、研发、维护和采购。
        —3条码支付安全体系概述—
        《条码支付安全技术规范(试行)》文中的系统安全中的物理安全、网络安全、主机安全、应用安全、数据安全及部份恢复均参考GB/T 22239-20081中的三级系统安全要求 。其中应用安全除了基本要求之外还增加了针对会话安全 、常见攻击防范的两处安全要求。
        《条码支付安全技术规范(试行)》文中的移动终端安全包含了人机交互安全、客户端软件安全及通信安全三大板块,其中人机交互安全又划分为:身份验证信息管理 、交易异常处理。客户端软件安全又划分为:数据有效性校验、页面回退清除敏感信息机制、反编译、客户端软件完整性、运行时安全 。通信安全又划分为:网络通讯协议、抗抵赖 。
        《条码支付安全技术规范(试行)》文中的受理终端安全需符合银发〔2017〕21号2的规定及《条码支付受理终端技术规范(试行)》的相关要求。
        《条码支付安全技术规范(试行)》文中交易安全的基本安全要符合银发〔2016〕170号3的规定及JR/T 01494中的相关要求 。交易安全除了基本安全要求以外还包含了:码制、数据录入 、数据访问 、数据存储、数据传输、条码生成、条码识读与解析、交易验证与确认、交易风险控制及交易过程安全共计11大板块 。其中的条码生成又划分为:基本要求 、收款扫码、付款扫码。交易过程安全又可以划分为:交易报文安全(银办发〔2016〕222号)5、风险识别与干预 、交易监控、客户与商户教育。
        条码支付安全技术规范(试行)架构
        图1条码支付安全技术规范(试行)架构
        —3条码支付受理终端技术体系概述—
        《条码支付受理终端技术规范(试行)》中的显码设备技术要求主要包括了:数据要求、条码表现要求。其中数据要求又可以划分为:正确性 、规范性、码制 。条码表现要求又可以划分为:外形 、颜色 、介质、精度。
        《条码支付受理终端技术规范(试行)》中的扫描设备技术要求主要包括了:数据要求、性能要求 。其中数据要求又可以划分为:准确性、规范性(GB 18030—2005)6。性能要求又可以划分为:精度、识别速度 、出错率。
        《条码支付受理终端技术规范(试行)》中的安全性技术要求应符合《条码支付安全技术规范(试行)》中的相关要求,在PIN输入设备中应符合JR/T 0120.57,受理终端应符合JR/T 0120.1、JR/T 0120.2等的相关要求。涉及支付敏感信息的还应符合银发〔2016〕170号的要求8  。
        《条码支付受理终端技术规范(试行)》中的适应性技术要求主要包括了:电源适应能力、接口、环境适应性及可靠性技术 。其中的环境适应性要求又可以划分为:气候环境适应性、光照环境适应性 。
        《条码支付受理终端技术规范(试行)》中的可靠性技术要求主要是对无故障工作时间来衡量产品的可靠性,并要求无故障工作时间不少于15000小时。
        图2条码支付受理终端技术规范(试行)架构
        图2条码支付受理终端技术规范(试行)架构
        —4参考文献—
        1 GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求
        2银发〔2017〕21号中国人民银行关于强化银行卡受理终端安全管理的通知
        3银发〔2016〕170号中国人民银行关于进一步加强银行卡风险管理的通知
        4 JR/T 0149—2016中国金融移动支付支付标记化技术规范
        5银办发〔2016〕222号中国人民银行办公厅关于印发《网络支付报文结构及要素技术规范(V1.0)》的通知
        6 GB18030—2005信息技术中文编码字符集
        7 JR/T 0120—2016银行卡受理终端安全规范
        8银发〔2016〕170号中国人民银行关于进一步加强银行卡风险管理的通知.

        昆明澳门贵宾厅专业为您提供校园一卡通 ,一卡通系统 ,餐饮软件,餐饮系统 ,电子标签 ,收银软件 ,收银系统,条码设备,收款机 ,RFID读写器,公司管理软件广泛应用于零售超市 、餐饮酒店 、生产制造、教育医疗、机关学校、企事业单位办公 、仓储、金融和物流等领域,联系电话:400-0871-488。

        用手机扫描二维码关闭
        二维码
        1. XML地图