PDF《附件 1》

―

5 ― 附件

1 条码支付安全技术规范 (试行)

2017 年12 月―6―目次1范围

7 2 规范性引用文件

7 3 术语和定义

7 4 系统安全

8 5 移动终端安全

9 6 受理终端安全

10 7 交易安全

10 附录A(资料性附录) 防伪技术要求

15 参考文献16 ―

7 ―

1 范围 本规范规定了条码支付系统、终端、数据和交易的安全技术要求.

本规范适用于银行、非银行支付机构、清算机构开展条码支付业务时所需软硬件的设计、研发、集 成和维护.

2 规范性引用文件 下列文件对于本文件的应用是必不可少的. 凡是注日期的引用文件, 仅所注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件. GB/T 22239―2008 信息安全技术 信息系统安全等级保护基本要求 JR/T 0118―2015 金融电子认证规范 JR/T 0149―2016 中国金融移动支付 支付标记化技术规范 条码支付受理终端技术规范(试行)

3 术语和定义 下列术语和定义适用于本文件. 3.1 条码 bar code 由一组规则排列的条、空及其对应字符组成的标记,用以表示一定的信息,包括线性条码、二维条 码等. 3.2 线性条码 linear bar code 一维条码 one-dimensional bar code 条形码 bar code 宽度不等的多个黑条和空白,按照一定的编码规则排列,用以表达一组信息的图形标识符. 3.3 二维条码 two-dimensional bar code 二维码 two-dimensional bar code 在线性条码的基础上扩展出另一维具有可读性的条码, 使用具有明显色差的深浅色矩形图案表示二 进制数据,被设备识读和解码后可获取其中所包含的信息. 3.4 静态条码 static bar code 具有较长时效,可多次重复使用的条码. 3.5 动态条码 dynamic bar code 通过显码设备展示,并且有较短时效的条码. 3.6 条码支付 bar code payment 条码技术在支付领域中的应用, 其本质是以条码为信息载体, 通过移动终端或受理终端直接或间接 获取支付要素,并利用已有支付渠道完成交易的一种支付方式. 3.7 移动终端 mobile terminal 具有移动通讯、条码展示或识读能力的客户设备,如手机、平板电脑等. 3.8 受理终端 payment terminal ―

8 ― 具有条码展示或识读等功能,参与条码支付的商户端专用机具,包括显码设备和扫码设备. 3.9 显码设备 bar code display device 具有条码展示功能的专用设备. 3.10 扫码设备 bar code reader 识读条码并且向后台系统发起支付指令的专用设备, 包括但不限于带扫码装置的收银机、 POS 终端、 自助终端等.

4 系统安全 4.1 物理安全要求 物理安全应符合GB/T 22239―2008中7.1.1的相关要求. 4.2 网络安全要求 网络安全应符合GB/T 22239―2008中7.1.2的相关要求. 4.3 主机安全要求 主机安全应符合GB/T 22239―2008中7.1.3的相关要求. 4.4 应用安全要求 4.4.1 基本要求 应用安全应符合GB/T 22239―2008中7.1.4的相关要求. 其他基本要求如下: ――不应在日志中记录客户支付敏感信息;

――应采用数字签名等技术手段保证交易信息的完整性;

――基于浏览器的应用, 应使用数字证书标识网站身份, 使用即时加密等安全措施降低恶意软件窃 取客户支付敏感信息的风险. 4.4.2 会话安全 会话安全要求如下: ――会话标识应唯

一、随机、不可猜测;

――会话过程中应维持登录认证状态,防止信息未经授权访问;