ICS03.060 CCS A 11 中华人民共和国国家标准 GB/T41460—2022 非银行支付机构支付业务设施技术要求 Technical requirements for payment service facilities of non-bank payment institutions 2022-11-01实施 2022-04-15发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41460—2022 目 次 前言 范围 1 规范性引用文件 2 3 术语和定义 4 缩略语 功能要求及管理要求 5 6 风险监控及反洗钱要求 7 性能要求 14 8 安全性要求· 15 参考文献 GB/T41460—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国金融电子化公司、北京国家金融科技认证中心有限公司、中国支付清算协会、 网联清算有限公司、北京银联金卡科技有限公司、中国电子科技集团公司第十五研究所（信息产业信息 安全测评中心）、中电科技（北京）股份有限公司、北京软件产品质量检测检验中心、中国软件评测中心 （工业和信息化部软件与集成电路促进中心）、中金金融认证中心有限公司、跨境银行间支付清算有限责 任公司。 本文件主要起草人：张永福、潘润红、邬向阳、杨倩、张海燕、赵春华、唐立军、刘运、高天游、马鸣、 裴倩如、林春、魏猛、渠韶光、李博文、高祖康、冯云、王磊、霍珊珊、张益、刘健、张鹏、王威、赵亮、姚建伟、 王凯阳、谢宗晓、司华锋、欧阳明、陈旭东、郭林、薛松源、 II GB/T41460—2022 非银行支付机构支付业务设施技术要求 1范围 本文件规定了非银行支付机构支付业务设施的功能要求及管理要求、风险监控及反洗钱要求、性能 要求和安全性要求 本文件适用于中华人民共和国境内的非银行支付机构的支付业务设施的互联网支付业务和银行卡 收单业务。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T32905信息安全技术SM3密码杂漆算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32918（所有部分）信息安全技术SM2椭圆曲线公钥密码算法 GB/T39786—2021信息安全技术信息系统密码应用基本要求 JR/T0025.7—2018 中国金融集成电路（IC）卡规范第7部分：借记/贷记应用安全规范 3术语和定义 下列术语和定义适用于本文件。 3.1 非银行支付机构支付业务设施 payment servicefacilities of non-bank payment institutions 非银行支付机构的支付业务处理系统、网络通信系统以及容纳以上系统的专用机房 3.2 移动终端 芳mobiledevice 具有移动通信能力的终端设备。 注：移动终端包括手机、PDA等，在本文件中主要指手机。 3.3 互联网支付internetpayment 依托互联网实现收款人和付款人之间货币资金转移的支付方式。 3.4 银行卡收单 bankcardacceptance 收单机构与特约商户签订银行卡受理协议，在特药商户按约定受理银行卡并与持卡人达成交易后， 为特约商户提供交易资金结算服务的行为。 3.5 条码支付 fbar codepayment 以条码为信息载体，通过移动终端或受理终端直接或间接获取支付要素，并利用已有支付渠道完成 1 GB/T41460—2022 交易的一种支付方式。 3.6 收款扫码 consumer-presented mode 收款人通过识读付款人移动终端展示的条码（付款码）完成支付的行为。 3.7 付款扫码 merchant-presentedmode 付款人通过移动终端识读收款人展示的条码（收款码）完成支付的行为。 3.8 客户 customer 购买或使用非银行支付机构提供的支付服务的组织或个人。 注：包含个人客户和企业客户。 3.9 担保支付 guarantee payment 在支付过程中，由支付服务方为支付双方提供交易担保，付款方进行支付确认后，由支付服务方把 款项结算给收款方的支付行为。 3.10 消费撤销 consuming cancellation 商户对持卡人已经联机结算的交易于当日当批内发起的对消费交易的取消。 3.11 预授权 pre-authorization 担保支付或其他需预先冻结一笔资金的交易。 注：即根据持卡人需支付的金额向发卡行索取日后付款的承诺 3.12 运营人员 operatingpersonnel 具有审核、确认等权限的管理人员。 3.13 数据库database 存储在一个或多个计算机文件中的相关数据集合。 3.14 圈存 load 增加卡中电子现金余额的过程。 3.15 交易查询 trading inquiry 客户向支付服务方发起查询单笔（批量）业务状态请求的过程。 4缩略语 下列缩略语适用于本文件 ARQC：授权请求密文（AuthorizationRequestCryptogram） ARPC：授权响应密文（AuthorizationResponseCryptogram） CPU：中央处理器（CentralProcessorUnit) MAC：报文认证码（MessageAuthenticationCode) PDA：个人数字助理（PersonalDigitalAssistant) 2 GB/T41460—2022 POS：销售点（PointofSale） SM：商用密码（ShangMi） TAC：终端行为代码（TerminalActionCode） TR：支付标记请求方（TokenReuestor） VPN：虚拟专用网络（VirtualPrivateNetwork） 功能要求及管理要求 3 5.1互联网支付功能及管理要求 5.1.1客户管理 5.1.1.1 客户注册及信息编辑 应实现客户注册、客户信息编辑等功能。 5.1.1.2 客户审核 应实现客户注册信息审核、确认开通审核及关键信息修改审核等功能 5.1.1.3客户状态管理 客户状态应至少包括正常、冻结、注销等。冻结应实现暂停客户交易和重新恢复客户交易的功能 注销应实现永久停止客户交易的功能。 5.1.1.4客户查询 应实现客户信息的查询功能。 5.1.1.5 客户证书管理 增强要求：应实现客户电子证书的申请、发放、更新、作废等功能。 5.1.1.6 6客户业务管理 应实现客户业务的增加、修改和取消等功能。 5.1.2支付账户管理 5.1.2.1 客户支付账户信息登记及分类管理 应实现客户支付账户的开户、修改、分类管理功能 5.1.2.2客户支付账户审核 应实现客户支付账户信息审核、确认开通审核及关键信息修改审核等功能 5.1.2.3客户支付账户状态管理 客户支付账户状态应至少包括正常、冻结、注销等，冻结应实现暂停客户支付账户交易和重新恢复 客户支付账户交易的功能，注销应实现永久停止客户支付账户交易的功能 1）增强要求适用于对信息安全有更高要求的非银行支付机构。 3 GB/T41460—2022 5.1.2.4客户支付账户查询 应实现客户支付账户信息查询的功能 5.1.2.5 银行卡关联 应用于支付 开展条码支付业务，应实现客户用于生成条码的银行账户或支付账户、身份证件号码、手机号码的 关联管理。 5.1.3商户管理 5.1.3.1商户信息登记及管理 应实现商户注册、商户信息编辑等功能 5.1.3.2 商户审核 应实现商户注册信息审核、确认开通审核及关键信息修改审核等功能。 5.1.3.3商户状态管理 商户状态应至少包括正常、冻结、注销等，冻结应实现暂停商户交易和重新恢复商户交易的功能，注 销应实现永久停止商户交易的功能。 5.1.3.4商户查询 应实现商户信息查询的功能。 5.1.3.5 5商户证书管理 增强要求：应提供商户电子证书的申请、发放、更新、作废等服务 5.1.3.6 商户业务管理 应实现商户业务的增加、修改和取消等功能 5.1.4交易处理 5.1.4.1 一般支付 应实现客户一般支付（付款方使用支付指令支付成功后即可结算的支付行为）交易的功能。开展条 码支付业务，应提供收款扫码功能或付款扫码功能， 5.1.4.2担保支付 应实现客户担保支付交易的功能。 5.1.4.3 协议支付 方事先签订协议，在后续支付过程中，商户根据协议直接向支付服务方发起扣款请求，而无需通过付款 方另行授权即可完成付款的支付行为）交易的功能 4 GB/T41460—2022 5.1.4.4转账 增强要求：应实现不同账户之间相互转账的功能。 5.1.4.5充值 应实现将资金从客户银行账户转账至本人支付账户的功能。 5.1.4.6提现 应实现将资金从客户支付账户转账到本人银行账户的功能 5.1.4.7交易明细查询 应实现按照时间、交易类型或者客户等交易明细信息进行查询，且能实现浏览交易明细的功能。应 提供至少近一年的交易信息查询服务。 5.1.4.8 3交易明细下载 增强要求：应实现交易明细信息下载的功能。应提供至少近一年的交易明细下载服务 5.1.4.9 邀请他人代付 增强要求：应实现邀请他人代为支付的功能。 5.1.5 对账处理 5.1.5.1 发送对账请求 应提供商户提交对账申请的服务。当商户提交对账申