ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0096.5—2012 中国金融移动支付 联网联合 第 5部分：入网管理规范 China financial mobile payment —Interoperability — Part 5: Specification for networked management 2012 - 12 - 12 发布 2012 - 12-12 实施 中国人民银行 发布 JR/T 0096.5—2012 I 目 次 前言 ............................................................ .................... II   引言 ............................................................ ................... III   1 范围 .......................................................... .................... 1   2 规范性引 用文件 ..................................................... ............... 1   3 入网机构管理 ...................................................... ................ 1   4 入网商户管理 ...................................................... ................ 5   参考文献 .......................................................... ................... 8   JR/T 0096.5—2012 II 前 言 《中国金融移动支付 联网联合》标准由以下 6部分构成： ——第 1部分：通信接口规范； ——第 2部分：交易与清算流程规范； ——第 3部分：报文交换规范； ——第 4部分：文件数据格式规范； ——第 5部分：入网管理规范； ——第 6部分：安全规范。 本部分为该标准的第 5部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC180 ）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：中国银联股份有限公司、中国工商银行、中国农业银行、交通银行、上海浦 东发展银行、中国邮政储蓄银行、北京中电华大电子设计有限责任公司、天翼电子商务有限公司、联通支付有限公司、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、中国金融认证中心、金雅拓智能卡公司、握奇数据系统有限公司、捷德（中国）信息科技有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、姜云兵、杜宁、李兴锋、刘力慷、辛路、谭颖、袁 捷、兰天、吴水炯、姜鹏、谢元呈、李晨光、李庆艳、李茁、纪洪明、宋铮、熊帅、陈震天、张健、孙战涛、马志全、燕宜军、温丽明。 JR/T 0096.5—2012 III 引 言 随着移动支付新业务、新产品、新管理模式的不断涌现，以客户需求为主导的移动支付业务出现 了不断交融和细化的趋势，不同机构、不同部门、不同业务之间的信息交换和信息共享变得越来越频繁。实现商业银行、支付机构、商户之间互联互通后，对入网机构和商户进行统一管理，降低交易风险，具有必要性和迫切性。       考虑到以支付机构为代表的新型入网机构以及以移动支付远程支付为主要支付形式的商户仍处于 不断的发展和创新中，为便于标准的推广，本部分对具有共性的管理要求进行规范，供各入网机构及移动支付商户加入转接清算网络参照执行。  JR/T 0096.5—2012 1 中国金融移动支付 联网联合 第5 部分：入网管理规范 1 范围 本部分规定了入网机构和商户加入移动支付联网通用应满足的技术要求。 本部分适用于加入转接清算网络的入网机构和商户。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 2887 电子计算机场地通用规范 GB 9361 计算机场地安全要求 JR/T 0095 中国金融移动支付 应用安全规范 3 入网机构管理 3.1 机构代码分配 凡符合移动支付联网联合相关标准，并经审批合格的入网机构，均会被分配唯一的机构代码。 3.2 入网要求 3.2.1 基本要求 入网机构应先满足JR/T 0095- 2012相关要求。 3.2.2 制度要求 入网机构应建立并执行以下管理制度: ——需建立信息安全制度，支付风险管理制度，并通过有效而正式的方式进行发布； ——需指定专人负责信息安全制度的建立、分发、复查和培训； ——需每年复查信息安全制度，重新评估安全控制及过程，对不适用或需改进的地方进行修订； ——需定期对员工进行安全培训，培训内容包括各类安全制度、信息系统运维手册和应急预案等； ——需审查录用员工的技术能力和背景资料，并签署保密协议； ——需建立安全事件报告流程及应急处理预案,建立不同类别信息安全事件的报告程序， 所有相关 员工需知道安全事件的报告程序； ——所有相关员工都需注意及报告系统或服务任何可疑的安全弱点或威胁； ——客户提供的身份信息和银行账户信息经多次验证仍未通过的，应予以重点关注，并暂停相关业 务处理； ——发现支付账户信息被盗取、欺诈、洗钱等风险事件的，应对客户采取暂停交易、限制账户使用 等相关措施；对于涉嫌犯罪的，应立即向当地公安机关报案，同时向所在地中国人民银行分支JR/T 0096.5—2012 2 机构报告； ——发生与移动支付交易相关的安全事件应及时通知移动支付联网通用管理机构。 3.2.3 机房管理 放置涉及移动支付交易（直接传输或处理移动支付交易、为移动支付交易提供支持服务）的网络设 备和系统设备的机房，必须满足以下相关要求： ——应按国家标准 GB 2887和 GB 9361 的相关规定，采取防震、消防、空调、防潮、防静电、防雷 击、供电安全等措施； ——应建立并实行出入安全管理制度，采用专人值守或电子门禁方式，对人员进出机房情况进行日 常监控； ——需划分区域进行管理，区域和区域之间设置物理隔离装置，各区分别实行不同的防护措施； ——需使用人工或闭路电视监控系统监视敏感区域； ——应建立值班制度， 配备值班人员， 对机房内各类设备运行情况进行日常监控， 并处置突发事件； ——非授权工作人员或来访人员因工作需要需进入机房，必须经过申请、审批和登记，并由授权人 员授权专人全程陪同； ——电子设备或存储介质进出机房，须经审批并登记； ——机房需合理配置供电系统，提供足够的、持续的电源供给。如配备双回路供电系统（来自于不 同的变电站），可持续供电时间不低于 3 小时的 UPS 或发电机； 3.2.4 网络安全要求 移动支付交易的网络安全，包括通讯方式和生产网络安全，应满足以下相关要求： ——通讯方式 入网机构应用系统与移动支付业务联网通用环境下的系统之间的连接，应满足以下相关要求：  接入方式应使用：专线、基于专网的 MPLS 等；  使用基于 MPLS（Internet）的 IPSEC/SSL、 基于Internet 的MPLS、应充分考虑、接受相 关风险，并遵循相关安全要求；  禁止未建立安全通道直接通过 Internet 接入。 入网机构应用系统与受理终端之间的连接，应满足以下相关要求：  受理终端与入网机构应用系统之间的通讯，如需先经过商户的网络或系统，入网机构应对 敏感信息（主要有磁道信息、卡片验证码、个 人识别码（PIN）及卡片有效期）加密或督 促商户采取安全措施，确保移动支付账户敏感信息不被泄漏,防止支付指令被篡改；  受理终端采用 GPRS/CDMA 方式接入入网机构系统时需对敏感信息加密。 ——生产网络安全 入网机构涉及移动支付交易信息的网络（以下简称为生产网络），包括直接传输或处理移 动支付交易的系统和为移动支付交易提供支持服务的系统，但不包括受理终端，应满足以下相关要求：  接入转接清算系统的入网机构生产网络必须与不涉及移动支付交易信息的网络 （如办公网 络）逻辑隔离；  入网机构应对互联网接入本单位生产网络严格审批，如因业务需要必须接入，须在互联网 接入处布放防火墙和入侵检测（防御）设备等安全设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在发生的入侵事件；  应建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程，路由配置和防火 墙策略在每次变更后须及时归档； JR/T 0096.5—2012 3  定期对路由配置和防火墙策略进行检查， 对路由器和防火墙的事件日志、 入侵检测（防御） 设备的告警事件进行分析和处理；  对登录网络及网络安全设备的用