JR_T 0096.5-2012中国金融移动支付 联网联合 第5部分：入网管理规范.pdf

ICS35. 240. 40A 11JR中华人民共和国金融行业标准JR/T 0096.5—2012中国金融移动支付联网联合第5部分：入网管理规范China financial mobile payment—InteroperabilityPart 5: Specification for networked managemen布2012-12-12实施中国人民银行发布 JR/T 0096. 5—2012控制”的要求。3.2.8恶意代码防护以下是对入网机构在恶意代码防护方面的要求：需配备相应的人员负责恶查代防护工作的日常管理及维护，监控计算机系统恶意代码防护情况，定期察看恶意代码威胁日志，并对日志中的记求进行处理：一用户在装载外部介质上的数据和程序之前必须对外部介质进行扫插以防止病每。3.2.9运营管理要求以下是对入网机构生产网络或涉及移动支付处理的主机或应用系统的运营管理要求：一需制定信息系绕运行安全应意预案和应用系统安全应急认案，指定措关员工的责任，并定期进行演练：一应急预案需包括病毒感染、网络攻击、数据丢失或被改、业务连续性被破环等事件发生后的应急处置步骤；应急预案需进行定期查阅并更新，以保证反映业务的变动；一对每次应急处置需有书面记录，并事后总结并更新应急预案；需定期进行应急演练，并进行书面记录：涉及移动支付交易的应用系统数据需每日进行增量备份，定期进行全备份。备份的数据需定期进行同城异处存放；需定期进行各份数据恢复，以检验备份数据的有效性：一需将数据备份与恢复的策略和操作说明制定相关文档：重要的生产系统服务器需采用双机备份的设计，其所连接的磁盘降列需为亢余阵列：防火墙、路由器、交换机等网络设备均需有热备份，接入移动支付联网通用管理机构网络的通信线路需有备份，并且各份线路与主线路采用不同运营商提供的路由。4入网商户管理4.1商户分类商户是指为消费者提供商品及服务的商业企业、个人或机构，与支付机构或收单机构签有支付或收单服务协议。在移动支付联司通用环境下，商户、消费者，收单机构通亡移访支付与支付机构建立起支付关系。根据移动支付方式的不网，商户分为线上商户和线下商户，线上商户是指通过互联网、移动运营商通信网络、专用网络提供商品信息、并通过移动支付进行远程支付账务结算服务的商户，通常指网上商店。线下商户是指通过实体商店、互联网等多种方式提供商品值息，通过移动支付进行近场支付账务结算服务的商户，通常指实体商店。Z商户代码分配商户代码分配应遵循以下要求：一线上商户、线下商户在入网前，应向转接清算系统的运营方提交入网申请，明确商户的受理机构;受理机构签约商户，应调查了解商户的实际主营业务、业务范围和经营状况，确保商户经营信誉良好、财务状况稳定：5 JR/T 0096. 52012受理机构按照相关标准与规定为商户设定商户类别码（MC），设定的商户类别码必须与商户的主营业务保持一致。受理机构为商户选取并设置商户类别码时，建议采用如下步骤：步票1：确定特约商户所属的行业美别：步骤2：确定商户主营业务所提供的商品或服务的性质和类型；步骤3：确认所选商户类别码最恰当地播述了商户的业务范围和业务性质。如果某商户在所列的商户类别码中没有合适的匹配代码，受理机构则可为该商户设置相应的通用代码：受理机构按照相关标准与编码规则为商户分配商户代码，商户代码的编码长度需符合报文域42的要求。在同一报文中，或42商户代码包含的MCC应与域18填写的MOC保持匹配4.3线下商户管理对于线下商户，使用近场支付服务时，技术上要求按照受理终端及通讯网络提供方规定执行，并由其确保支付过程的安全性。4.4线上商户管理4.4.1基本安全要求线上商户通过支付内容平台向消费者提供商品或服务，本节描速支付内客平台与运程支付系统互联的基本安全要求。支付内容平台与选程支付系统互联可以划分为网络传输层、业务数据层及交易处理层。网络传输层是指信息系统之间的网络传输协议和数据的集合；业务数据层是指信息系统之间基于网络传输协议封装的业务和应用数据的集合。交易处理层是指在支付交易处理过程中，信息系统的处理过程集合。根据三个层面安全需求的不同，分别对其定义相应的安全要求。网络传输安全要求：主要基于目前己成熟、得到广泛应用的网络传输协议，规定了信总系统适用的网络协议的集合。业务数据安全要求：主要规定了业务数据在信息系统之间进行网络传输及存储的安全要求，包括业务数据的存储、传输、处理等。交易过程安全要求：主要规定了在交易过程中，各参与方在信息传递、交易交互及业务处理过程中的要求。4.4.2传输安全交易数据传输应满足以下安全要求：一应使用足够强度的加密算法和安全协议保护移动终端与远程支付系统之间的连接，且尽可能进行双向认证，例如可使用SSL/TLS或IPSEC等协议；如使