《网络支付服务数据安全规范》.docx

Q/LB.□XXXXX-XXXX

PAGE2

ICS

35.110

CCS

L80

团体标准

T/FORMTEXTZSXXXX—2024

网络支付服务数据安全规范

DataSecuritySpecificationforInternetPaymentServices

FORMDROPDOWN

FORMTEXT（征求意见稿）

FORMDROPDOWN

2024-xx-xx发布

2024-xx-xx实施

FORMTEXT浙江省产品与工程标准化协会??发布

STYLEREF标准文件_文件编号T/ZSXXXX—2024

PAGE

PAGE6

STYLEREF标准文件_文件编号T/ZSXXXX—2024

PAGE

PAGE4

网络支付服务数据安全规范

范围

本文件规定了网络支付服务数据安全的概述、基本要求、服务内容等内容。

本文件适用于网络支付服务数据的安全管理。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T35273-2020信息安全技术个人信息安全规范

GB/T37988信息安全技术数据安全能力成熟度模型

GB/T41391信息安全技术移动互联网应用（App）收集个人信息基本规范

GB/T41460非银行支付机构支付业务设施技术要求

GB/T41479信息安全技术网络数据处理安全规范

GB/T42015信息安全技术网络支付服务数据安全要求

JR/T0171个人金融信息保护技术规范

术语和定义

GB/T42015界定的以及下列术语和定义适用于本文件。

网络支付服务internetpaymentservice

收款方或付款方通过计算机、移动终端等电子设备，依托互联网远程传输支付指令完成直接或间接货币资金转移的经营活动。

网络支付服务平台internetpaymentserviceplatform

通过互联网网络为收款方和付款方提供网络支付服务，同网络支付服务账务平台交互完成资金划拨的信息系统。

网络支付服务账务平台internetpaymentserviceaccountingplatform

为网络支付服务提供账户管理、资金划拨、账务核算等服务的信息系统。

网络支付服务提供者internetpaymentserviceprovider

通过网络支付服务平台，提供网络支付服务的组织。

网络支付服务数据internetpaymentservicedata

网络支付服务提供者在开展网络支付服务过程中收集和产生的数据。

注：网络支付服务数据包括用户数据和业务数据，不包括网络支付服务提供者内部管理数据。

网络支付服务用户internetpaymentserviceuser

使用网络支付服务的个人或组织，包括收款方和付款方。

注：本文件中简称用户。

概述

网络支付服务业务功能主要包括用户注册/登录/注销、绑定银行卡、充值/提现、实名认证、生成支付订单、购汇/结汇、支付和对账结算等。

网络支付服务的相关方包括收款方、付款方、网络支付服务平台和网络支付服务提供者。其中，网络支付服务提供者运营网络支付服务平台，网络支付服务平台接收付款方的支付请求，将支付结果返回收款方，并与网络支付服务账务平台安全交互实现账务处理、完成网络支付服务。

网络支付服务数据应包括以下内容：

用户数据：网络支付服务提供者在提供网络支付服务过程中收集和产生的个人及组织用户数据，如个人自然信息、个人身份鉴别信息等；

业务数据：在网络支付服务业务开展过程中处理的用于保障业务正常运行的数据，如商户签约信息、支付结算信息等。

基本要求

业务管理合规性

网络支付服务数据处理活动应符合GB/T41479中规定的要求。

网络支付服务业务操作应符合中国人民银行关于《非银行支付机构网络支付业务管理办法》的相关规定。

应根据实际业务操作场景，制定网络支付服务业务的规范化流程，确保业务操作的安全性和合规性。

应制定与网络支付服务业务相关的商户管理规范。

数据安全性

个人信息处理活动应符合GB/T35273-2020中规定的要求，网络支付App个人信息收集活动应符合GB/T41391-2022及JR/T0171-2020中规定的要求。

网络支付服务提供者的数据安全能力至少符合GB/T37988三级能力要求。

网络支付服务平台应符合GB/T22