【正文】 外包商應(yīng)建立質(zhì)量管理體系和安全管理體系。190。 外包內(nèi)容應(yīng)符合法律法規(guī)的要求；190。 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。 應(yīng)安全保存時(shí)間戳及相關(guān)信息，確保數(shù)據(jù)的可審計(jì)性，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)處理的抗抵賴性。 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中； 190。3) 安全審計(jì)190。4) 網(wǎng)絡(luò)設(shè)備防護(hù)190。 報(bào)文設(shè)計(jì)符合《基于INTERNET網(wǎng)上支付報(bào)文結(jié)構(gòu)及要素》、具有符合要求的主要數(shù)據(jù)項(xiàng)；190?！?移動(dòng)支付（遠(yuǎn)程支付）系統(tǒng)要求　 基本要求移動(dòng)支付（遠(yuǎn)程支付）系統(tǒng)應(yīng)在系統(tǒng)功能、風(fēng)險(xiǎn)監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包管理方面符合技術(shù)標(biāo)準(zhǔn)要求和管理要求，基本要求參見(jiàn)附件《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)基本要求_遠(yuǎn)程移動(dòng)支付部分》。2) 設(shè)備管理190。 應(yīng)提供自動(dòng)恢復(fù)功能，當(dāng)故障發(fā)生時(shí)立即自動(dòng)啟動(dòng)新的進(jìn)程，恢復(fù)原來(lái)的工作狀態(tài)。 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，其中一種是不可偽造的2) 使用數(shù)據(jù)證書(shū)190。 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2) 網(wǎng)絡(luò)安全審計(jì)190。 包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或安全重寫(xiě)；190。 應(yīng)通過(guò)自動(dòng)化工具（如弱點(diǎn)掃描工具、靜態(tài)代碼審查工具等）對(duì)應(yīng)用程序進(jìn)行檢查；7) 可信時(shí)間戳服務(wù)190。3) 安全審計(jì)190。 在系統(tǒng)對(duì)用戶進(jìn)行身份鑒別時(shí)，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息傳輸路徑。 應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)，時(shí)鐘保持與時(shí)鐘服務(wù)器同步。4) 變更管理190。（4） 運(yùn)維安全1) 環(huán)境管理190。 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)。 網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少應(yīng)有一種是不可偽造的；（2） 主機(jī)安全1) 身份鑒別190?！?預(yù)付卡的發(fā)行與受理系統(tǒng)要求　 基本要求預(yù)付卡的發(fā)行與受理系統(tǒng)應(yīng)在系統(tǒng)功能、風(fēng)險(xiǎn)監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包管理方面符合技術(shù)標(biāo)準(zhǔn)要求和管理要求，基本要求參見(jiàn)附件《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)基本要求_ 預(yù)付卡部分》。2) 設(shè)備管理190。 應(yīng)提供自動(dòng)恢復(fù)功能，當(dāng)故障發(fā)生時(shí)立即自動(dòng)啟動(dòng)新的進(jìn)程，恢復(fù)原來(lái)的工作狀態(tài)。 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，其中一種是不可偽造的2) 使用數(shù)據(jù)證書(shū)190。 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2) 網(wǎng)絡(luò)安全審計(jì)190。 交易模型及流程設(shè)計(jì)符合《基于INTERNET的網(wǎng)上支付交易模型及流程》、。增強(qiáng)指標(biāo)要求高于當(dāng)前的平均水平，使得技術(shù)規(guī)范能夠在比較長(zhǎng)的一段時(shí)間內(nèi)適用。遠(yuǎn)程支付是指移動(dòng)終端本身使用短信SMS、WAP、客戶端軟件、語(yǔ)音IVR等方式，通過(guò)無(wú)線網(wǎng)絡(luò)和支付服務(wù)系統(tǒng)主機(jī)連接，實(shí)現(xiàn)交易的方式，在這種方式下，移動(dòng)終端被當(dāng)做支付終端來(lái)使用。本技術(shù)規(guī)范適用于對(duì)非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)評(píng)估依據(jù)，可作為對(duì)非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)進(jìn)行管理、檢查、認(rèn)證的技術(shù)性規(guī)范，也可作為非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)提供者改進(jìn)自身能力的指導(dǎo)依據(jù)?！?銀行卡收單是指通過(guò)銷售點(diǎn)（POS）終端等為銀行卡特約商戶代收貨幣資金的行為?！?定義　 基本要求是對(duì)非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)的強(qiáng)制性要求。6 技術(shù)要求　 互聯(lián)網(wǎng)支付系統(tǒng)要求　 基本要求互聯(lián)網(wǎng)支付系統(tǒng)應(yīng)在系統(tǒng)功能、風(fēng)險(xiǎn)監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包管理方面符合技術(shù)標(biāo)準(zhǔn)要求和管理要求，基本要求參見(jiàn)附件《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)基本要求_互聯(lián)網(wǎng)支付部分》。 報(bào)文設(shè)計(jì)符合《基于INTERNET網(wǎng)上支付報(bào)文結(jié)構(gòu)及要素》、具有符合要求的主要數(shù)據(jù)項(xiàng)；190。4) 網(wǎng)絡(luò)設(shè)備防護(hù)190。3) 安全審計(jì)190。 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中； 190。 應(yīng)安全保存時(shí)間戳及相關(guān)信息，確保數(shù)據(jù)的可審計(jì)性，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)處理的抗抵賴性。 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。3) 網(wǎng)絡(luò)入侵防范190。 190。 應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計(jì)接口。 本地時(shí)間應(yīng)從國(guó)家權(quán)威時(shí)間源采時(shí)，保證時(shí)間的同一性；190。 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。 報(bào)文設(shè)計(jì)符合《電子支付文件數(shù)據(jù)格式》，具有符合要求的主要數(shù)據(jù)項(xiàng)　 安全性要求（1） 網(wǎng)絡(luò)安全1) 網(wǎng)絡(luò)結(jié)構(gòu)安全190。 應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問(wèn)可能導(dǎo)致的后果；190。（3） 應(yīng)用安全1) 身份鑒別190。5) 應(yīng)用容錯(cuò)190。 開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。 應(yīng)建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則，并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。4) 網(wǎng)絡(luò)設(shè)備防護(hù)190。3) 安全審計(jì)190。 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中； 190。 應(yīng)安全保存時(shí)間戳及相關(guān)信息，確保數(shù)據(jù)的可審計(jì)性，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)處理的抗抵賴性。 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。 報(bào)文設(shè)計(jì)符合《基于INTERNET網(wǎng)上支付報(bào)文結(jié)構(gòu)及要素》、具有符合要求的主要數(shù)據(jù)項(xiàng)；190。 應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)，時(shí)鐘保持與時(shí)鐘服務(wù)器同步。 在系統(tǒng)對(duì)用戶進(jìn)行身份鑒別時(shí)，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息傳輸路徑。3) 安全審計(jì)190。 應(yīng)通過(guò)自動(dòng)化工具（如弱點(diǎn)掃描工具、靜態(tài)代碼審查工具等）對(duì)應(yīng)用程序進(jìn)行檢查；7) 可信時(shí)間戳服務(wù)190。 包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或安全重寫(xiě)；190。其中，基礎(chǔ)設(shè)施運(yùn)維服務(wù)是指對(duì)IT基礎(chǔ)設(shè)施進(jìn)行監(jiān)視、日常維護(hù)和維修保障；基礎(chǔ)設(shè)施運(yùn)維服務(wù)包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、存儲(chǔ)/備份系統(tǒng)、安全系統(tǒng)等；應(yīng)用系統(tǒng)運(yùn)維服務(wù)是指對(duì)應(yīng)用系統(tǒng)進(jìn)行維護(hù)及改進(jìn)。 應(yīng)在合同中設(shè)定條款要求外包服務(wù)提供方提供的外包服務(wù)符合本規(guī)范要求；190。 應(yīng)制訂詳細(xì)的外包交付清單，并對(duì)外包相關(guān)人員進(jìn)行業(yè)務(wù)培訓(xùn)，保障順利交付外包內(nèi)容；190。92附 錄 A（規(guī)范性附錄）審查項(xiàng)列表編號(hào)審查項(xiàng)審查說(shuō)明1客戶管理（1） 客戶信息登記及管理必備項(xiàng)（2） 商業(yè)銀行管理（3） 客戶證書(shū)頒發(fā)（4） 客戶審核必備項(xiàng)2賬戶管理（1） 客戶賬戶管理必備項(xiàng)（2） 客戶賬戶管理審核（3） 客戶賬戶查詢必備項(xiàng)（4） 客戶賬戶資金調(diào)撥及歸集（5） 客戶賬戶資金審核3交易處理（1） 一般支付一般支付類必備項(xiàng)（2） 擔(dān)保支付擔(dān)保支付類必備項(xiàng)（3） 協(xié)議支付協(xié)議支付類必備項(xiàng)（4） 支付撤銷必備項(xiàng)（5） 轉(zhuǎn)賬（6） 預(yù)存（7） 提現(xiàn)（8） 積分查詢（9） 積分兌換（10） 積分兌換撤銷（11） 交易糾紛處理（12） 交易明細(xì)查詢必備項(xiàng)（13） 交易明細(xì)下載（14） 邀請(qǐng)其他人代付4資金結(jié)算（1） 客戶結(jié)算必備項(xiàng)5對(duì)賬處理（1） 商戶發(fā)送對(duì)賬請(qǐng)求（2） 商戶下載對(duì)賬文件6差錯(cuò)處理（1） 長(zhǎng)款/短款處理必備項(xiàng)（2） 單筆退款必備項(xiàng)（3） 批量退款7統(tǒng)計(jì)報(bào)表（1） 業(yè)務(wù)類報(bào)表必備項(xiàng)（2） 運(yùn)行管理類報(bào)表必備項(xiàng)8運(yùn)營(yíng)管理（1） 運(yùn)營(yíng)人員權(quán)限管理必備項(xiàng)（2） 提現(xiàn)風(fēng)控處理（3） 提現(xiàn)財(cái)務(wù)處理（4） 退款風(fēng)控處理（5） 退款財(cái)務(wù)處理編號(hào)審查項(xiàng)審查說(shuō)明1賬戶風(fēng)險(xiǎn)管理（1） 多種用戶身份鑒別方式必備項(xiàng)（2） 甄別可疑交易必備項(xiàng)（3） 監(jiān)控規(guī)則管理必備項(xiàng)2交易監(jiān)控（1） 當(dāng)日交易查詢必備項(xiàng)（2） 歷史交易查詢必備項(xiàng)（3） 實(shí)時(shí)交易監(jiān)控必備項(xiàng)（4） 異常交易監(jiān)控必備項(xiàng)（5） 交易事件報(bào)警必備項(xiàng)（6） 系統(tǒng)自動(dòng)審核必備項(xiàng)3交易審核（1） 人工審核必備項(xiàng)（2） 風(fēng)控規(guī)則管理必備項(xiàng)4風(fēng)控規(guī)則（1） 黑名單必備項(xiàng)（2） 風(fēng)險(xiǎn)識(shí)別必備項(xiàng)（3） 事件管理必備項(xiàng)（4） 風(fēng)險(xiǎn)報(bào)表必備項(xiàng)編號(hào)審查項(xiàng)審查說(shuō)明1支付必備項(xiàng)2預(yù)存3轉(zhuǎn)賬4交易明細(xì)查詢必備項(xiàng)5日終批處理（1) 網(wǎng)絡(luò)安全性編號(hào)審查項(xiàng)審查說(shuō)明1結(jié)構(gòu)安全（1） 網(wǎng)絡(luò)冗余和備份（2） 網(wǎng)絡(luò)安全路由器（3） 網(wǎng)絡(luò)安全防火墻（4） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（5） IP子網(wǎng)劃分（6） QoS保證必備項(xiàng)2網(wǎng)絡(luò)訪問(wèn)控制（1） 網(wǎng)絡(luò)域安全隔離和限制（2） 地址轉(zhuǎn)換和綁定（3） 內(nèi)容過(guò)濾（4） 訪問(wèn)控制（5） 流量控制（6） 會(huì)話控制（7） 遠(yuǎn)程撥號(hào)訪問(wèn)控制和記錄必備項(xiàng)3網(wǎng)絡(luò)安全審計(jì)（1） 日志信息（2） 網(wǎng)絡(luò)系統(tǒng)故障分析（3） 網(wǎng)絡(luò)對(duì)象操作審計(jì)（4） 日志權(quán)限和保護(hù)（5） 審計(jì)工具必備項(xiàng)4邊界完整性檢查（1） 內(nèi)外網(wǎng)非法連接阻斷和定位必備項(xiàng)5網(wǎng)絡(luò)入侵防范（1） 網(wǎng)絡(luò)ARP欺騙攻擊（2） 信息竊?。?） DOS/DDOS攻擊（4） 網(wǎng)絡(luò)入侵防范機(jī)制必備項(xiàng)6惡意代碼防范（1） 惡意代碼防范措施（2） 定時(shí)更新必備項(xiàng)7網(wǎng)絡(luò)設(shè)備防護(hù)（1） 設(shè)備登錄設(shè)置（2） 設(shè)備登錄口令安全性（3） 登錄地址限制（4） 遠(yuǎn)程管理安全（5） 設(shè)備用戶設(shè)置策略（6） 權(quán)限分離（7） 最小化服務(wù)必備項(xiàng)8網(wǎng)絡(luò)安全管理（1） 網(wǎng)絡(luò)設(shè)備運(yùn)維手冊(cè)（2） 定期補(bǔ)丁安裝（3） 漏洞掃描（4） 網(wǎng)絡(luò)數(shù)據(jù)傳輸加密必備項(xiàng)9網(wǎng)絡(luò)相關(guān)人員安全管理（1） 網(wǎng)絡(luò)安全管理人員配備（2） 網(wǎng)絡(luò)安全管理人員責(zé)任劃分規(guī)則（3） 網(wǎng)絡(luò)安全關(guān)鍵崗位人員管理必備項(xiàng)（2) 主機(jī)安全性編號(hào)審查項(xiàng)審查說(shuō)明1身份鑒別（1） 系統(tǒng)與應(yīng)用管理員用戶設(shè)置（2） 系統(tǒng)與應(yīng)用管理員口令安全性（3） 登錄策略必備項(xiàng)2訪問(wèn)控制（1） 訪問(wèn)控制范圍（2） 主機(jī)信任關(guān)系（3） 默認(rèn)過(guò)期用戶必備項(xiàng)3安全審計(jì)（1） 日志信息（2） 日志權(quán)限和保護(hù)（3） 系統(tǒng)信息分析（4） 用戶操作審計(jì)必備項(xiàng)4系統(tǒng)保護(hù)（1） 系統(tǒng)備份（2） 故障恢復(fù)策略（3） 磁盤空間安全（4） 主機(jī)安全加固必備項(xiàng)5剩余信息保護(hù)（1） 過(guò)期信息、文檔處理必備項(xiàng)6入侵防范（1） 入侵防范記錄（2） 關(guān)閉服務(wù)和端口（3） 最小安裝原則必備項(xiàng)7惡意代碼防范（1） 防范軟件安裝部署（2） 病毒庫(kù)定時(shí)更新（3） 防范軟件統(tǒng)一管理必備項(xiàng)8資源控制（1） 連接控制（2） 資源監(jiān)控和預(yù)警必備項(xiàng)9主機(jī)安全管理（1） 主機(jī)運(yùn)維手冊(cè)（2） 漏洞掃描（3） 系統(tǒng)補(bǔ)?。?） 操作日志管理必備項(xiàng)10主機(jī)相關(guān)人員安全管理（1） 主機(jī)安全管理人員配備（2） 主機(jī)安全管理人員責(zé)任劃分規(guī)則（3） 主機(jī)安全關(guān)鍵崗位人員管理必備項(xiàng)（3) 應(yīng)用安全性編號(hào)審查項(xiàng)審查說(shuō)明1身份鑒別（1） 系統(tǒng)與普通用戶設(shè)置（2） 系統(tǒng)與普通用戶口令安全性（3） 登錄訪問(wèn)安全策略（4） 非法訪問(wèn)警示和記錄（5） 客戶端鑒別信息安全（6） 口令有效期限制（7） 限制認(rèn)證會(huì)話時(shí)間（8） 身份標(biāo)識(shí)唯一性（9） 及時(shí)清除鑒別信息必備項(xiàng)2WEB頁(yè)面安全（1） 登錄防窮舉（2） 安全控件（3） 使用數(shù)字證書(shū)（4） 獨(dú)立的支付密碼（5） 網(wǎng)站頁(yè)面SQL注入防范（6） 網(wǎng)站頁(yè)面跨站腳本攻擊防范（7） 網(wǎng)站頁(yè)面源代碼暴露防范（8） 網(wǎng)站頁(yè)面黑客掛馬防范（9） 網(wǎng)站頁(yè)面防篡改措施（10） 網(wǎng)站頁(yè)面防釣魚(yú)（11） 工商局ICP備案必備項(xiàng)3訪問(wèn)控制（1） 訪問(wèn)權(quán)限設(shè)置（2） 自主訪問(wèn)控制范圍（3） 業(yè)務(wù)操作日志（4） 關(guān)鍵數(shù)據(jù)存放（5） 異常中斷防護(hù)（6） 數(shù)據(jù)庫(kù)安全配置必備項(xiàng)4安全審計(jì)（1） 日志信息（2） 日志權(quán)限和保護(hù)（3） 系統(tǒng)信息查詢與分析（4） 對(duì)象操作審計(jì)（5） 審計(jì)工具（6） 事件報(bào)警必備項(xiàng)5剩余信息保護(hù)（1） 過(guò)期信息、文檔處理必備項(xiàng)6資源控制（1） 連接控制（2） 會(huì)話控制（3） 進(jìn)程資源分配（4） 資源審查預(yù)警必備項(xiàng)7應(yīng)用容錯(cuò)（1） 數(shù)據(jù)有效性校驗(yàn)（2） 容錯(cuò)機(jī)制（3） 故障機(jī)制（4） 回退機(jī)制必備項(xiàng)8報(bào)文完整性（1） 通信報(bào)文有效性必備項(xiàng)9報(bào)文保密性（1） 報(bào)文或會(huì)話加密必備項(xiàng)10抗抵賴（1） 原發(fā)和接收證據(jù)必備項(xiàng)11編碼安全（1） 源代碼審查（2） 插件安全性審查（3） 編碼規(guī)范約束（4） 源代碼管理（5） 版