陸雨雷：條碼支付技術(shù)體系介紹

來源：中金網(wǎng)安

陸雨雷，8年網(wǎng)絡(luò)信息安全工作經(jīng)驗，目前專注于銀行業(yè)信息科技風險管理相關(guān)工作，同時具備政府、運營商行業(yè)信息安全經(jīng)驗，目前主導及參與了近50家國有銀行、全國股份制銀行、城商行的信息安全咨詢和評估工作，對銀行業(yè)務(wù)安全、合規(guī)管理、信息科技風險管理領(lǐng)域有著豐富的實踐經(jīng)驗。
—1條碼支付規(guī)范由來—
2017年12月央行發(fā)布了《中國人民銀行辦公廳關(guān)于加強條碼支付安全管理的通知》，在該文件中正式發(fā)布了《條碼支付安全技術(shù)規(guī)范（試行）》及《條碼支付受理終端技術(shù)規(guī)范（試行）》。同月央行還發(fā)布了《條碼支付業(yè)務(wù)規(guī)范（試行）》。通過上述3個規(guī)范的發(fā)布，針對條碼支付形成了較為全面的管理要求，既對技術(shù)提出了要求，同時又對業(yè)務(wù)提出了要求。
本文對《條碼支付安全技術(shù)規(guī)范（試行）》和《條碼支付受理終端技術(shù)規(guī)范（試行）》的內(nèi)容及體系進行了介紹。
—2條碼支付規(guī)范主要內(nèi)容簡述—
《條碼支付安全技術(shù)規(guī)范（試行）》中規(guī)定了系統(tǒng)安全、移動終端安全、受理終端安全及交易安全的安全技術(shù)要求。
《條碼支付受理終端技術(shù)規(guī)范（試行）》中規(guī)定了顯碼設(shè)備技術(shù)要求、掃描設(shè)備技術(shù)要求、安全性技術(shù)要求、適應性技術(shù)要求及可靠性技術(shù)要求。
兩規(guī)范主要的針對對象為銀行、非銀行支付機構(gòu)、清算機構(gòu)開展條碼支付業(yè)務(wù)時所需的：
軟硬件的設(shè)計、研發(fā)、集成和維護。
受理終端的設(shè)計、研發(fā)、維護和采購。
—3條碼支付安全體系概述—
《條碼支付安全技術(shù)規(guī)范（試行）》文中的系統(tǒng)安全中的物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全及部份恢復均參考GB/T 22239-20081中的三級系統(tǒng)安全要求。其中應用安全除了基本要求之外還增加了針對會話安全、常見攻擊防范的兩處安全要求。
《條碼支付安全技術(shù)規(guī)范（試行）》文中的移動終端安全包含了人機交互安全、客戶端軟件安全及通信安全三大板塊，其中人機交互安全又劃分為:身份驗證信息管理、交易異常處理。客戶端軟件安全又劃分為:數(shù)據(jù)有效性校驗、頁面回退清除敏感信息機制、反編譯、客戶端軟件完整性、運行時安全。通信安全又劃分為:網(wǎng)絡(luò)通訊協(xié)議、抗抵賴。
《條碼支付安全技術(shù)規(guī)范（試行）》文中的受理終端安全需符合銀發(fā)〔2017〕21號2的規(guī)定及《條碼支付受理終端技術(shù)規(guī)范（試行）》的相關(guān)要求。
《條碼支付安全技術(shù)規(guī)范（試行）》文中交易安全的基本安全要符合銀發(fā)〔2016〕170號3的規(guī)定及JR/T 01494中的相關(guān)要求。交易安全除了基本安全要求以外還包含了:碼制、數(shù)據(jù)錄入、數(shù)據(jù)訪問、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、條碼生成、條碼識讀與解析、交易驗證與確認、交易風險控制及交易過程安全共計11大板塊。其中的條碼生成又劃分為:基本要求、收款掃碼、付款掃碼。交易過程安全又可以劃分為:交易報文安全（銀辦發(fā)〔2016〕222號）5、風險識別與干預、交易監(jiān)控、客戶與商戶教育。
條碼支付安全技術(shù)規(guī)范（試行）架構(gòu)
圖1條碼支付安全技術(shù)規(guī)范（試行）架構(gòu)
—3條碼支付受理終端技術(shù)體系概述—
《條碼支付受理終端技術(shù)規(guī)范（試行）》中的顯碼設(shè)備技術(shù)要求主要包括了:數(shù)據(jù)要求、條碼表現(xiàn)要求。其中數(shù)據(jù)要求又可以劃分為:正確性、規(guī)范性、碼制。條碼表現(xiàn)要求又可以劃分為:外形、顏色、介質(zhì)、精度。
《條碼支付受理終端技術(shù)規(guī)范（試行）》中的掃描設(shè)備技術(shù)要求主要包括了:數(shù)據(jù)要求、性能要求。其中數(shù)據(jù)要求又可以劃分為:準確性、規(guī)范性（GB 18030—2005）6。性能要求又可以劃分為:精度、識別速度、出錯率。
《條碼支付受理終端技術(shù)規(guī)范（試行）》中的安全性技術(shù)要求應符合《條碼支付安全技術(shù)規(guī)范（試行）》中的相關(guān)要求，在PIN輸入設(shè)備中應符合JR/T 0120.57，受理終端應符合JR/T 0120.1、JR/T 0120.2等的相關(guān)要求。涉及支付敏感信息的還應符合銀發(fā)〔2016〕170號的要求8。
《條碼支付受理終端技術(shù)規(guī)范（試行）》中的適應性技術(shù)要求主要包括了:電源適應能力、接口、環(huán)境適應性及可靠性技術(shù)。其中的環(huán)境適應性要求又可以劃分為:氣候環(huán)境適應性、光照環(huán)境適應性。
《條碼支付受理終端技術(shù)規(guī)范（試行）》中的可靠性技術(shù)要求主要是對無故障工作時間來衡量產(chǎn)品的可靠性，并要求無故障工作時間不少于15000小時。
圖2條碼支付受理終端技術(shù)規(guī)范（試行）架構(gòu)
圖2條碼支付受理終端技術(shù)規(guī)范（試行）架構(gòu)
—4參考文獻—
1 GB/T 22239—2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求
2銀發(fā)〔2017〕21號中國人民銀行關(guān)于強化銀行卡受理終端安全管理的通知
3銀發(fā)〔2016〕170號中國人民銀行關(guān)于進一步加強銀行卡風險管理的通知
4 JR/T 0149—2016中國金融移動支付支付標記化技術(shù)規(guī)范
5銀辦發(fā)〔2016〕222號中國人民銀行辦公廳關(guān)于印發(fā)《網(wǎng)絡(luò)支付報文結(jié)構(gòu)及要素技術(shù)規(guī)范（V1.0）》的通知
6 GB18030—2005信息技術(shù)中文編碼字符集
7 JR/T 0120—2016銀行卡受理終端安全規(guī)范
8銀發(fā)〔2016〕170號中國人民銀行關(guān)于進一步加強銀行卡風險管理的通知.

昆明方象專業(yè)為您提供校園一卡通，一卡通系統(tǒng)，餐飲軟件，餐飲系統(tǒng)，電子標簽，收銀軟件，收銀系統(tǒng)，條碼設(shè)備，收款機，RFID讀寫器，公司管理軟件廣泛應用于零售超市、餐飲酒店、生產(chǎn)制造、教育醫(yī)療、機關(guān)學校、企事業(yè)單位辦公、倉儲、金融和物流等領(lǐng)域，聯(lián)系電話:400-0871-488。