银联二维码安全规范

条码支付业务规范第一章总则第一条为规范线下条码(二维码)支付(以下简称条码支付)业务经营行为，保护会员单位及消费者合法权益，促进条码支付业务健康发展，根据《电子支付指引(第一号)》、《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》等规定，制定本规范。

第二条本规范所称条码支付业务是指会员单位应用条码技术，向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。

条码支付业务包括付款扫码和收款扫码。

付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为。

收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为。

第三条会员单位开展条码支付业务应遵循本规范。

会员单位开展条码支付业务应遵循依法合规、平等竞争、诚实守信、安全效率、合作共赢的基本原则。

第四条会员单位开展条码支付业务应取得相应的业务资质，并按照监管部门相关业务管理办法规范开展业务，加强风险防范，保障支付安全。

第五条会员单位开展条码支付业务应遵守客户实名制管理规定。

第六条会员单位开展条码支付业务应遵守反洗钱法律法规要求，履行反洗钱和反恐怖融资义务。

第七条会员单位应依法维护客户及相关主体的合法权益，采取有效措施切实保护消费者利益。

第八条会员单位应自觉遵守商业道德，不得以任何形式诋毁其他会员单位的商业信誉，不得利用任何不正当手段损害其他会员单位利益、干预或影响正常市场秩序。

第九条会员单位应遵守监管部门发布的相关技术标准与规范要求，包括但不限于《网上银行系统信息安全通用规范》( JR/T 0068-2012)、《中国金融移动支付技术标准》(JR/T 0088-0098 2012)系列标准、《非金融机构支付业务设施技术要求》( JR/T 0122-2014)等，以及中国支付清算协会(以下简称“协会’’)发布的《条码支付技术安全指引》和《条码支付受理终端技术指引》相关要求，保障条码支付业务的交易安全和信息安全。

#### 第一章总则第一条为确保我国银行卡联网通用系统（以下简称“银联系统”）的安全稳定运行，保护持卡人、发卡机构、收单机构及银联系统的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，结合银联系统实际情况，特制定本制度。

第二条本制度适用于银联系统各参与机构，包括但不限于发卡机构、收单机构、银联公司及其下属分支机构。

#### 第二章组织架构与职责第三条银联公司设立信息安全管理部门，负责统筹规划、组织协调、监督指导银联系统信息安全工作。

第四条信息安全管理部门的主要职责：1. 制定和实施银联系统信息安全管理制度；2. 监督各参与机构落实信息安全措施；3. 开展信息安全风险评估和应急响应；4. 组织信息安全培训与宣传；5. 协调解决信息安全事件。

第五条各参与机构应设立信息安全管理部门或指定专人负责信息安全工作，其主要职责包括：1. 落实银联系统信息安全管理制度；2. 加强信息系统安全管理；3. 组织信息安全培训；4. 及时报告和处置信息安全事件。

#### 第三章信息安全措施第六条信息系统安全1. 银联系统应采用符合国家标准的信息安全技术和产品，确保信息系统安全稳定运行；2. 信息系统应定期进行安全检查和漏洞扫描，及时修复漏洞；3. 信息系统应建立完善的访问控制机制，确保只有授权用户才能访问系统；4. 信息系统应采用数据加密、身份认证等技术，保障数据传输和存储安全。

第七条数据安全1. 银联系统应建立数据安全管理制度，明确数据分类、分级和安全管理要求；2. 对敏感信息进行加密存储和传输，确保数据安全；3. 定期对数据进行备份，防止数据丢失；4. 加强数据访问控制，防止未经授权的数据泄露。

第八条个人信息安全1. 银联系统应严格遵守《中华人民共和国个人信息保护法》，确保个人信息安全；2. 对个人信息进行脱敏处理，避免个人信息泄露；3. 加强个人信息收集、存储、使用、传输和销毁等环节的管理；4. 对个人信息安全事件进行及时报告和处置。

中国银联股份有限公司2016-12 发布2017-XX 实施发布修订说明Q/CUP 008-2006目次修订说明 (I)前言 (III)中国银联二维码支付产品移动应用（APP）接入安全与检测指南 (4)1 范围 (4)2 适用对象 (4)3 规范性引用文件 (4)4 术语和定义 (4)5 APP软、硬件要求 (4)5.1硬件设备 (4)5.2软件设计 (4)6 安全要求 (4)6.1软件安全要求 (4)6.2信息安全 (5)6.3管理安全 (5)6.4风控要素采集上送要求 (5)7 应用服务方安全检测要求 (7)7.1概述 (7)7.2主要检测内容 (7)7.3检测列表 (9)7.4认证流程 (9)7.5检测周期及费用 (9)8 应用服务方入网流程及要求 (9)8.1应用服务方入网资质要求 (9)8.2应用服务方接入流程 (9)附录 A 应用软件APP检测列表 (10)A.1 软件安全测试要求 (10)A.2 交互及UI测试要求 (15)附录 B TEE可信执行环境 (18)B.1 软件安全要求 (18)B.2 检测要求 (18)前言本指引以《中国银联二维码支付安全规范》（QCUP067-2016）、《中国银联二维码支付应用规范》（QCUP 053-2016）、《银联卡消费类二维码业务指引》等为基础，根据中国银联二维码产品方案的要求，对接入银联二维码网络、开展银联二维码业务的应用APP进行了规定，包括软硬件要求、安全要求、入网指引、检测要求等内容。

本指引由中国银联股份有限公司提出并组织制定。

中国银联二维码支付产品移动应用（APP）接入安全与检测指南1 范围本指引对接入银联二维码网络、开展银联二维码业务的移动应用（以下简称APP）进行了规定，包括软硬件要求、安全要求、检测要求、入网指引等内容。

本指引涉及的APP要求仅针对持卡人使用侧，其他情况（例如商户侧等）不在本指引规定范围。

2 适用对象本指引适用于加入银联网络开展二维码支付业务并提供移动应用（以下简称APP）的应用服务方。

银行条码支付业务规范（试行）第一章总则第一条为规范条码（二维码）支付（以下简称条码支付）业务，保护消费者合法权益，促进条码支付业务健康发展，根据《电子支付指引(第一号)》（中国人民银行公告〔2005〕第23号公布）、《非金融机构支付服务管理办法》（中国人民银行公告〔2010〕第2号公布）、《银行卡收单业务管理办法》（中国人民银行公告〔2013〕第9号公布）、《非银行支付机构网络支付业务管理办法》（中国人民银行公告〔2015〕第43号公布）等规定，制定本规范。

第二条本规范所称条码支付业务是指银行业金融机构（以下简称银行）、非银行支付机构（以下简称支付机构）应用条码技术，实现收付款人之间货币资金转移的业务活动。

条码支付业务包括付款扫码和收款扫码。

付款扫码是指付款人通过移动终端识读收款人展示的条码完成支付的行为。

收款扫码是指收款人通过识读付款人移动终端展示的条码完成支付的行为。

第三条银行、支付机构开展条码支付业务应遵循本规范。

第四条支付机构开展条码支付业务，应按规定取得相应的业务许可,并按相应管理办法规范开展业务。

第五条支付机构不得基于条码技术，从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

第六条银行、支付机构开展条码支付业务应遵守客户实名制管理规定；遵守反洗钱法律法规要求，履行反洗钱和反恐怖融资义务；依法维护客户及相关主体的合法权益。

第七条银行、支付机构应自觉遵守商业道德，不得以任何形式诋毁其他市场主体的商业信誉，不得采用不正当竞争手段排挤竞争对手、损害其他市场主体利益，破坏市场公平竞争秩序。

第八条银行、支付机构应遵守中国人民银行发布的相关技术标准与规范要求，保证条码支付业务的交易安全和信息安全。

第二章条码生成和受理第九条银行、支付机构开展条码支付业务，应将客户用于生成条码的银行账户或支付账户、身份证件号码、手机号码进行关联管理。

第十条银行、支付机构开展条码支付业务,可以组合选用下列三种要素，对客户条码支付交易进行验证：（一）仅客户本人知悉的要素，如静态密码等；（二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；（三）客户本人生物特征要素，如指纹等。

收款机的使用安全规范本收款机（或称POS机）作为一种重要的电子设备，广泛用于各种商业场所。

为了确保使用安全和保护用户利益，有必要建立一套收款机使用安全规范，以下就是该规范的主要内容。

一、收款机操作规范1. 收款机只能由受训人员按照相应操作流程进行操作，未经授权人员严禁使用。

2. 在操作收款机之前，确保收款机处于正常开机状态，并检查连接是否正常。

3. 操作人员应按照界面提示进行相关操作，避免随意点击或误操作造成系统异常。

4. 禁止将个人密码、银行卡号等敏感信息输入到收款机中，防止个人信息泄露。

5. 结算前应核对商品信息、价格、数量等是否准确无误，确保收到正确的款项。

二、收款机安全设置规范1. 设置收款机登录密码，并定期更换密码，切勿使用与其他账户相同的密码。

2. 收款机操作系统应定期升级，以及安装及时发布的安全补丁，确保系统安全性。

3. 禁止使用非法软件或未授权的第三方应用程序，以防止系统被恶意病毒侵袭。

4. 定期备份收款机数据，确保数据的完整性和安全性，以便在需要时进行恢复。

三、收款机网络安全规范1. 收款机网络连接需使用安全加密的无线网络，禁止使用公共无线网络，以防信息被窃取。

2. 避免在收款机上浏览或下载未知来源的网页或文件，以防感染恶意软件。

3. 定期检查网络防火墙设置，确保收款机网络安全性，并及时处理异常情况。

四、收款机维护和保养规范1. 收款机应摆放在安全可靠、通风良好且不易受潮的地方，避免受到物理损坏。

2. 定期清洁收款机外壳、显示屏和按键，避免灰尘、湿气等影响正常使用。

3. 定期维护收款机硬件设备，包括检查打印机和扫描器的工作状态，并保持设备升级。

五、收款机安全应急响应规范1. 发现收款机异常情况，如无法打印小票、无法连接网络等，应立即停止使用，并报告管理员。

2. 在发生安全事件或信息泄露时，应及时采取行动，并上报安全主管或相关机构。

3. 针对安全事件进行调查和分析，及时采取修复措施，并报备有关部门。

附件：银联卡账户信息与交易数据安全管理规则（经中国银联第一届风险管理委员会第二次会议审议通过）二○○四年十一月第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理，保障成员机构及持卡人利益，防止账户信息与交易数据的丢失和泄漏，避免由此带来的欺诈风险，特制定本规则。

1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则，确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性，防止数据遭到篡改、泄漏和破坏。

1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。

其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构，也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。

1.4 定义1.4.1账户信息账户信息是指银联卡（包括银联标识卡和银联标准卡）上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。

记录在银联卡上的信息包括：卡号、卡片有效期、磁条信息、卡片验证码。

与银联卡交易相关的用户身份验证信息包括：网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。

1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据，数据内容视业务不同而有所不同。

基本内容包括：卡号、密码、磁条信息、有效期、卡片验证码。

第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况，一旦发现问题，可向中国银联风险管理委员会报告。

各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的，可通过中国银联风险管理委员会向该机构申请损失赔偿。

2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查，并向中国银联提供自查结果等书面报告，证明本机构已按照规定的程序实施了自查。