条码支付
2020-02-08 22:05:07 0 举报AI智能生成
条码支付相关知识全系统讲解
作者其他创作
大纲/内容
业务
付款扫码
概念:付款人通过移动终端识别收款人展示的条码的行为
业务应用场景:互联网支付,移动远程支付,预付卡发行与受理
基本要求
采用显码设备展示条码
条码应加密、动态生成
条码应实时生成或者从后台服务器获取
限制一次性使用
采用静态条码
条码应由后台服务器加密生成
宜采用防伪纸张展示条码
展示条码的介质应防止在商户收银员的视线范围内,并采用防护罩等物理手段,避免条码被覆盖或替换;商户应定期对介质进行检查;宜采用防伪封签对防护罩等物理手段进行标记,及时发现物理防护手段被人为破坏
应在介质显著位置明显展示收款人信息,便于客户核对信息
收款扫码
概念:收款人通过识读付款人移动终端所展示的条码的行为
业务应用场景:互联网支付,移动远程支付,预付卡发行与受理,银行卡收单,移动近场支付
生成方式
服务器端生成条码:移动终端实时获取和移动终端批量获取(额外要求)
移动终端客户端软件从后台服务器批量获取预生成的条码应以安全的方式在移动终端上保存
保存的条码应与移动终端的唯一标识绑定
预生成的条码应定期更换,更换周期宜小于24小时
采取密码技术对预生成的条码进行保护
从后台服务器获取条码时,后台服务器应对客户端软件进行身份验证
移动终端生成条码:安全单元加密动态生成、客户端软件通过生成因子加密动态生成(额外要求)
移动终端客户端软件应从后台服务器获取条码生成因子,以安全的方式保存,并通过生成因子加密动态生成条码
条码生成因子与移动终端的唯一标识信息绑定
条码生成因子应定期进行更换,时间宜小于7天
采用密码技术对生成因子进行保护
基本要求
展示条码的客户端应先进行身份验证
条码应限制一次使用且展示周期原则上应该小于一分钟
应采取有效措施防止展示条码被截屏等方式获取
应采用加密方式生成条码
类型
条形码
聚合码
静态条码
动态条码
业务模式
支付机构
聚合机构
相关标准
中国人民银行
《条码支付受理终端技术规范》
《条码 支付安全技术规范》
《聚合支付安全技术规范》征求意见稿
中国人民银行办公厅关于加强 条码支付安全管理的通知
中国银联
《条码支付业务规范》
《中国银联二维码支付安全标准》
《中国银联二维码支付应用标准》
EMVCO
《EMVCO_Consumer_Presented_QR_Specification》
《EMVCO_Merchant_Presented_QR_Specification》
条码基本要求
应使用支付标记技术对支付账号、银行卡卡号等信息进行脱敏处理
应保证生成条码软硬件的安全性,防止生成的条码携带病毒、木马等恶意代码
应根据风控能力,严格限制条码使用有效期
应采取有效措施,确定条码的真实性、完整性、一致性和不可完整性
身份验证要素
仅客户本人知悉的要素
静态密码
仅客户本人持有或特有的,不可复制或者重复利用的要素
经过安全认证的数字证书
经过安全认证的电子签名
经过安全渠道传输和生成的一次性密码
客户本人身份特征要素
指纹
人脸等
分级防范
A级
交易验证方式:两类以上有效要素进行验证(包括数字证书或电子签名等)
交易限额
银行:自主约定
支付机构:自主约定
B级
交易验证方式:两类以上有效要素进行验证(不包括数字证书或电子签名等)
交易限额
银行:5000
支付机构:5000
C级
交易验证方式:不足两类有效要素进行验证
交易限额
银行:1000
支付机构:1000
D级
交易验证方式:无论使用何种交易验证方式
交易限额
银行:500
支付机构:500
条码支付具体内容检测
范围界定
检测项
交易处理
一般支付/联机消费
交易监控
当日累计交易限额
当月累计交易限额
终端风险管理
终端使用声明周期的管理
终端密钥和参数的安全管理
终端安全检测报告和终端入网检测报告
应用安全
子主题
子主题
子主题
子主题
子主题
子主题
子主题
子主题
子主题
子主题
0 条评论
下一页
