国家标准计划《银行卡受理终端基本安全要求》由 320(中国人民银行)提出,委托TC180(全国金融标准化技术委员会)执行 。
主要起草单位 中国人民银行科技司 、中国金融电子化公司 、中国银联股份有限公司 、中国工商银行 、中国农业银行 、银联商务股份有限公司 、拉卡拉支付股份有限公司 、银行卡检测中心 、中金金融认证中心有限公司 、福建联迪商用设备有限公司 、百富计算机技术(深圳)有限公司等 。
35 信息技术、办公机械 |
35.240 信息技术应用 |
35.240.40 信息技术在银行中的应用 |
2018年1月1日起实施新修订的《中华人民共和国标准化法》中要求“对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准”。
银行卡受理终端是支付产业发展的重要基础设施,银行卡受理终端基本安全标准作为金融IC卡推广、移动金融发展的配套标准和基础建设依据,规范了销售点(POS)终端、自动柜员机(ATM)终端等银行卡受理终端基本安全要求,直接关乎社会公众财产安全,符合标准化法规定的强制标准范畴。
本标准作为强制性标准的意义主要在于: 1.为银行卡受理终端等支付业务设施建设提供依据,加强银行卡受理终端安全管理,有效防范电信网络新型违法犯罪。
2.有力推动产业健康发展,通过强制性标准确定市场准入,提高银行卡受理终端安全性、通用性、标准符合性,保障人民群众财产安全和合法权益。
3.通过强制性标准的制定与实施落地,可有效规范银行卡受理终端从生产到使用、从硬件到软件产业链上下游各个环节,全面提高银行卡受理的安全水平。
4.建立终端质量负责制,银行卡受理终端如存在技术缺陷或漏洞,终端厂商要采取返厂召回或远程升级等措施进行及时修复,防范因金融机具产品质量缺陷引发的风险向支付领域传导。
本标准拟定义银行卡受理终端的基础安全要求,包括物理安全、逻辑安全、联机安全、脱机安全、集成安全、开放协议安全和账户数据保护等方面的要求。 本标准适用于各类可受理银行卡交易的终端设备产品,包括但不限于销售点(POS)终端(包含智能POS终端、mPOS终端、电话支付终端)、自动柜员机(ATM)终端等。
银行卡销售点(POS)终端、银行卡自助终端、电话支付终端等。
本标准针对银行卡受理终端的PIN输入设备安全核心部分,从设备的硬件、软件、通讯、交易安全等方面,强制规定了物理安全、逻辑安全、联机安全、脱机安全、集成安全、开放协议、账户数据保护等。
强制理由: 银行卡受理终端是支付产业发展的重要基础设施,银行卡受理终端基本安全标准作为金融IC卡推广、移动金融发展的配套标准和基础建设依据,规范了POS、ATM等银行卡受理终端基本安全要求,直接关乎社会公众财产安全。 本标准作为强制性标准: 一是可以为银行卡受理终端支付业务设施建设提供依据,加强银行卡受理终端安全管理,有效防范电信网络欺诈及伪卡欺诈。 二是有力推动产业健康发展,通过强制性标准确定市场准入,提高银行卡受理终端安全性、通用性、标准符合性,保障人民群众财产安全和合法权益。 三是可有效规范银行卡受理终端产业链上下游从生产到使用、从硬件到软件的各个环节,全面提高银行卡受理的安全水平。 四是强制银行卡受理终端PIN输入设备的核心安全部分,明确终端厂商对终端质量负责制,防范因金融机具产品质量缺陷引发的风险向支付领域传导。
本标准遵守《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》等中华人民共和国现行的法律法规。遵循《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《中国人民银行 国家认证认可监督管理委员会关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号)、《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)等部门规章文件。