ICS 03.060 CCS A 11
中华人民共和国国家标准
GB/T 41460—2022
非银行支付机构支付业务设施技术要求Technical requirements for payment service facilities of non-bank payment institutions
2022-11-01实施2022-04-15发布
国家市场监督管理总局发布
国家标准化管理委员会
非银行支付机构支付业务设施技术要求
1 范围
本文件规定了非银行支付机构支付业务设施的功能要求及管理要求、风险监控及反洗钱要求、性能要求和安全性要求。
本文件适用于中华人民共和国境内的非银行支付机构的支付业务设施的互联网支付业务和银行卡收单业务。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 32905 信息安全技术 SM3密码杂凑算法GB/T32907 信息安全技术 SM4分组密码算法
GB/T 32918（所有部分）信息安全技术 SM2椭圆曲线公钥密码算法GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求
JR/T 0025.7——2018 中国金融集成电路（IC）卡规范 第7部分：借记/贷记应用安全规范
3 术语和定义
下列术语和定义适用于本文件。3.1
非银行支付机构支付业务设施 payment service facilities of non-bank payment institutions 非银行支付机构的支付业务处理系统、网络通信系统以及容纳以上系统的专用机房。3.2
移动终端 mobile device 具有移动通信能力的终端设备。
注：移动终端包括手机、PDA等，在本文件中主要指手机。3.3
互联网支付 internet payment
依托互联网实现收款人和付款人之间货币资金转移的支付方式。3.4
银行卡收单 bank card acceptance
收单机构与特约商户签订银行卡受理协议，在特约商户按约定受理银行卡并与持卡人达成交易后，为特约商户提供交易资金结算服务的行为。3.5
条码支付 bar code payment
以条码为信息载体，通过移动终端或受理终端直接或间接获取支付要素，并利用已有支付渠道完成。
交易的一种支付方式。3.6
收款扫码 consumer-presented mode
收款人通过识读付款人移动终端展示的条码（付款码）完成支付的行为。3.7
付款扫码 merchant-presented mode
付款人通过移动终端识读收款人展示的条码（收款码）完成支付的行为。3.8
客户 customer
购买或使用非银行支付机构提供的支付服务的组织或个人。注：包含个人客户和企业客户。3.9
担保支付 guarantee payment
在支付过程中，由支付服务方为支付双方提供交易担保，付款方进行支付确认后，由支付服务方把款项结算给收款方的支付行为。3.10
消费撤销 consuming cancellation
商户对持卡人已经联机结算的交易于当日当批内发起的对消费交易的取消。3.11
预授权 pre-authorization
担保支付或其他需预先冻结一笔资金的交易。注：即根据持卡人需支付的金额向发卡行索取日后付款的承诺。3.12
运营人员 operating personnel 具有审核、确认等权限的管理人员。3.13
数据库 database
存储在一个或多个计算机文件中的相关数据集合。3.14
圈存 load
增加卡中电子现金余额的过程。3.15
交易查询 trading inquiry
客户向支付服务方发起查询单笔（批量）业务状态请求的过程。
4 缩略语
下列缩略语适用于本文件。
ARQC：授权请求密文（Authorization Request Cryptogram）ARPC：授权响应密文（Authorization Response Cryptogram）CPU：中央处理器（Central Processor Unit）MAC：报文认证码（Message Authentication Code）PDA：个人数字助理（Personal Digital Assistant）
POS：销售点（Point of Sale）SM：商用密码（Shang Mi）
TAC：终端行为代码（Terminal Action Code）TR：支付标记请求方（Token Requestor）VPN：虚拟专用网络（Virtual Private Network）
5 功能要求及管理要求
5.1 互联网支付功能及管理要求5.1.1 客户管理
5.1.1.1 客户注册及信息编辑
应实现客户注册、客户信息编辑等功能。5.1.1.2 客户审核
应实现客户注册信息审核、确认开通审核及关键信息修改审核等功能。
5.1.1.3 客户状态管理
客户状态应至少包括正常、冻结、注销等。冻结应实现暂停客户交易和重新恢复客户交易的功能。注销应实现永久停止客户交易的功能。
5.1.1.4 客户查询
应实现客户信息的查询功能。5.1.1.5 客户证书管理
增强要求》：应实现客户电子证书的申请、发放、更新、作废等功能。
5.1.1.6 客户业务管理
应实现客户业务的增加、修改和取消等功能。5.1.2 支付账户管理
5.1.2.1 客户支付账户信息登记及分类管理
应实现客户支付账户的开户、修改、分类管理功能。5.1.2.2 客户支付账户审核
应实现客户支付账户信息审核、确认开通审核及关键信息修改审核等功能。5.1.2.3 客户支付账户状态管理
客户支付账户状态应至少包括正常、冻结、注销等，冻结应实现暂停客户支付账户交易和重新恢复客户支付账户交易的功能，注销应实现永久停止客户支付账户交易的功能。
1）增强要求适用于对信息安全有更高要求的非银行支付机构。
GB/T 41460—2022
5.1.2.4 客户支付账户查询
应实现客户支付账户信息查询的功能。5.1.2.5 银行卡关联
应实现将客户账户与银行卡相关联的功能，且仅关联其名下的实名银行卡账户，未关联的银行卡不应用于支付。
开展条码支付业务，应实现客户用于生成条码的银行账户或支付账户、身份证件号码、手机号码的关联管理。5.1.3 商户管理
5.1.3.1 商户信息登记及管理
应实现商户注册、商户信息编辑等功能。5.1.3.2 商户审核
应实现商户注册信息审核、确认开通审核及关键信息修改审核等功能。5.1.3.3 商户状态管理
商户状态应至少包括正常、冻结、注销等，冻结应实现暂停商户交易和重新恢复商户交易的功能，注销应实现永久停止商户交易的功能。5.1.3.4 商户查询
应实现商户信息查询的功能。5.1.3.5 商户证书管理
增强要求：应提供商户电子证书的申请、发放、更新、作废等服务。5.1.3.6 商户业务管理
应实现商户业务的增加、修改和取消等功能。5.1.4 交易处理5.1.4.1 一般支付
应实现客户一般支付（付款方使用支付指令支付成功后即可结算的支付行为）交易的功能。开展条码支付业务，应提供收款扫码功能或付款扫码功能。5.1.4.2 担保支付
应实现客户担保支付交易的功能。5.1.4.3 协议支付
应实现客户协议支付（在付款方信任商户能够保障自己资金安全的前提下，付款方、商户、支付服务方事先签订协议，在后续支付过程中，商户根据协议直接向支付服务方发起扣款请求，而无需通过付款方另行授权即可完成付款的支付行为）交易的功能。GB/T 41460—2022
5.1.4.4 转账
增强要求：应实现不同账户之间相互转账的功能。5.1.4.5 充值
应实现将资金从客户银行账户转账至本人支付账户的功能。5.1.4.6 提现
应实现将资金从客户支付账户转账到本人银行账户的功能。5.1.4.7 交易明细查询
应实现按照时间、交易类型或者客户等交易明细信息进行查询，且能实现浏览交易明细的功能。应提供至少近一年的交易信息查询服务。5.1.4.8 交易明细
增强要求：应实现交易明细信息的功能。应提供至少近一年的交易明细服务。
5.1.4.9 邀请他人代付
增强要求：应实现邀请他人代为支付的功能。5.1.5 对账处理5.1.5.1 发送对账请求
应提供商户提交对账申请的服务。当商户提交对账申请时，支付服务方应提供对账信息的服务。
5.1.5.2 生成对账文件
应实现商户对账文件的查询、浏览或等功能。5.1.6 差错处理5.1.6.1 单笔退款
应实现对已发生的单笔交易进行退款申请、确认、审核、退款等功能。支付服务方应将部分或全部已扣款项退还至客户的原扣款账户。5.1.6.2 批量退款
增强要求：应实现对已发生的多笔交易进行退款申请、确认、审核、退款等功能。支付服务方应将部分或全部已扣款项退还至客户的原扣款账户。5.1.6.3 对账差错处理
应提供对对账文件出错、对账结果不平等差错情况的处理流程。5.1.6.4 差错交易查询
应实现对各种差错交易查询的功能。