邮箱:joe.zou@kperate.com
手机:13913162080
电话:13913162080
地址:苏州市相城区黄埭镇康阳路243号
央行发布条码支付互联互通技术规范,对支付标记化、位置信息有要求
近日,人民银行发布《条码支付互联互通技术规范》(以下简称“《规范》”)。《规范》按照“统一通用、便捷友好、安全可控、兼容并蓄”原则,在切实保障用户信息与资金安全前提下,规定了条码支付互联互通的编码规则、报文要素、安全要求等内容。
简单来说,《规范》的主要任务是统一各家条码支付的技术格式,而不是明确如何实现互联互通。
在发码机构的要求上,《规范》明确是支付信息通过Token(d)生成Token(t),并将其展示成付款码的银行业金融机构、非银行支付机构。
在编码规则上,《规范》均对收款码和付款码有支付标记化要求,收款码则需要区分静态和动态码。
付款码的生成应符合条码支付国家及行业相关标准规范的安全要求。付款码编码应满足以下要求:
a)编码总长度在13位至34位。
b)使用符合JR/T 0149(《中国金融移动支付 支付标记化技术规范》)要求的支付标记化技术生成付款码。
c)付款码应包含可识别账户管理机构的信息。
收款码方面,应采用“协议标识://域名/自定义数据”的编码结构:
协议标识用于金融行业条码支付的互联互通,应采用安全协议,如https或其他安全级别不低于https的专用协议。协议标识不区分大小写。
域名具备唯一性,应采用多级域名,宜采用三级域名。其中:
a)二级域名为转接清算机构或收单机构标识。
b)三级域名为自定义域名。
自定义数据根据具体情况而定,区分大小写,可采用加密或支付标记化等技术进行保护。若二级域名为转接清算机构标识,自定义数据应包含可识别收单机构的信息。
自定义数据应明确标识静态收款码和动态收款码。静态收款码的自定义数据应包含商户标识,动态收款码的自定义数据应包含订单标识。收款码整体长度控制在500字节以内。宜设置风险防控、合规管理相关自定义域段,防范条码商户经营地址(注册地址)、交易限额等支付交易信息被伪造篡改。
在主要的数据收集方面,无论是收款扫码还是付款扫码都需要收集位置信息,具体数据元细目为经度信息与纬度信息。
这一要求与《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)中,对条码支付需要明确其交易位置信息的要求相呼应。而且是在收付款双重维度,了解位置信息。
在安全要求方面,《规范》要求,不得留存非本机构的支付敏感信息,确有必要留存的,应取得客户本人及账户管理机构的授权后再进行不可逆变换或加密,并定期开展支付敏感信息安全的内部审计。
移动支付网注意到,相比《规范》送审稿,除了引用文件、参考文献紧跟最新发布的规定。正式稿完全去除了对技术架构的要求,而更加聚焦基础的名词定义与技术规范。
《规范》送审稿中条码支付互联互通技术架构图
此前《金融科技(FinTech)发展规划(2019-2021年)》要求,推动条码支付互联互通,研究制定条码支付互联互通技术标准,统一条码支付编码规则、构建条码支付互联互通技术体系,打通条码支付服务壁垒,实现不同APP和商户条码标识互认互扫。
本次《规范》的发布,在标准和规范上对条码支付互联互通进行支持,对条码支付互联互通的推进具有里程碑意义。
-
2018-05-18凯普瑞特网站上线!