收单外包服务商安全技术评估

字号：大中小

1 项目背景情况

伴随移动互联网发展，条码支付在我们日常生活中得到深入密切应用、规模化发展，带来新的支付体验与诸多便利。在这一背景下，聚合支付机构以收单外包服务机构中的独特角色成为支付业务上下游中的重要一环。

但与此同时，条码支付业务中存在业务违规、数据泄露与攻击事件频发等问题。业务违规多呈现受理侧（即支付机构、外包服务机构）多发的特点，包括套现、虚假商户、利用条码支付进行跑分及洗钱等。数据泄露与攻击事件方面，由于准入门槛相对较低，部分聚合支付机构技术、安全能力薄弱，存在业务系统被入侵甚至导致无法对外提供业务服务等问题。

针对前述业务发展情况和存在的问题，监管机构及行业自律机构当前形成一系列举措，以控制安全风险，指导业务可持续、合规化发展。中国支付清算协会近年来陆续发布《收单外包服务机构备案管理办法（试行）》、《收单外包服务机构自律规范（试行）》等文件，对聚合支付机构在内的收单外包机构提出备案管理要求和常态量化管理细则，对收单业务外包管理进行行业自律约束。当前，在监管机构、行业自律机构、产业各方共同努力下，“展业必备案”的积极态势已形成。对聚合支付机构而言，及时开展收单外包服务商安全评估，是落实备案工作的必要举措。

2 评估主要工作内容及工作流程

主要工作内容

目前收单外包服务商安全技术评估主要从安全要求、技术要求、安全管理与风险控制要求三大方面展开，覆盖业务系统安全（含物理安全、网络安全、主机安全、应用安全、数据安全等）、移动客户端安全、受理终端安全、安全管理制度体系、运维管理要求、业务连续性管理、业务管理要求、风险控制基本要求和商户信息管理要求。见图1所示。

图1 收单外包服务商安全技术评估主要内容

收单外包服务商安全技术评估总体流程

中国金融认证中心（CFCA）面向聚合支付机构，开展收单外包服务商安全评估工作，主要环节包括：项目前期准备、项目启动、项目实施、整改复测、报告出具。示意图见图2。

图2 收单外包服务商安全技术评估主要流程

CFCA深耕金融领域20余年，充分发挥行业优势与技术储备，以行业监管要求为根本、以行业自律规范为实施标准，以评促建，助力收单外包服务机构完成备案，促进聚合支付业务合规发展。