ICS35.240.40 A11 JR 中华人民共和国金融行业标准 JR/T0098.7—2012 中国金融移动支付检测规范 第7部分:可信服务管理系统 China financial mobile payment-Test specifications- Part 7:Trusted service manager 2012-12-12发布 2012-12-12实施 中国人民银行 发布 JR/T0098.7-2012 目次 前言 II 引言 . III 1范围, ..1 2规范性引用文件. 1 3总则. ..1 4检测项列表 2 5检测内容....... 附录A(规范性附录)操作规程...................40 附录B(规范性附录)判定准则 43 I JR/T0098.7—2012 前言 《中国金融移动支付检测规范》标准由以下8部分构成: 第1部分:移动终端非接触式接口: —第2部分:安全芯片: 第3部分:客户端软件: 第4部分:安全单元(SE)应用管理终端: 第5部分:安全单元(SE)嵌入式软件安全: 第6部分:业务系统: 一第7部分:可信服务管理系统: —第8部分:个人信息保护. 本部分为该标准的第7部分 本部分按照GB/T1.1-2009给出的规则起草 本部分由中国人民银行提出. 本部分由全国金融标准化技术委员会(SAC/TC180)归口. 本部分负责起草单位:中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司. 本部分参加起草单位:北京银联金卡科技有限公司(银行卡检测中心)、中金国盛认证中心、工业 和信息化部计算机与微电子发展研究中心(中国软件评测中心)、上海市信息安全测评认证中心、信息 产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集 成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术 有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司. 本部分主要起草人:李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、 李晓、尚可、郭栋、熊文招、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、 李微、陈吉、程恒. II JR/T0098.7—2012 引言 随着移动支付新业务、新产品、新管理模式的不断涌现,以客户需求为主导的移动支付业务出现了 不断交融和细化的趋势,不同机构、不同部门、不同业务之间的信息交换和信息共享变得越来越频繁. 可信服务管理系统是移动支付的可信基础设施,提供了移动支付的安全可信、开放共享、多账户应用共 存与互联互通的乎台. 为确保可信服务管理系统的安全、可靠,在收集、分析和评估可信管理系统风险的基础上,本部分 对可信服务管理系统的功能、性能、安全性和文档审核四个方面的检测要求进行了规定. III JR/T0098.7-2012 中国金融移动支付检测规范第7部分:可信服务管理系统 1范围 本部分规定了移动支付可信服务管理系统(简称TSM系统)的检测内容、判定准则,包括可信服 务管理系统的功能、性能、安全性和文档审核四个检测类的检测要求、检测项及判定准则. 本部分适用于指导检测机构制定移动支付可信服务管理系统技术标准符合性和安全性检测方案、执 行检测以及判定检测结果的符合性. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本《包括的修改单)适用于本文件. GB/T22239信息安全技术信息系统安全等级保护基本要求 JRT0025.7中国金融集成电路(IC)卡规范第7部分:借记/贷记应用安全规范 3总则 3.1检测目标 检测目标是在系统版本确定的基础上,对可信服务管理系统功能、性能、安全性和文档四项检测类 进行检测,客观、公正评估系统是否符合中国人民银行对可信服务管理系统的技术标准符合性和安全性 要求,保障我国移动支付业务设施的安全稳定运行. 3.2启动准则 a)机构提交的业务系统被测版本与生产版本一致: b)机构业务系统内部测试进行完毕: )系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕: d)检测环境准备完毕,具体包括: 1)检测环境与生产环境一致或者基本一致,其中网络安全性、主机安全性、数据安全性和运 维安全性检测尽量在生产环境下进行; 2)业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确; 3)用于功能和性能检测的基础数据准备完毕: 4)检测用机到位,系统及软件安装完毕; 5)检测环境网络配置正确,连接通畅,可以满足检测需求. 3.3检测相关规定 a)检测相关操作规定见附录A. ...
JR/T 0098.7-2012 中国金融移动支付 检测规范 第7部分:可信服务管理系统.pdf
