个人支付信息保护指引

ICS35.240.40 A11 团体标准 T/PCAC：0001-2023 个人支付信息保护指引 Guidelinesforpersonalpaymentinformationprotection 2023-08-03发布 2023-08-03实施 中国支付清算协会发布 目录 前言II 引言III 1范围1 2规范性引用文件1 3术语和定义1 4缩略语1 5编制原则2 6个人支付信息分类分级2 7个人支付信息基本原则2 8个人支付信息安全框架2 9支付业务主体的安全保护范围4 10支付业务主体的基本要求4 11支付业务主体的管理要求5 12支付业务主体的人员要求6 13支付业务主体的系统要求7 14不同业务场景的保护要求7 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件代替T/PCAC0001—2016《个人信息保护技术指引》，T/PCAC0001—2016相比，除结构调 整和编辑性改动外，主要技术变化如下： ——更改标准范围为个人支付信息，并给出个人支付信息的分类（见6.1）； ——提出了个人支付信息安全框架（见8）； ——明确了支付业务主体开展个人支付信息保护时的基本范围（见9）； ——针对性提出不同角色的支付业务主体的基本要求（见10）； ——提出了从业机构的管理要求（见11）； ——提出了从业机构的人员要求（见12）； ——提出了从业机构的系统要求（见13）； ——针对不同场景提出了个人信息保护的典型要求（见14）。本文件由中国支付清算协会提出。 本文件由中国支付清算协会安全与技术标准专业委员会归口。 本文件起草单位：中国支付清算协会、北京国家金融科技认证中心有限公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、北京软件产品质量检测检验中心、网银在线（北京）科技有限公司、财付通、通联支付、中国银联股份有限公司、网联清算有限公司、Visa、中国工商银行、浙江大学滨江研究院。 本文件主要起草人：陈波、潘松、左泽华、侯玉华、相海飞、高展、张海燕、李振、李博文、郭大圣、张健、李作全、马鸣、于柳婍、张大健、王波、王宏铭、姚乾、郑峥、李宇、王威、张鹏、翟耀超、高卓、邵晓博、吴永强、程虎、蒋增增、石常蕴、王维、赵刚、陈俊、邹元、崔凌、杜志琴、韩蒙。 本文件及其所替代文件的历次版本发布情况为： ——2016年首次发布为T/PCAC0001—2016，本次为第1次修订。 引言 为进一步规范个人支付信息处理活动，本指引结合支付业务的参与主体和业务特点，在符合国家及行业监管要求，遵循GB/T35273、JR/T0171等标准规范的基础上，提出了支付信息保护整体框架，细化了支付业务中个人信息的处理要求和相关机构的能力要求，为参与支付业务的机构提供指导。 1范围 个人支付信息保护指引 本规范给出了个人支付信息的范围定义，提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容，并针对不同业务场景提出了典型的保护要求。 本规范用于指导本协会会员单位信息系统处理个人支付信息的服务与活动。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T35273—2020信息安全技术个人信息安全规范 GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求JR/T0171—2020个人金融信息保护技术规范 JR/T0197—2020金融数据安全数据安全分级指南T/PCAC0003—2018银行卡销售点（POS）终端检测规范 T/PCAC0005—2019条码支付受理终端检测规范 3术语和定义 GB/T35273—2020及JR/T0171—2020界定的以及下列术语和定义适用于本文件。 3.1个人信息personalinformation 以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 [GB/T35273—2020,定义3.1] 3.2个人支付信息personalpaymentinformation 在支付服务过程中获取、加工和保存的个人信息。 3.3支付业务主体paymentserviceinstitution 从事支付业务、处理个人支付信息的服务机构，包含收单机构、账户机构、清算机构和其它相关机 构。 3.4个人支付信息环境personalpaymentinformationenvironment 个人支付信息环境由以下部分组成： •存储、处理或传输个人支付信息的系统组件、人员和流程； •可能不存储、处理或传输个人支付信息的系统组件，但它们可以不受限制地连接到那些存储、处理或传输个人支付信息的系统组件。 3.5系统组件systemcomponents 包含在或连接到个人支付信息数据环境或可能影响个人支付信息数据环境安全的任何网络设备、服务器、计算设备或应用程序。 4缩略语 CVN(CardVerificationNumber)/CVN2(CardVerificationNumber2)卡片验证码SIEM(SecurityInformationandEventManagement)安全信息和事件管理 NTP(NetworkTimeProtocol)网络时间协议DNS(DomainNameSystem)域名系统 5编制原则 --与时俱进原则。遵循《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等最新法律法规，符合国家及行业监管要求，并与前沿的数据安全研究充分结合。 --行业适用性原则。突出支付属性，从支付领域典型业务场景切入，紧密围绕支付业务模型编制，聚焦个人支付信息流转链条，吸纳业界成熟的信息处理管理及技术方案。 --技术包容性原则。在提出个人支付信息保护实施建议的同时，允许机构在技术发展的前提下不断创新，经验证有效的创新技术手段将迭代纳入本指引。 6个人支付信息分类分级 6.1个人支付信息分类 个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息： a)账户信息指账户及账户相关信息，包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）、银行卡有效期、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等; b)鉴别信息指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码；个人支付信息主体登录密码、账户查询密码、交易密码；卡片验证码（CVN和CVN2）、动态口令、短信验证码、密码提示问题答案等; c)支付交易信息指个人支付信息主体在交易过程中产生的各类信息，包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证; d)个人身份信息指个人基本信息、个人生物识别信息等： 个人基本信息包括但不限于客户法定名称、身份证和护照等证件类信息、联系方式（如手机号码、固定电话号码、电子邮箱），以及在提供产品和服务过程中收集的照片、音视频等信息； 个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。 e)其他信息： 对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特定个人支付信息主体的消费意愿、支付习惯和其他衍生信息； 在提供支付服务过程中获取、加工、保存的其他个人信息。 6.2个人支付信息分级 个人支付信息分级参考JR/T0171—2020和JR/T0197—2020执行。 7个人支付信息处理基本原则 个人支付信息的处理遵循GB/T35273—2020及JR/T0171—2020的基本原则。 8个人支付信息安全框架 个人支付信息安全框架如图1所示。 图1个人支付信息安全框架 个人支付信息在支付业务中，需要在不同支付业务主体之间流转。个人支付信息的生命周期与支付业务主体、业务场景、支付技术的选择有密切关系。因此，在本支付框架中提出3项要素： a)支付业务主体：宜按照处理支付信息的主要类别开展信息保护工作，甄别各类支付业务主体的主要职责，确定自身的安全保护范围，并按照基本要求、管理要求、人员要求、系统要求等不同的维度建立个人支付信息保护能力； b)业务场景：个人支付信息保护需要实现场景的全覆盖。根据支付服务参与角色的不同，至少需要考虑用户场景、业务运营场景、系统运维场景的数据保护； c)支付技术：宜根据支付技术的不同设定具体的个人支付信息保护要求，包括网络支付、移动支付、银行卡收单等不同的技术模式。 个人支付信息的生命周期包括收集、传输、存储、使用、加工、提供、公开、删除、销毁等。 a)收集是个人支付信息中外源性信息的主要来源。通过移动App等智能终端进行信息采集时，宜符合GB/T41391—2022的要求；通过其他非信息化系统收集个人信息时，遵循GB/T35273—2020、JR/T0171—2020中信息收集的基本原则，特别需要注意纸质文件扫描或通过OCR等方式转化为电子数据的过程； b)个人支付信息在不同参与主体之间传输时，宜采用加密通道、数据加密的方式保障数据安全性； c)不同参与主体需根据业务角色确定数据存储的必要性，原则上，不应存储非本机构的C3类个人支付信息； d)个人支付信息的使用、加工应严格限制其使用目的。原则上，支付业务主体不应在支付业务以外的情形下使用个人支付信息； e)原则上，个人支付信息不应提供给非业务相关方，个人支付信息不允许公开。支付业务主体因商户在对账等活动的需要向其提供个人支付信息的，应对个人支付信息进行必要的脱敏处理，并要求商户做好个人支付信息的保护工作； f)个人支付信息的删除和销毁是防范支付信息泄露的重要手段。在个人支付信息不再需要使用时，可采取删除、销毁措施进行处理； g)涉及个人支付信息出境，应满足《个人信息保护法》、《数据出境安全评估办法》等法律法规的要求，符合规定的个人信息出境行为需要事前完成国家网信办组织的出境评估工作，跨境交易行为可能涉及个人金融信息出境，依规需要完成出境评估。 9支付业务主体的安全保护范围 对于支付业务主体，个人支付信息保护需要覆盖以下范围： a)直接收集、存储、处理和传输个人支付信息的系统组件、人员和流程； b)可能不收集、存储、处理或传输个人支付信息的系统组件，但它们可以连接到存储、处理或传输个人支付信息的系统组件，且连接后对其访问行为没有有效的控制和审计的系统组件、人员和流程； c)可能影响个人支付信息处理环境安全的系统组件、人员和流程。其中，系统组件包括但不限于： a)存储、处理或传输个人支付信息的系统（例如，支付终端、授权系统、清算系统、支付中间件系统、支付后台系统、购物车和店面系统、支付网关/开关系统、欺诈监控系统）； b)提供安全服务的系统（例如，验证服务器、访问控制服务器、安全信息和事件管理（SIEM）系统、物理安全系统（例如，标记访问或CCTV）、多因素验证系统、反恶意软件系统）； c)实现网络分段的系统（例如，内部网络安全控制）； d)可能影响个人支付信息安全的系统（例如，名称解析，或电子商务（网络）重定向服务器）； e)虚拟化组件，例如虚拟机、虚拟交换机/路由器、虚拟设备、虚拟应用程序/桌面和虚拟机监视器； f)云基础设施和组件，包括外部和内部，并包括容器或图像的实例、虚拟私有云、基于云的身份和访问管理、驻留在内部或云中的个人支付信息处理环境、带有容器化应用程序的服务网格以及容器协调工具； g)网络组件，包括但不限于网络安全控制、交换机、路由器、VoIP网络设备、无线接入点、网络设备和其他安全设备； h)服务器类型，包括但不限于Web、应用程序、数据库、验证、邮件、代理、网络时间协议