聚合支付备案,依据《收单外包服务机构备案管理办法》《收单外包服务机构自律规范》《关于加强收单外包服务市场规范管理的意见》等政策,对聚合支付系统及安全要求如下:
- 对聚合支付机构要求
一是聚合支付机构应当具备必要的、独立的系统、设施和技术,提供安全、稳定且可持续的聚合支付技术服务。其中,独立的系统是指聚合支付系统逻辑独立并与其他业务系统显著隔离。
二是聚合支付业务系统符合国家金融行业标准的系统检测报告或认证证书要求。外包机构可通过中国银联申请由中国金融认证中心、银行卡检测中心等检测认证机构出具的银联收单外包服务商安全技术评估报告、由中国银联标识产品企业资质认证办公室出具的银联标识产品企业资质认证证书,或通过公安机关申请公安部监制的信息系统安全等级保护备案证明二级(含)及以上等证明材料。
认证证书或检测报告显示公司名称应与备案申请机构名称一致。
三是聚合支付机构应按照《个人金融信息保护技术规范》(JR/T0171-2020)等相关要求,建立完善的客户信息安全管理制度和技术保障体系,从信息收集、存储、传输、使用、修改、删除、销毁等各环节制定相应的安全保护措施,采取有效技术手段防止信息泄露,聚合支付业务系统等相关系统应符合国家金融行业标准。
四是聚合支付机构应根据与收单机构的协议约定,按照收单机构提供的支付报文规范执行指令信息的采集与传输,并确保支付指令的完整性、准确性与信息传输的安全性。
五是聚合支付服务机构业务系统应符合国家金融行业标准,按清算机构要求上送机构标识码,确保支付信息的完整性、准确性与传输安全性;建立风险管理机制,防范系统异常中断风险。
- 对收单机构要求
收单机构与聚合支付服务机构开展业务合作的,应当通过查验有资质的检测认证机构出具的评估报告等方式对其业务系统的安全性、稳定性、技术标准规范性等进行科学评估,并采取交易信息数字签名、提高重要信息加密算法的安全性等必要安全技术措施确保交易信息安全,防止聚合支付服务机构伪造、篡改或隐匿交易信息。收单机构应在交易报文中向清算机构准确上送聚合支付服务机构标识码,不得篡改、伪造。
- 总结
总的来说,想要申请聚合支付牌照,需上线独立系统、并托管在云上或机房服务器中,并采购相关安全服务设施,并购通过银联云闪付测评或公安部等级保护测评,获得其测评报告或相关证书,后进行申请。
