陈梦丽，注册信息安全管理人员，从事信息安全测评与咨询相关工作。

引言

何为支付信息？在《银联卡支付信息安全管理标准》中，给出了明确定义：支付信息是指银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息。

其中，银联卡上记录的账户信息，包括银联卡卡号、卡片有效期、磁道信息（含芯片等效磁道信息）、卡片验证码（CVN及CVN2）等，以及基于上述信息产生的支付标记。

基于银联卡开展支付业务的网络支付账户信息，包括网络支付账户、用户注册名、用户登录名、用户ID等，以及基于上述信息的支付标记。

身份鉴别信息，包括个人标识代码（PIN），网络支付业务中的登录密码、手势密码、查询密码、支付密码、动态口令、短信验证码、密码提示问题答案，指纹、虹膜、人脸等个人生物特征信息，预付卡支付密码等。

支付业务涉及的必要个人信息，包括但不限于姓名、身份证和护照等证件类识别标识、手机号码、固定电话号码、电子邮箱、工作及家庭地址以及支付业务中采集或产生的其他个人信息。

其他支付相关信息，包括机构或商户名称、机构或商户编码、批量制卡文件、加密密钥、终端编码、终端序列号、设备标识、支付应用软件标识、IP地址、交易位置信息等。

对于实体机构，保护支付信息时需要从本机构所涉及的支付信息全生命周期进行考虑。本文主要围绕支付信息生命周期的安全管理过程进行简要介绍，内容包括五个方面：1）支付信息采集环节的保护要求；2）支付信息传输环节的保护要求；3）支付信息存储环节的保护要求；4）支付信息使用环节的保护要求；5）支付信息销毁环节的保护要求。

一、支付信息采集环节的保护要求

1.支付信息生成的保护要求

目前支付信息生成阶段主要涉及银联卡的制卡环节、网络支付业务开通、条码支付时的条码生成。制卡环节涉及到制卡文件的安全管理，需要保证制卡文件生成、存储、传输时的安全，制卡文件使用完毕后应进行安全清除。明确制卡文件保存期限，并定期检查并及时清除超过保存期限的制卡数据。

通过绑定银联卡开通网络支付业务时，应对银联卡卡号、卡片验证码、卡片有效期等支付信息进行脱敏，支持基于支付标记化技术的交易处理，从源头控制信息泄漏风险。

二维码等条码生成时应不包含任何敏感支付信息并对生成的动态条码信息设置有效时限。

2．基本要求

采集支付信息应遵循“业务必须”和“最小化”原则，不收集与所提供服务无关的支付信息。采集支付信息必须经信息主体明示同意，并确保所采集信息来源的可追溯性。

3．受理终端采集敏感支付信息

从受理终端（包括但不限于个人支付终端、公共自助终端、商户终端）采集敏感支付信息时应进行加密保护，包括使用到硬件加密机、符合安全强度的密钥算法、硬加密等。

4.网络支付业务采集敏感支付信息

开展网络支付业务时，避免非法采集、获取、留存敏感支付信息，通过互联网、移动设备、固定电话等支付渠道输入敏感支付信息时，应通过强效加密等技术措施进行保护，包括但不限于使用安全控件、密码软键盘等。

二、支付信息传输环节的保护要求

1．ATM及POS交易报文安全要求

在ATM和POS终端交易中，关注的是保障交易报文信息的唯一性和可追溯性，如要在交易报文中包含终端编码，包含受理机构编码、商户编码、终端编码、终端序列号、终端应用版本编号等信息。

2．网络支付交易报文安全要求

网络支付交易报文应包含设备标识、IP地址、手机号码、账户ID（或哈希值），以保证交易报文的必要完整性。为防止对交易的重放攻击；应保证交易的抗抵赖性，包括但不限于数字证书、电子签名等技术手段；应用系统应保证在一段时期内同一商户交易、订单的唯一性；应用系统应检查交易请求报文中记载的交易要素是否完整，拒绝不完整的交易请求。

3．传输加密

在公共、开放网络上传输支付信息时，应对支付信息进行加密或通过加密通道传输，采用的加密传输通道应使用强壮的安全协议，例如使用安全套接字层（SSL）或传输层安全（TLS）、互联网协议安全（IPSec）等。使用SSL/TLS协议时，应使用安全的版本（TLS1.1以上版本）。

通讯方式中，禁止通过未加密的电子邮件、即时通信工具等终端用户通讯方式，以及通过FTP等未加密的网络协议，传输未加密的卡号等支付信息。

4．跨境传输要求因业务需要，确需向境外提供支付信息的，应符合国家法律法规和相关标准要求并进行安全评估，同时通过业务规则及协议等有效措施，要求境外的信息接收机构为所获得的支付信息保密。

三、支付信息存储环节的保护要求

1．基本要求

境内开展支付业务、提供支付业务相关服务过程中，采集或产生的支付信息应在境内存储。所有存储支付信息的系统、设备、介质必须使用物理安全保护措施，禁止未授权访问、读取、打印、截屏、复印、扫描等行为。

备份支付信息的介质必须保存在安全的位置，每年至少检查一次备份介质的安全性、完整性和可用性。

2．敏感支付信息存储要求

不得记录或存储非本机构的敏感支付信息，包括但不限于以下位置：涉及支付信息处理的应用系统；受理终端、支付应用软件、Web应用等到服务器之间以及服务器与服务器之间的通信日志；交易记录表、银行卡绑定关系表等数据库表。

对于本机构的敏感支付信息，应进行强效加密后存储，防范明文泄漏的风险。

个人生物特征信息应存储在本地安全环境范围内，存储时应采用技术措施处理后再进行存储，如仅存储个人生物特征信息的摘要。

3．重要支付信息存储要求

当两种或两种以上重要支付信息组合、重要支付信息与一般支付信息组合构成交易授权的完整要素时，如银联卡卡号与证件类识别标识、手机号码的组合，应对系统中存储的以上全部或部分信息采取加密或屏蔽等措施。

登录密码、查询密码等密码类信息，应进行强效加密后存储，防范明文泄漏的风险。

四、支付信息使用环节的保护要求

1．基本要求

使用支付信息时，不得超出已征得信息主体明示同意的使用范围。因业务需要，确需超出上述使用范围使用支付信息的，应再次征得信息主体的明示同意。

2．生产数据使用管理

应遵循“业务必须”及“最小化”原则，建立并实施生产数据提取和使用管理制度，按敏感程度明确支付信息分类、审批和记录机制。为解决特定问题必须提取生产数据时，应提取必要范围的最小量数据，并对数据进行脱敏。提取的数据应存储在指定的安全区域，并采取加密、脱敏等必要措施进行保护。在使用完毕后应立即按支付信息销毁流程安全清除。

3．开发测试时支付信息的使用要求

采用专门用于测试的测试卡片进行开发测试，真实支付信息不得用于开发测试。严格分离开发环境、测试环境与生产环境。测试环境必须与外部网络物理隔离，否则必须配置防火墙，并开启有效的访问控制策略。系统开发人员与运行维护人员之间禁止相互兼职或兼岗。

4．支付信息显示要求在商户终端、公共自助终端等银联卡受理终端打印的交易凭条，以及网页、移动通讯设备或电子邮件中显示支付信息时，应遵循以下要求：

ATM的打印凭条应遵循以下原则：除吞没卡、转账交易的转入卡号之外，其他交易凭条所打印的卡号应至少隐去卡号校验位前4位的数字；不得打印卡片有效期。

POS及商户自助终端打印凭条应遵循以下原则：除预授权交易外，其他交易打印凭条不得打印卡片有效期，打印的卡号应至少隐去除卡号前6位和最后4位的其他位数。

网页、移动通讯设备或电子邮件中显示卡号信息时应至少隐去除卡号前6位和最后4位的其他位数。

通过互联网、移动设备等渠道采集个人标识代码（PIN）、网络支付密码、登录密码等支付信息时，应采取屏蔽措施，确保支付信息不以明文形式显示。

对上述屏蔽的信息使用相同位数的同一特殊字符（*或#等）进行替换。

五、支付信息销毁环节的保护要求

1．销毁登记制度

对于下列情形中超出使用期限，或已经使用完毕的支付信息，均应建立严格的销毁登记制度。

2．支付信息的销毁要求

对于所有需销毁的支付信息，应在监督员在场情况下，及时妥善销毁，系统定期自动销毁的除外。

对于不同类别支付信息的销毁，应分别建立销毁登记记录，销毁记录至少应包括：使用人、用途、销毁方式与时间、销毁人签字、监督人签字等内容；对于系统定期自动销毁的信息，应通过系统日志等方式建立销毁记录。

不应只采用删除索引、删除文件系统的方式销毁设备或介质中存储的支付信息：相关设备或介质如还需继续使用，在被分配给其他使用者之前，应通过多次覆写方式安全地擦除信息，保证支付信息被删除或销毁后不能再被恢复或者以其它形式加以利用；相关设备或介质如不再使用，销毁时应采用不可恢复的方式，如消磁、焚烧、粉碎等。

对于存储在个人终端上的支付信息，当终端不再使用支付信息或信息主体主动要求删除时，除明确提示并征得信息主体明示同意的信息外，其他支付信息应通过卸载时随即删除、远程擦除等手段进行销毁，服务器端存储的支付信息也应删除。

结语

移动支付的便捷一定程度上是以持卡人对支付信息的提交或让渡为代价，同时伴随着用户支付信息泄露的安全隐患，而支付信息的安全直接关乎的是用户支付、账户资金的安全，这不仅是需要用户安全意识的提升，更需要的是接触到用户支付信息的商家、企业做好支付信息的保护，遵守相关的行业规则、监管要求和法律法规等。

本文所述支付信息全生命周期的安全防护思路是目前较为有效的支付信息保护实现路径，旨在面向金融消费者提供金融产品和服务的相关机构、从事支付业务活动或涉及支付信息处理的相关机构，提供在支付信息安全保护、安全管理实践方面的安全参考和指导原则。

作者邮箱：chenmengli cfca.com.cn

欢迎大家提出宝贵建议。