(电子商务研究中心讯)      

　　各会员单位：

　　为推动证券公司支付系统建设、管理、运行的规范化和标准化，我会起草了《证券公司参与支付业务信息系统技术指引》，现予以发布。本办法自发布之日起施行。

　　附件：《证券公司参与支付业务信息系统技术指引》

　　中国证券业协会

　　2015年3月13日

　　证券公司参与支付业务信息系统技术指引

　　第一章总则

　　第一条为推动证券公司支付系统建设、管理、运行的规范化和标准化，依据《中华人民共和国证券法》、中国人民银行规章文件、中国证监会规章文件和中国证券业协会自律规则的有关规定制定本技术指引。

　　第二条本指引所指的支付系统，是指各参与方支撑证券公司参与支付业务运行的网络与信息系统。各参与方包括参与支付业务的证券公司、支付服务机构(包括行业支付服务机构、第三方支付机构、商业银行等)以及提供数据交换服务的机构(以下简称为“中介服务机构”)。

　　第三条本指引中所提出的各项要求，是支撑证券公司开展支付业务相关系统应达到的基本要求。证券公司在参与支付业务时自建或所选用的相关合作方系统应符合本指引规定的相关要求。

　　第四条中国证券业协会(以下简称“协会”)依据本指引对参与支付业务的证券公司实施自律管理。

　　第二章系统建设

　　第五条支付系统建设应遵循松耦合、可扩展、可靠性、安全性原则，应充分利用行业信息化公共基础设施实现资源的优化配置，系统功能应满足支付业务的相关业务需求、内控及监管要求。

　　第六条证券公司支付系统与其他各参与方的系统对接应遵循总对总原则，联接方式既可以采用直联，也可以通过相关中介服务机构进行联接。

　　第七条支付系统数据交换接口定义应科学规范、统一标准，并具有良好的可扩展性。在时机成熟时，应全面推广使用行业标准数据交换接口。

　　第八条证券公司支付系统应与其他各参与方之间至少建立两条不同运营商或不同类型的通信线路，各条通信线路之间互为备份，线路带宽能够满足业务需要并留有冗余。

　　第九条支付系统在进行文件交换时，应校验文件的合法性、真实性和完整性。

　　第十条支付系统处理性能应满足业务开展的要求，性能应达到：支付类业务的处理能力大于每百万客户50笔/秒;查询类业务的处理能力大于每百万客户150笔/秒;单笔业务最长处理时间小于20秒。

　　第十一条支付系统应配备独立的测试系统。测试规程应包括单项测试、联合测试、系统备份及恢复等环节。测试内容应包括业务流程测试、全覆盖性的功能测试、部署环境与运行模块测试、压力与性能测试等。

　　第十二条证券公司应按照《证券市场交易结算资金监控系统证券公司接口规范》以及中国证监会的相关要求进行系统建设和数据报送。

　　第十三条支付系统应具备支付类交易、清算的对账与调账机制。

　　第三章安全保障

　　第十四条支付系统应从系统安全性、应用安全性、物理安全性、信息处理安全性、网络安全性、数据安全性等方面进行安全风险控制。系统整体的安全防护能力应不低于《证券期货业信息系统安全等级保护基本要求》二级技术要求。

　　第十五条支付系统的备份建设应按照《证券期货经营机构信息系统备份能力标准》中实时系统的相关规定执行。

　　第十六条证券公司应合理划分支付系统各子系统的安全域，在不同的系统安全域之间进行有效隔离，同时做好支付系统与外部系统，如交易系统、账户系统、业务终端和网站后台管理等系统的有效隔离。

　　第十七条证券公司应对支付系统做好病毒、木马和恶意代码的防护措施，定期扫描系统，及时升级系统补丁和病毒库，防范安全漏洞。

　　第十八条证券公司应做好支付门户网站的监控与安全管理。支付门户网站应具备防范SQL注入、跨站脚本、网页篡改、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。可定期聘请专业安全机构对网站实施渗透测试，对SQL注入、跨站脚本等WEB漏洞进行检测。证券公司发现钓鱼网站，应及时报告，并在其支付门户网站醒目位置进行风险揭示。

　　第十九条证券公司应做好支付系统客户端(含移动终端)的安全管理，程序应具备防木马、防篡改、防密码窃取能力，前台与后台的通信应采用加密机制。

　　第二十条证券公司应做好支付网关与其他参与方网关间的连接互信认证，应采用数字证书对报文加密、关键域签名等方式保障数据传输的安全性。

　　第二十一条支付系统应采用数字证书、动态口令、短信密码等身份认证机制提高安全性，防窃取、防篡改。

　　第二十二条证券公司应加密存储支付系统的关键数据，保证传输过程中的数据完整性。对数据库的操作应有日志留痕，应定期备份数据以满足恢复需要。支付交易数据应至少保存20年。

　　第二十三条证券公司应建立网络防火墙隔离机制，对网络外部边界访问策略进行最小化管理并部署防火墙等安全设备。支付网关对外应关闭所有与业务和维护无关的服务及端口。

　　第二十四条证券公司网络与安全设备的访问口令不能使用缺省口令及弱密码，管理员密码应由指定人员设置并定期修改。

　　第二十五条证券公司应做好支付相关系统网络信息安全事件监控工作，监控工作应至少包括以下内容：能够发现常见的网络信息安全攻击事件，并及时做好防范措施;能够对发生的网络信息安全事件进行有效控制、隔离与遏制，并及时做好应急措施;能够对网络信息安全态势进行准确分析与预测，不断提高网络信息安全事件监控、预防、应急处置能力。

　　第四章运维管理

　　第二十六条证券公司应建立与其他各参与方的技术沟通协调机制，成立由各参与方共同组成的技术协调小组，就系统重大变更、重大问题及安全情况进行沟通、协调和通报。

　　第二十七条支付系统运营应建立完备的系统监控机制，将支付系统监控纳入证券公司信息系统统一监控范围的要求，对系统的运行环境、运行状况进行实时监控。监控记录应至少保存一年。

　　第二十八条证券公司应建立支付系统的软件升级、变更等流程规范，确保变更的请求发起、开发测试、发布实施等工作规范开展。

　　第二十九条证券公司应安排专人负责支付系统测试。联合测试时应成立由各参与方信息技术管理及相关业务管理部门组成的联合测试小组，共同制定测试方案及预期测试结果，对测试结果进行记录、评估和确认。

　　第三十条各参与方应建立容量管理制度，实时监测系统资源，定期分析评估系统容量，及时调整资源配置。

　　第五章应急处置

　　第三十一条证券公司应建立跨行业的应急处理组织体系，并制定相应的应急预案及应急协调机制。应急预案应纳入行业的应急预案体系，并按照有关规定定期组织联合演练。

　　第三十二条证券公司应妥善处置支付系统发生的信息安全事件。任何一方出现预警信息或者发生信息安全事件时，应按照《证券期货业信息安全事件报告与调查处理办法》中第三方存管系统相关要求及《证券期货业网络与信息安全事件应急预案》相关规定执行。

　　第三十三条各参与方应建立资金交收应急预案，避免出现因资金交收异常造成客户资金出现缺口或挤占其他客户资金的情况。

　　第六章自律管理

　　第三十四条协会应对证券公司执行本指引的情况组织定期或不定期的现场检查或非现场检查。检查内容包括但不限于技术方案、系统部署、测试报告、容量规划、运维流程、安全措施、应急预案。

　　第三十五条证券公司应配合协会进行检查，不得以任何理由拒绝、拖延提供有关资料，或者提供不真实、不准确、不完整的资料。

　　第七章附则

　　第三十六条本指引由协会负责解释。

　　第三十七条本指引自发布之日起施行。（来源：中国支付网）