10月15日，全国金融标准化技术委员会秘书处发布金标委秘发[2018]138号文，即“关于审查《聚合支付安全技术规范》（送审稿）的通知”（以下简称“通知”），通知表明《聚合支付安全技术规范》金融行业标准已经形成标准送审稿，进入委员单位电子投票阶段。

　　什么是《聚合支付安全技术规范》？

　　今年8月，金标委发布关于征求《聚合支付安全技术规范》（征求意见稿）的通知，正式对外宣布，聚合支付标准的推出正在路上。该规范提出了聚合技术平台的基本框架，规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。值得一提的是，该标准的工作组由商业银行、支付机构、中国银联、检测机构等角色组成。

　　《聚合支付安全技术规范》有哪些细化的要求？

　　在规范中，聚合技术服务商被定义为经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。

　　除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外，标准还对聚合支付的数据留存问题有较高的要求。

　　数据和交易安全基本要求是，聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施，可以防范拖库撞库攻击。聚合支付系统应能够通过支付标记化技术，应定期开展敏感信息安全的内部审计。在应用软件的数据安全方面，聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面，聚合技术服务商应用软件退出时，应清除非业务功能运行所必需留存的业务数据，保证客户信息的安全性；软件卸载后，文件系统中不应残留任何与用户相关的个人信息及敏感数据等。

　　在应用软件的运行安全方面：

　　1、应通过白名单、提醒等方式，确保聚合技术服务商应用访问聚合技术服务商web站点进行安全控制；

　　2、聚合技术服务商应用应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力；

　　3、聚合技术服务商应用应能检测并向后台系统反馈手机支付环境安全状况，作为风控策略的依据。

　　除了对聚合支付有数据安全方面的要求，该标准甚至对聚合支付的企业管理制度有要求，以加强企业对信息安全的防控能力：

　　1、应建立信息安全管理制度体系，制度体系应贯穿网络支付系统设计、编码、测试、运行维护、评估以及应急处置等过程，并涵盖安全制度、安全规范、安全操作规程和操作记录手册等相关方面；

　　2、应制定聚合支付安全管理工作的总体方针和策略，明确工作职责、规范工作流程、降低安全风险；

　　3、应指定或授权专门的部门或人员负责安全管理制度的制定和维护；

　　4、安全管理制度应通过正式有效的方式发布；

　　5、应每年组织相关部门和人员对安全管理制度体系的合理性和适用性进行审定，及时修订完善安全管理制度。

　　在风控方面，聚合支付应该满足《银行卡收单业务外包管理的通知》（银发〔2015〕199号）要求。2017年年初，央行将聚合支付定性为银行卡收单外包服务商之后，满足该文件要求并不为过。但在交易风险控制方面，该标准的要求可谓苛刻。

　　《聚合支付安全技术规范》的推出将对产业造成怎样的影响？

　　聚合支付相关技术标准的制定和推出对产业有什么影响呢？

　　一、聚合支付价值进一步肯定。监管层对聚合支付产业是鼓励的同时，谋求规范化。聚合支付标准的制定将是对聚合支付价值的进一步肯定，同时也拥有了更加具量的规范准则，纠正行业步入发展误区。

　　二、加剧产业优胜劣汰，行业壁垒提升。聚合支付随着移动支付的兴起而诞生，同时恶性竞争、违规行为滋生也让这个产业出现了劣币逐良币的情况，随着央行对无证经营支付业务和二清的整治，产业趋于合规，标准的推出，将加剧产业优胜劣汰。真正拥有实力的企业将存活，同时这也增加了产业壁垒，新加入者将需要付出更大的合规成本。

　　三、支付上下游职责划分更加清晰。聚合支付标准中，对聚合支付企业在套现、欺诈、洗钱等违规违法的防止具有一定要求，这将降低银行、支付机构的相关责任压力，让产业分工更加清晰。