ICS35.240.15 L63 条码支付移动客户端软件 检测规范 TestingspecificationonmobileclientsoftwareforbarcodepaymentT/PCAC0006—2019 2019-02-01发布 2019-02-01实施 中国支付清算协会安全与技术标准专业委员会发布中国支付清算协会标准T/PCACT/PCAC0006-2019 I目  录 前言.....................................................................................................................................................................II 1范围...................................................................................................................................................................1 2规范性引用文件...............................................................................................................................................1 3移动终端安全检测项.......................................................................................................................................1 4交易安全检测项...............................................................................................................................................3 5兼容性测试检测项.........................................................................................................................................10 参考文献.............................................................................................................................................................12T/PCAC0006-2019 II前  言 本指引由中国支付清算协会提出。 本指引由中国支付清算协会技术标准工作委员会归口。 本指引主要起草单位：中国支付清算协会、中国工商银行、中国银行、中国建设银行、中国银联 股份有限公司、网联清算有限公司、北京中金国盛认证有限公司、中国网络安全审查技术与认证中心、 北京银联金卡科技有限公司、中金金融认证中心有限公司、支付宝（中国）网络技术有限公司、财付 通支付科技有限公司、福建联迪商用设备有限公司、福建新大陆电脑股份有限公司等单位。 本指引主要起草人：蔡洪波、马国光、邢桂伟、于沛、欧阳明、侯晓晨、侯玉华、潘葛桐、秦湘 清、蔡予萌、庄俊国、王媛媛、张萌、侯戬、魏一豪、曹宇、汪毅、严伟锋、薛文哲、陈贵阳、聂丽 琴、付小康、陈兰朋、张健、毕强、孟飞宇、邢增辉、尚可、蒋利兵、李远、王鑫、李欧、张行、王 飞宇、吴宝民、刘文其、吴军、曹小龙、姜志辉、吴永强、马松松、于海涛、彭波涛、叶芳耀、刘峰、 卢佩新、吴万通、钟文斌。 本指引为首次发布。T/PCAC0006-2019 1条码支付客户端软件检测规范 1范围 本规范规定了支持条码支付的移动客户端应用软件的检测要求。对于仅支持内容浏览等关联业务、 不直接集成支付功能的应用软件的安全、移动支付终端操作系统安全、SE的安全均不属于本部分的规 定范围。 本规范适用于移动终端应用软件检测机构以及设计、开发、集成、维护和运营单位。 依据本规范开展检测的条码支付移动客户端软件同时应符合《JR/T0098.3中国金融移动支付检 测规范第3部分：客户端软件》的要求。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本 文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB18030-2005信息技术中文编码字符集 GB/T12905-2000条码术语 GB/T23704—2009信息技术自动识别技术与数据采集技术二维条码符号印制质量的检验 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求 JR/T0098.3中国金融移动支付检测规范第3部分：客户端软件 中国人民银行.中国人民银行关于进一步加强银行卡风险管理的通知（银发〔2016〕170号）.2016 年6月15日 中国人民银行.中国人民银行办公厅关于印发《网络支付报文结构及要素技术规范（V1.0）》的 通知（银办发〔2016〕222号）.2016年10月27日 中国人民银行.中国人民银行关于强化银行卡受理终端安全管理的通知.（银发〔2017〕21号）.2017 年1月22日 中国人民银行.中国人民银行办公厅关于加强条码支付安全管理的通知（银办发〔2017〕242 号）.2017年12月22日 中国人民银行.中国人民银行关于印发《条码支付业务规范（试行）》的通知.（银办发〔2017〕 296号）.2017年12月25日 3移动终端安全 3.1人机交互安全 3.1.1身份验证信息管理 3.1.1.1原始身份验证信息保存 检测目的：检查原始身份验证信息是否保存在移动终端本地，如果是，是否以密文形式保存在移动终 端本地并且在验证操作结束后是否及时清除明文缓存。T/PCAC0006-2019 2检测方法：如果原始身份验证信息保存在本地，检查保存在移动终端本地的身份验证信息数据，在验 证操作结束后再次检查本地身份验证信息数据本地缓存数据。 通过标准：原始身份验证信息明文未保存在移动终端本地，并且在验证操作结束后及时清除了缓存。 3.1.1.2交易密码限制与保护 检测目的：检查客户输入交易密码的复杂度、与个人信息的关联性。 检查输入交易密码是否提供即时加密功能。 检测方法：检查初始交易密码的使用和输入密码校验规则。 检查在输入交易密码过程中即时产生的交易密码数据。 通过标准：客户端软件限制了使用初始交易密码，对交易密码复杂度进行了校验，不采用简单交易密 码、与客户个人信息相似度过高的交易密码，在客户输入交易密码过程中无明文交易密码 数据残留。 3.1.1.3密码设置引导 检测目的：检查是否存在提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合的提示 信息。 检查是否采取了对客户设置独立的支付密码的引导措施。 检测方法：检查密码设置的流程和提示信息。 通过标准：存在提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合的提示信息，采 取了对客户设置独立的支付密码的引导措施。 3.1.2交易异常处理 检测目的：当交易出现异常时，检查客户端是否向客户提示出错等信息。 检测方法：模拟异常情况检查客户端的提示信息。 通过标准：当交易出现异常时，客户端向客户提示出错等信息。 3.2客户端软件安全 3.2.1数据有效性校验 检测目的：检查客户端软件是否对通过人机接口或通信接口输入的数据进行了有效性校验。 检测方法：检查客户端软件对输入数据的校验逻辑。 通过标准：客户端软件提供了数据有效性校验功能，保证通过人机接口或通信接口输入的数据格式或 长度等信息符合系统设定要求，如输入的交易金额等信息不含特殊字符、负数等非法参数。 3.2.2页面回退清除敏感信息机制 检测目的：当页面回退时，检查客户端软件是否支持清除密钥、密码等敏感信息的机制。 检测方法：检查页面回退后客户端软件中的敏感信息数据。 通过标准：客户端软件支持页面回退清除密钥、密码等敏感信息的机制。 3.2.3反编译 检测目的：检查客户端软件是否采用了防逆向工程保护措施。 检测方法：对客户端软件进行逆向工程攻击。 通过标准：客户端软件采用了防逆向工程保护措施，如客户端软件采取代码花指令、反调试、代码混 淆等技术手段，防范攻击者对客户端软件的反编译分析。T/PCAC0006-2019 33.2.4客户端软件完整性 检测目的：检查客户端软件的完整性，是否对客户端软件进行签名，是否标识客户端软件的来源和发 布者，在客户端软件启动和更新时，是否进行真实性和完整性校验。 检测方法：检查客户端软件的签名，查看软件信息，在客户端软件启动和更新时，检查对客户端软件 真实性和完整性校验逻辑。 通过标准：客户端软件进行了签名，标识了客户端软件的来源和发布者，在客户端软件启动和更新时， 进行了真实性和完整性校验。 3.2.5运行时安全 检测目的：检查客户端软件是否采取了木马病毒防范措施，检查是否进行了信息加密保护，检查是否 对运行环境可信进行了监测，并向后台反馈移动终端支付环境安