中国银联股份有限公司2016-12 发布2017-XX 实施发布修订说明Q/CUP 008-2006目次修订说明 (I)前言 (III)中国银联二维码支付产品移动应用（APP）接入安全与检测指南 (4)1 范围 (4)2 适用对象 (4)3 规范性引用文件 (4)4 术语和定义 (4)5 APP软、硬件要求 (4)5.1硬件设备 (4)5.2软件设计 (4)6 安全要求 (4)6.1软件安全要求 (4)6.2信息安全 (5)6.3管理安全 (5)6.4风控要素采集上送要求 (5)7 应用服务方安全检测要求 (7)7.1概述 (7)7.2主要检测内容 (7)7.3检测列表 (9)7.4认证流程 (9)7.5检测周期及费用 (9)8 应用服务方入网流程及要求 (9)8.1应用服务方入网资质要求 (9)8.2应用服务方接入流程 (9)附录 A 应用软件APP检测列表 (10)A.1 软件安全测试要求 (10)A.2 交互及UI测试要求 (15)附录 B TEE可信执行环境 (18)B.1 软件安全要求 (18)B.2 检测要求 (18)前言本指引以《中国银联二维码支付安全规范》（QCUP067-2016）、《中国银联二维码支付应用规范》（QCUP 053-2016）、《银联卡消费类二维码业务指引》等为基础，根据中国银联二维码产品方案的要求，对接入银联二维码网络、开展银联二维码业务的应用APP进行了规定，包括软硬件要求、安全要求、入网指引、检测要求等内容。

本指引由中国银联股份有限公司提出并组织制定。

中国银联二维码支付产品移动应用（APP）接入安全与检测指南1 范围本指引对接入银联二维码网络、开展银联二维码业务的移动应用（以下简称APP）进行了规定，包括软硬件要求、安全要求、检测要求、入网指引等内容。

本指引涉及的APP要求仅针对持卡人使用侧，其他情况（例如商户侧等）不在本指引规定范围。

2 适用对象本指引适用于加入银联网络开展二维码支付业务并提供移动应用（以下简称APP）的应用服务方。

规定了持卡人通过成员机构、银联的APP扫描商户二维码或展示二维码供商户受理终端扫描后完成交易信息的交互和处理流程，实现跨行间、面对面与非面对面、小额支付场景。

3 规范性引用文件下列文件中的条款通过本指引的引用而成为本指引的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。

凡是不注日期的引用文件，其最新版本适用于本指引。

Q/CUP 006 中国银联银行卡交换系统技术规范Q/CUP 067中国银联二维码支付安全规范（QCUP067-2016）Q/CUP 053中国银联二维码支付应用规范（QCUP 053-2016）ISO 8859 8位单字节编码图形字符集4 术语和定义术语和定义参考《中国银联二维码交易处理系统技术指南第3部分术语与定义》。

5 APP软、硬件要求5.1 硬件设备手机、PAD等智能设备，具备安装支持二维码APP功能，且有摄像头，支持二维码扫描功能。

5.2 软件设计中国银联二维码支付产品需依托于机构、银联或第三方生产的移动应用APP进行交互操作，通过APP入口进入银联二维码支付业务。

软件设计要求需满足本指引中安全要求、《中国银联二维码支付产品移动应用（APP）交互设计与用户体验指引》要求。

软件技术规范以及字符集中字符的编码、字型等都应符合相应的国家标准。

6 安全要求6.1 软件安全要求应用服务方依据《银联卡支付应用软件安全规范（QCUP 056-2013）》、《中国银联二维码支付安全规范（QCUP 067-2016）》要求进行软件开发、安全管理。

二维码支付应用APP需具备的基础安全包括：（1）支付应用软件自身健壮性。

首先，支付应用软件运行在安全环境不可控的移动终端，终端系统级（如Android、IOS）漏洞频发以及用户不良的使用习惯(越狱、ROOT)，导致支付软件面临来自系统层面的攻击，如组件漏洞攻击、进程注入攻击。

其次，支付应用软件属于客户端软件，攻击者可能通过静态反编译、动态调试等逆向攻击技术，篡改程序逻辑、获取敏感信息，如二次打包攻击。

因此，应用APP需具备软件自身健壮性，可对抗来自外部的安全威胁。

（2）支付应用软件在处理二维码支付交易时的安全性。

首先，支付应用软件在处理敏感信息（如PAN/CVN2/PIN/支付密码等）时，在敏感信息的生成、传输、存储和清除等环节，都可能面临因防护强度不足，导致的信息泄露风险。

如密钥泄露风险、HOOK攻击风险、内存攻击风险等。

其次，支付应用软件在处理条码交易报文时，交易报文的完整性、保密性和不可否认性通过摘要、签名等技术实现，一旦出现安全问题，攻击者可能通过中间人攻击等技术手段篡改交易报文，给用户带来直接资金损失。

因此，应用APP需具备信息安全管理、信息完整性保护的能力。

6.2 信息安全6.2.1 信息获取应用服务方应确保系统传输符合中国银联技术标准、风险控制及安全管理要求，并获得相关安全认证。

6.2.2 信息管理应用服务方应遵守《银联卡账户信息与交易数据安全管理规则》等各项管理规定，确保业务运作全过程中持卡人卡号、有效期、CVN2等敏感信息的安全。

6.3 管理安全6.3.1 登录期限应用服务方应设置持卡人每次登陆移动应用的有效期限，可提供限时免登陆服务。

6.3.2 交易安全显著提示应用服务方生成二维码时，应提示持卡人妥善保管二维码信息，采取防截图措施，不得将该图像复制给他人。

6.3.3 交易监控应用服务方应遵守监管机构相关要求，对二维码业务的交易金额、交易笔数、交易频率、套现交易等进行监控，设置相应的风险防范及额度管理措施，并履行大额和可疑交易报告义务。

对频繁变动交易卡号等风险监控指标异常的情形，应用服务方应审慎管理，认真核实变动原因。

对于缺乏合理解释、信息变动后出现异常交易等情况的，应采取关闭交易权限等必要措施。

6.4 风控要素采集上送要求6.4.1 风控要素采集要求在绑卡和支付交易中，应用服务方应准确采集并完整上送风险监控所需要素，以便提升风险监控效果、确保后续风险赔付机制有效运作。

6.4.2 风控要素上送内容及要求需采集上送的风险监控要素包括：码支付安全规范（QCUP067-2016）》中相关要求展开。

应用服务方APP获得银联认证证书是入网及开展银联二维码业务的前提条件。

7.2 主要检测内容应用软件APP开展安全检测主要内容包括：（1）应用软件生命周期管理检测内容：主要包括应用软件的需求安全分析、应用软件系统设计威胁建模、应用软件的开发、测试、发布以及变更。

检测过程：审核应用软件与技术文档描述是否一致，验证相关安全措施是否正确实施。

（2）应用软件自身安全要求检测内容：主要包括应用软件的下载、安装与更新、应用软件的自检、应用软件服务以及组件安全、合法性认证和风险控制以及应用软件的审计功能。

在该部分会对应用程序一些常见的漏洞进行检测（例如：OWASP前十大威胁、前25大高危软件错误、CERT安全编码等）。

检测过程：使用静态反编译、动态调试等逆向技术，评估应用软件的完整性和保密性。

评估应用程序是否存在风险漏洞（例如输入验证不当、为关键资源赋予不安全的操作权限等）。

（3）用户安全鉴别检测内容：主要包括用户标识、一般用户验证机制、双因素验证机制、重验证机制、会话机制、验证信息（密码）保护以及验证失败策略。

其中对二维码（含条码）特别检测：交易会话超时时间置超，会话信息及时清除等。

检测过程：审核应用软件与技术文档描述是否一致，验证应用软件是否具备相应的防护能力。

（4）账户信息保护检测内容：主要包括账户信息的存储、账户信息的输入、账户信息的传输、残余信息的保护、失败回退策略。

检测过程：应用软件处理账户信息时，应采取技术手段保护账户信息的输入，不得存储敏感账户信息。

通过报文拦截等手段，检查账户信息传输时是否对关键数据域进行签名。

审核应用软件与技术文档描述是否一致，验证应用软件是否具备相应的防护能力。

（5）网络通信安全要求检测内容：主要包括传输数据的完整性、传输数据的保密性、原发抗抵赖、接收抗抵赖、网络传输的基本要求以及网络安全指南和安全编码。

其中对二维码（含条码）特别检测：二维码完整性、保密性、原发抗抵赖、接收抗抵赖的要求。

检测过程：使用网络协议分析工具进行数据流分析，验证网络通信过程中数据的原发抗抵赖、保密性是否与设计一致，是否存在安全问题。

（6）实体间通信安全要求检测内容：主要包括实体间通信基本要求。

其中对二维码（含条码）特别检测：二维码（含条码）生成与展示安全、识读与解析安全、信息交互安全等。

检测过程：实体间数据传输应采用数字签名和加密等安全方式进行传输，确保数据不被监听和篡改。

应检测条码生成阶段是否包含敏感信息，在展示时是否具有用户身份鉴别机制，在条码识读与解析时，是否能够对条码信息正确校验，对非法信息进行拦截和阻断等内容。

（7）密码算法以及密钥管理检测内容：主要包括数据的加密或解密、密钥加密或解密、安全散列、数字签名、数据完整性验证、支付应用设备或客户端的密钥管理以及后台系统的密钥管理。

检测过程：查看应用软件的设计文档和密钥体系文档，通过文档审核、技术验证等手段，验证密钥算法、长度等的选择是否符合安全规范，相关安全措施是否正确实施，密钥管理制度是否符合安全要求等。

（8）风控要素采集及上送检测内容：1）检测各项风控要素是否能准确采集2）检测各项风控要素是否完整上送至银联3）如应用服务方并非每次采集风控要素，而是根据使用环境是否变化确定是否重新采集，需检测：a）使用环境出现变化是否能准确识别。

b）如出现终端更换、地理位置信息跨省变化的可疑的环境变化，应用服务方是否会重新采集上送要素。

7.3 检测列表具体检测内容列表参见附录A。

7.4 认证流程测试流程主要包括以下环节：提交申请、材料审核、产品检测、现场测评、发证和公布、证书续期、产品变更升级。

具体认证流程及需提交的材料、检测内容等参见《银联卡支付应用软件安全认证规则》。

7.5 检测周期及费用以具体检测机构的要求为准。

8 应用服务方入网流程及要求8.1 应用服务方入网资质要求应用服务方APP需符合本指引的要求，并通过中国银联二维码业务应用服务方检测认证。

8.2 应用服务方接入流程应用服务方入网流程包括：二维码业务申请及审核、APP应用服务方检测认证、开发联调及测试、投产上线。

应用服务方必须通过业务申请及审核、银联二维码支付应用APP检测认证、银联联机（脱机）测试后方获得入网资质。

具体接入流程参见《中国银联二维码支付应用服务方接入指引》。

附录 A应用软件APP检测列表A.1 软件安全测试要求二维码支付应用软件安全测试要求：在APP主页（或一级页面）必须设置主扫和付款操作的入口，引导持卡人进行二维码支付，入口图标符合银联统一入口要求：。