ICS 35.240.40 CCS A 11JR 中 华 人 民 共 和 国 金融行 业 标 准 JR/T 0286—2023 数字银行卡技术要求 Technical requirements for digital bank card 2023-07-25 发布 2023-07-25 实施 中国人民银行 发布 JR/T 0286 —2023 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 3 5 数字银行 卡体系架构 ................................ ................................ . 4 6 数字凭据关键控制过程 ................................ ............................... 8 7 数字凭据应用 ................................ ................................ ...... 12 8 数字银行卡安全要求 ................................ ................................ 15 9 公钥认证体系 ................................ ................................ ...... 22 10 其他要求 ................................ ................................ ......... 23 附录（资料性）数字银行卡脱机支付方案 ................................ ................ 24 参考文献 ................................ ................................ ............ 26 JR/T 0286 —2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行科技司提出。 本文件由全国金融标准化技术委员会（ SAC/TC 180 ）归口。JR/T 0286—2023 1 数字银行卡技术要求 1 范围 本文件规定了通过银行卡派生数字凭据 实现银行卡数字化应用的相关技术要求，明确了数字银行 卡技术体系架构、数字凭据关键控制过程、数字凭据应用 流程、数字银行卡安全要求、公钥认证体系及 其他要求等内容。 本文件适用于商业银行、非银行支付机 构、银行卡清算机构、转接清算机构、支付信息服务提供方 及相关产业合作企业，在数字化支付场景下基于数字凭据开展数字银行卡全生命周期管理与应用所需 的相关软硬件设备及信息系统的设计、研发、集成和维护。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 37092 —2018 信息安全技术 密码模块安全要求 JR/T 0071 —2020 金融行业网络安全等级保护实施指引 JR/T 0092 —2019 移动金融客户端应用软件安全管理规范 JR/T 0171 —2020 个人金融信息保护技术规范 JR/T 0245 —2021 条码支付互联互通技术规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 银行卡 bank card 由商业银行等金融机构向社会发行的，具有消 费信用、转账结算、存取现金等全部或部分功能的支 付工具。 注：银行卡的形态 包括实体形态和数字形态。实体形态主要包括卡介质形态（磁条卡、芯片卡、异形卡等）、基于 智能设备安全元件（ Secure Element ，SE）的设备卡形态（ 例如移动支付业务相关的智能可穿戴设备、移动 终 端等）；数字形态主要包括基于商业银行客户端及服务器的电子信息存储形态。 [来源：JR/T 0061 —2011，3.2] 3.2 数字银行卡 digital bank card JR/T 0286 —2023 2 银行卡的数字形态。 注：信息可存放于商业银行服务器，通过商业银行的手机银行客户端等进行展示和操作。在数字化支付场景中，用 户基于数字凭据（ 3.7）实现对数字银行卡的管理和应用。 3.3 银行卡数字化 bank card digitization 将银行卡 派生为可用于数字化支付场景的数字凭据（ 3.7）的过程。 3.4 发卡机构 issuer 发行银行卡 、维护与卡关联的账户 并为持卡人提供银行卡资金管理等服务的金融机构。 [来源：JR/T 0061—2011，4.4，有修改 ]。 3.5 数字凭据载体 digital credential carrier 以个人用户为主要服务对象， 具备对 1个数字凭据 （ 3.7） 或者多个数字凭据进行存储、 展示、 管理， 以及基于数字凭据的支付指令传输等功能，协助发卡机构等相关方完成支付活动的应用软件和信息系 统。 注：本文件中的卡包客户端、发卡机构客户端为数字凭据载体的 1种形式。 卡包客户端主要具备数字凭据申请、存 储、展示、管理及使用等功能；发卡机构客户端主要具备数字凭据展示、管理 功能，在数字凭据申请 流程中用 于配合卡包客户端进行用户识别验证 。 [来源：ISO 23195:2021 ，3.1.13，有修改 ] 3.6 支付信息服务提供方 payment information service provider 为用户提供其所持有的银行卡的信息查询服务、电子支付指令信息转接服务的机构。 注：承担卡包客户端相关应用软件及信息系统建设、运营和管理工作。 3.7 数字凭据 digital credentia l 由银行卡清算机构协助发卡机构生成， 与银行卡存在派生关系，作为用户在数字化支付场景中定位 银行卡的标识。 注：数字凭据由银行卡持有人申请，装载于银行卡持有人的卡包客户端。数字凭据的全生命周期管理由银 行卡清算 [来源：GB/T 32319 —2015，3.4，有修改 ] 机构通过数字凭据发行与认证平台（ 3.9）协助发卡机构共同完成。 3.8 数字印签 digital signature 用于保障数字凭据真实性、有效性的技术安全机制。 3.9 数字凭据发行与认证平台 digital credential issuance and verification platform 具备数字凭据全生命周期管理、数字印签加解密和校验等功能的银行卡数字化服务平台。 JR/T 0286—2023 3 注：数字凭据发行与认证平台（ 以下简称 数字凭据 平台）向支付路由网关（ 3.10）提供数字印签解密服务，向发卡 机构提供银行卡相关交易关键信息及应用密文信息的加密服务。 3.10 支付路由网关 payment routing gateway 实现支付信息服务提供方与收单机构之间信息互联互通及受理场景开放，承担 支付信息服务提供 方与收单机构之间订单等相关信息交换与转发的数字化服务平台和系统。 注：支付路由网关接入数字凭据平台，调用平台对数字凭据的加解密功能和校验功能。 3.11 支付标记 payment token 支付账号等原始交易要素的替代值。 [来源：JR/T 0149 —2016，3.2，有修改 ] 3.12 卡包ID card wallet ID 用于标识卡包客户端的号码或标识。 注：ID指身份识别码。 3.13