GA 1277.13-2025 互联网交互式服务安全管理要求 第13部分：网络支付服务

ICS35.240

CCSA90

中华人民共和国公共安全行业标准

GA1277.13—2025

互联网交互式服务安全管理要求

第13部分：网络支付服务

Securitymanagementrequirementsforinternetinteractiveservice—

Part13：Onlinepaymentservice

2025-10-13发布2025-12-01实施

中华人民共和国公安部发布

GA1277.13—2025

目次

前言……………………………Ⅲ

引言……………………………Ⅳ

1范围…………………………1

2规范性引用文件……………1

3术语和定义…………………1

4安全管理制度………………2

5组织机构……………………2

6人员安全管理………………2

7访问控制管理………………2

7.1基本要求………………2

7.2身份鉴别………………3

7.3权限管理………………3

8安全技术措施………………3

8.1网络与系统运行安全…………………3

8.2数据安全与备份………………………3

8.3日志与用户数据记录…………………3

9网络支付服务安全…………………………3

9.1基本要求………………3

9.2用户实名制管理………………………3

9.3风险防范………………3

9.4聚合支付服务机构管理………………4

10个人信息保护………………4

10.1基本要求………………4

10.2个人金融信息保护……………………4

11投诉…………………………5

12分包管理……………………5

13安全事件管理………………5

参考文献…………………………6

Ⅰ

GA1277.13—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是GA1277《互联网交互式服务安全管理要求》的第13部分。GA1277已经发布了以下

部分：

——第1部分：基本要求；

——第2部分：微博客服务；

——第3部分：音视频聊天室服务；

——第4部分：即时通信服务；

——第5部分：论坛服务；

——第6部分：移动应用软件分发服务；

——第7部分：云服务；

——第8部分：电子商务服务；

——第9部分：搜索服务；

——第10部分：互联网约车服务；

——第11部分：互联网短租房信息服务；

——第12部分：网络直播服务；

——第13部分：网络支付服务。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由公安部网络安全保卫局提出。

本文件由公安部信息系统安全标准化技术委员会归口。

本文件起草单位：公安部网络安全保卫局、公安部第三研究所、浙江省公安厅、蚂蚁科技集团股份有

限公司、北京网络行业协会。

本文件主要起草人：祝国邦、陈妍、贺滢睿、沈亮、李毅、常媛媛、林冠辰、徐顺克、张娴、尹劲松。

Ⅲ

GA1277.13—2025

引言

GA1277旨在规范和指导互联网交互式服务提供者落实《中华人民共和国网络安全法》《中华人民共

和国数据安全法》《中华人民共和国个人信息保护法》等法律法规规定，健全完善安全管理制度和安全技

术措施等，拟由19个部分构成。

——第1部分：基本要求。目的在于规定互联网交互式服务安全管理的基本要求。

——第2部分：微博客服务。目的在于规范和明确微博客服务安全管理要求。

——第3部分：音视频聊天室服务。目的在于规范和明确音视频聊天室服务安全管理要求。

——第4部分：即时通信服务。目的在于规范和明确即时通信服务安全管理要求。

——第5部分：论坛服务。目的在于规范和明确论坛类服务安全管理要求。

——第6部分：移动应用软件分发服务。目的在于规范和明确移动应用软件分发服务安全管理

要求。

——第7部分：云服务。目的在于规范和明确云计算平台服务安全管理要求。

——第8部分：电子商务服务。目的在于规范和明确电子商务服务安全管理要求。

——第9部分：搜索服务。目的在于规范和明确搜索服务安全管理要求。

——第10部分：互联网约车服务。目的在于规范和明确互联网约车服务安全管理要求。

——第11部分：互联网短租房信息服务。目的在于规范和明确互联网短租房信息服务安全管理

要求。

——第12部分：网络直播服务。目的在于规范和明确网络直播服务安全管理要求。

——第13部分：网络支付服务。目的在于规范和明确网络支付服务安全管理要求。

——第14部分：寄送类互联网服务。目的在于规范和明确寄送类互联网服务安全管理要求。

——第15部分：电子邮件服务。目的在于规范和明确电子邮件服务安全管理要求。

——第16部分：短视频服务。目的在于规范和明确短视频服务安全管理要求。

——第17部分：网络游戏服务。目的在于规范和明确网络游戏服务安全管理要求。

——第18部分：知识分享/网络文学服务。目的在于规范和明确知识分享/网络文学服务安全管理

要求。

——第19部分：生成式人工智能服务。目的在于规范和明确生成式人工智能服务安全管理要求。

为加强网络支付服务安全管理，强化网络支付服务平台主体责任落实，本文件结合网络支付服务特

性，提出其落实安全保护管理制度和安全保护技术措施的具体要求。

Ⅳ

GA1277.13—2025

互联网交互式服务安全管理要求

第13部分：网络支付服务

1范围

本文件规定了网络支付服务安全管理要求。

本文件适用于互联网交互式服务提供者落实网络支付服务安全保护管理制度和安全保护技术措施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GA1277.1—2020互联网交互式服务安全管理要求第1部分：基本要求

3术语和定义

GA1277.1—2020界定的以及下列术语和定义适用于本文件。

3.1

网络支付服务onlinepaymentservice

收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付

款人电子设备不与收款人特定专属设备[POS（销售点，pointofsale）终端和扫码终端]交互，由支付机构

为收款人或付款人提供货币资金转移服务的一种互联网交互式服务。

[来源：GB/T41463—2022，3.2，有修改]

3.2

网络支付服务提供者onlinepaymentserviceprovider

获得网络支付服务经营许可，提供网络支付服务的机构。

注：网络支付服务提供者也包括银行业金融机构以及其他取得网络支付服务经营许可的机构。

3.3

用户user

接受网络支付服务的自然人、法人、其他组织或个体工商户。

3.4

支付账户paymentaccount

网络支付服务提供者根据用户的真实意愿为其开立的，用于发起支付指令、反映交易明细、记录资金

余额的电子簿记载体。

3.5

银行结算账户banksettlementaccount

银行为存款人开立的办理资金收付结算的人民币活期存款账户。

1