线下便民自助缴费系统建设与服务规范

线下便民自助缴费系统建设与服务规范范围本标准规定了线下便民自助缴费系统在建设和服务时应达到的统一标准，提出了基本要求、建设要求、安全要求、服务要求等。本标准适用于所有参与线下便民自助缴费系统建设以及运营活动的企业，也适用于其他终端类的工程实施及系统对接的企事业单位。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。中共河北省委员会、河北省人民政府《关于加强和完善城乡社区治理的实施意见》GB/T8566-2007 信息技术软件生存周期过程GB/T1526-1989 信息处理数据流程图，程序流程图，系统流程图，程序网络图和系统资源图的文件编制符号及约定GB/T2887-2000计算机场地通用规范GB4943.1-2011信息技术设备安全第1部分：通用要求GB9254-2008信息技术设备的无线电骚扰限值和测量方法GB/T17618-1998信息技术设备抗扰度限值和测量方法中华人民共和国工业和信息化部令第24号《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过）术语和定义下列术语和定义适用于本文件。充值缴费系统RPS（RechargePaymentSystem）事业单位客户信息系统或营销系统。代收系统CCS（CollectionCharges

System）自助缴费交易服务系统。代收是指非IC卡表类用户主动到便民服务终端进行充值交费。即在便民服务终端上通过用户户号或账号就可以进行预存充值、欠费缴纳，无需进行写卡的缴费项目。IC卡表代充值ICCTR（ICCardTableforRecharge）IC卡表用户通过自助便民服务终端为用户对应的IC卡充值，自助便民服务终端通过写卡操作将用户充值数据写入卡中。交易对账TR（TransactionReconciliation）交易对账，就是核对交易账目，是指在会计核算中，为保证交易记录正确可靠，对交易过程中的有关数据进行检查和核对的工作。本标准中具体是指在每日收费结束后，对代收缴费、IC卡表代充值缴费业务中所生成的相关数据进行检查和核对，保证交易记录准确无误。动态链接库DLL（DynamicLinkLibrary）是一个包含可由多个程序同时使用的代码和数据的库，使进程可以调用不属于其可执行代码的函数。DLL一般包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。DLL还有助于共享数据和资源。多个应用程序可同时访问内存中单个DLL副本的内容。在Windows操作系统下动态库后缀为.dll，在linux操作系统下动态库后缀为.so。本标准中的动态链接库是封装IC卡表读卡器读卡、写卡函数的DLL.便民服务终端CST（ConvenientServiceTerminal）是指可以布放于社区、园区、写字楼、服务大厅、校园等为市民提供24小时自助充值缴费服务的硬件设备。该设备可以为广大用户提供水、电、煤气、公交卡等领域的自助缴费和充值等便捷服务。无线局域网络WLAN（WirelessLocalAreaNetwork）以无线电波作为传输媒介，基于TCP/IP网络协议建立起来的计算机网络系统。在本标准中，专指采用802.11无线技术进行互联的一组计算机和相关设备。虚拟私有拨号网络VPDN（VirtualPrivateDialupNetworks）以拨号接入方式上网，通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别，从而利用公众交换电话网络（PSTN）的架构来构筑企事业的私有网络。VPDN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源，可以有效保障内部网络中信息、数据和传输的安全性。码分多址CDMA（CodeDivisionMultipleAccess）CDMA是指一种扩频多址数字式通信技术，通过独特的编码序列建立信道，可用于二代和三代无线通信中的任何一种协议。CDMA是一种多路方式，多路信号只占用一条信道，极大提高带宽使用率，应用于800MHz和1.9GHz的特高频(UHF)移动电话系统。3.10RSA加密算法（RSAEncryptionAlgorithm）RSA加密算法是一个广泛用于加密和数字签名的非对称加密算法，是目前最有影响力的公钥加密算法，能够抵抗到目前为止已知的所有密码攻击，被国际标准化组织（ISO）推荐为公钥数据加密标准。

RSA采用公开密钥密码体制，使用不同的加密密钥与解密密钥，有公钥和私钥，公钥向外公开，私钥则不公开。用户可以采用对方的公钥加密数据后向对方传送数据，对方在接收到加密数据后再采用私钥进行解密。基本要求统一接口模式4.1.1接口平台架构线下便民自助缴费系统的各子业务系统需要通过统一的接口层获取数据，不直接与外部系统接口打交道。统一接口层需通过多种方式与外部系统联接、获取数据并向各子业务系统提供XML格式数据包，将外部系统有效地隔离在业务系统之外。第三方业务系统需要请求的外部接口需要在统一接口层注册，并生成配置文件，每次访问都会被有效地记录，实现监督全覆盖。4.1.2数据格式为打通水、电、煤气、公交卡等各类公共事业单位的便民自助缴费，线下便民自助缴费系统建设运营方需统一定义各类公共事业单位所对应的数据格式，接入线下便民自助缴费系统的各方需要按照统一的数据格式提供访问接口。各个事业单位现有信息系统的数据格式与现有数据格式不一致的，需通过数据转换等方式先按照统一的数据格式转换后再提供访问接口，确保各事业单位能够无差错地接入系统。数据应该包括以下部分：主键ID终端机编码用户编号用户姓名用户地址交易年度交易月份交易金额交易具体时间交易流水号交易状态支付状态支付方式建设动态库IC卡表读卡器的所有操作都被封装在相关的动态链接库（DLL）中，具体包括IC卡表读卡器的读卡、写卡等操作函数。应用系统可以通过调用动态链接库中的函数完成对IC卡表的读、写操作。交易对账当日收费结束后，应该对代收缴费、IC卡表代充值缴费业务进行日对账。应提供多种对账措施，并按照一定周期提供纸质账单存档。当日收费结束后，代收系统可以通过接口向充值缴费系统发送对账文件，并通知充值缴费系统进行交易对账，核对缴费数据，处理单边账，保证当日交易数据无误。可通过多种对账措施，及时查出业务过程中出现的数据差错并进行处置，保证数据准确性。应有严格的对账差错处理流程。针对对账过程中所发现的差错，应制定严格的差错处理程序和分级上报程序，并及时对数据进行分析、校验、业务复盘，找到错误数据后进行冲正，保证数据的准确性。对错误处理结果应按照流程上报。双方单位在一定周期应有纸质账单存档，一旦出现争议依据盖章的纸质账单作为最终评判标准。对账业务应有专人负责。针对对账业务，线下便民自助缴费系统运营企业和公共事业单位都应安排专人负责。对对账中的典型差错应提交给技术部门，由技术部门深入分析并通过技术升级方式加以纠正，减少后续对账差错。对账流程应符合下图所给出的对账处理流程。对账代收系统充值缴费系统结束接收更新对账结果统计生成代收对账文件开始发起代收系统代收对账请求结束接收更新对账结果统计生成代收对账文件开始发起代收系统代收对账请求一致记录并返回对账处理结果不一致以代收系统文件明细为主，做相应处理核对代收系统代收交易记录是否一致通过接口请求获取对账文件接收代收系统的对账请求求一致记录并返回对账处理结果不一致以代收系统文件明细为主，做相应处理核对代收系统代收交易记录是否一致通过接口请求获取对账文件接收代收系统的对账请求求图1交易对账流程专线通讯为保障网络传输和数据的安全性，要求充值缴费系统和代收系统之间应通过物理专线连接，代收系统内部网络应采用通信运营商的VPDN方案，组建虚拟专线网络，便民服务终端通过运营商2G/3G/4G网络接入运营商的分组网PDSN设备，利用接入路由组建无线局域网，实现代收系统服务器与便民服务终端之间的交互。专线通讯方式能有效阻断未授权用户对网络的访问，提高系统的整体安全性。具体的网络架构应当符合以下网络拓扑结构。图2线下便民自助缴费系统整体网络架构数据传输和金融支付安全保障a）代收系统与充值缴费系统之间采用专线传输，防止数据被窃取。b）代收系统内部采用采用通信运营商的VPDN方案，组建虚拟专线网络，达到私有网络的安全级别。c）所有的数据都需要经过RSA加密算法进行加密并封包之后才能进行上网传输，没有对应的秘钥数据无法被解密，保障数据传输的安全性。d）针对VPDN的各环节，运营商应能够提供6级业务安全保障，充分保证网络中数据的绝对安全。e）银联卡读卡器、公交卡读卡器、煤气卡读卡器等所有的读卡设备都需要通过硬开槽方式嵌入柜体，柜体应加装防破坏安全报警系统，能够防暴力破坏。f）需在便民服务终端5米范围内按照多路视频监控系统，全天候监控服务终端现场环境，保障支付环境安全。g）银联卡支付需采用银联提供的支付安全控件，并设置遮挡模式屏蔽窥察，避免支付密码泄露。银联卡长时间未拔出，应采用报警、短信通知用户、吞卡等方式保障用户卡的安全，避免被他人窃取。h）微信、支付宝等方式支付应采用动态二维码，支付环境确保安全。支付方式线下便民自助缴费系统接受贷记卡、借记卡等银联卡支付和支付宝支付、微信支付等线上支付方式，不接受现金支付方式。打印输出在交易成功后，应提供给用户电子交易凭证或纸质交易凭证。交易凭证上应有交易基本信息，包括但不限于以下内容：终端机编码、用户编码、用户姓名、用户地址、缴费年度、交易金额、交易时间、交易流水号、支付方式等。建设要求与规范建设要求 代收建设要求 用户能够在便民自助缴费服务终端上依据用户户号或账号查询用户信息。便民服务终端发送客户资料查询请求至充值缴费系统，充值缴费系统将用户的用户号、用户名称等数据反馈给便民服务终端。便民服务终端选择确认客户资料，发送欠费查询请求至充值缴费系统，充值缴费系统将用户的相关欠费、余额信息等数据反馈给便民服务终端。用户可以在便民自助缴费服务终端上根据欠费信息自助缴费。支付方式可以由用户主动选择，依据用户选择结果跳转到相应的支付界面。便民服务终端发送缴费请求及相关信息至充值缴费系统，充值缴费系统能根据缴费信息生成缴费数据并进行销帐处理，处理完毕后将缴费成功信息发送反馈至便民服务终端。缴费成功后，缴费终端返回缴费成功信息，并展示电子发票开具入口或索取纸质发票的时间段、地点等信息。缴费成功后能够及时通过短信方式向用户绑定的手机号码发送缴费成功信息。代收业务流程应按照下述业务流程完成，具体见下图3。代收用户便民服务终端充值缴费系统根据欠费信息缴费选择确认客户信息查询欠费结束获取缴费凭证根据欠费信息缴费选择确认客户信息查询欠费结束获取缴费凭证确认缴费显示客户资料提示缴费成功，展示电子发票开具入口或纸质发票提示代收系统做收费记账接收查询请求发送查询请求根据客户提供的相关条件，查询客户资料信息确认缴费显示客户资料提示缴费成功，展示电子发票开具入口或纸质发票提示代收系统做收费记账接收查询请求发送查询请求根据客户提供的相关条件，查询客户资料信息接收缴费成功信息发送缴费成功信息销账处理接收缴费请求以及缴费信息发送缴费请求以及缴费信息发送查询欠费的信息至便民服务终端显示查询欠费信息发送查询请求接收查询请求根据查询条件，查询客户信息，并返回便民服务终端开始接收缴费成功信息发送缴费成功信息销账处理接收缴费请求以及缴费信息发送缴费请求以及缴费信息发送查询欠费的信息至便民服务终端显示查询欠费信息发送查询请求接收查询请求根据查询条件，查询客户信息，并返回便民服务终端开始图3代收缴费业务流程IC卡表代充值建设要求应通过动态库调用方式对读卡器进行读卡、写卡操作，并与代收系统进行信息交互。代收系统与充值缴费系统应通过专网进行接口数据对接，保障数据安全。IC卡表用户能够通过便民服务终端进行自助充值，由便民服务终端受理充值申请，读取IC卡，发起卡表信息查询，发送IC卡读卡信息；充值缴费系统在接收并验证便民服务终端的IC卡读卡信息后，能够向便民自助服务终端返回用户名称、地址等信息；便民服务终端能够实时接收并显示卡表查询信息供用户核实信息，用户在信息核实无误后可以通过终端数字键盘输入充值金额或预购量；便民服务终端在发起卡表充值计算交易请求后，用户信息、金额等信息由便民服务终端传送到充值缴费系统，由充值缴费系统完成计算并向便民服务终端返回结果；便民服务终端能够实时展示缴费信息供用户确认缴费，便民服务终端发起扣款交易成功后，发送IC卡充值请求到充值缴费系统；充值缴费系统接收卡表充值请求，更新用户充值信息，成功后返回写卡信息；便民服务终端接收写卡串并通过调用读卡器动态库为用户充值，充值成功后提示用户自助开具电子发票或到营业厅索取纸质发票，发起卡表写卡日志更新请求；充值缴费系统接收卡表写卡日志更新请求，生成卡表写卡日志，返回写卡日志更新结果；便民服务终端接收并提示写卡日志更新结果。 IC卡表代充值业务流程应按照下图4所给出的业务流程实现。代收用户便民服务终端充值缴费系统核实用户信息，输入充值金额申请充值确认信息并缴费核实用户信息，输入充值金额申请充值确认信息并缴费结束接收卡表写卡日志更新结果通知用户写卡，发起写卡日志更新请求接收写卡串接收并解析展示卡表查询信息读卡，发送卡表信息查询请求确认缴费结束接收卡表写卡日志更新结果通知用户写卡，发起写卡日志更新请求接收写卡串接收并解析展示卡表查询信息读卡，发送卡表信息查询请求确认缴费接收卡表写卡日志更新请求接收卡表写卡日志更新请求更新卡表写卡日志生成卡表充值数据返回写卡串接收卡表充值请求发送卡表充值请求计算并返回结果接收查询请求展示预充值信息发起卡表充值计算请求接收卡表充值计算请求解析并验证读卡信息返回卡表查询信息开始接收卡表写卡日志更新请求接收卡表写卡日志更新请求更新卡表写卡日志生成卡表充值数据返回写卡串接收卡表充值请求发送卡表充值请求计算并返回结果接收查询请求展示预充值信息发起卡表充值计算请求接收卡表充值计算请求解析并验证读卡信息返回卡表查询信息开始图4IC卡表代充值业务流程终端设备要求终端设备硬件建设要求便民服务终端设备应以硬件开槽方式整体嵌入邮箱柜或其它类似设备中。服务终端设备上应以硬件柜体开槽方式嵌入银联卡读卡器、水卡读卡器、电卡读卡器、煤气卡读卡器、公交卡读卡器等各类读卡器，保证读卡器不应被破坏、拿出，应配有身份证阅读器，有效验证用户身份，配备32寸液晶显示器、密码键盘和二维码扫码枪。终端设备基本配置应满足上述功能，具体示意图如下所示。图5便民服务终端终端设备气候环境适应性要求终端设备工作状态下气候环境适应性应满足下表1的要求。表1气候环境适应性温度（℃）相对湿度（%）气压（kPa）-10~4020~9386~106为更好地适应环境温度的变化，终端设备应配置自动加热和风冷功能，在环境温度低于零下10度时，自动加热设备启动，在环境温度高于40度时，风冷设备应自动启动，从而保证终端设备工作状态下内部温度保持在-10℃~40℃之间，保障终端设备的正常运行。终端设备可靠性要求终端设备采用平均失效间隔时间（MTBF）衡量设备的可靠性水平。本标准规定的设备的m1值（MTBF的不可接受值）不得低于1000小时。终端设备节能要求终端设备在无人操作的情况下应有自动节能或睡眠功能，以降低设备运行功耗。安全规范 技术防范 系统应具备有效机制，以防止个人信息泄露、毁损、篡改或者丢失。对用户信息和业务敏感数据应采用加密算法进行加密，保障用户数据不被非法读取。采用双服务器备份方案，两台\t"/item/%E5%8F%8C%E6%9C%BA%E5%A4%87%E4%BB%BD/_blank"服务器通过\t"/item/%E5%8F%8C%E6%9C%BA%E5%A4%87%E4%BB%BD/_blank"磁盘阵列或纯软件模式，连接成为互为备份的双机系统，当主服务器停机后，备份服务器能继续工作，防止用户的工作被中断，既保障用户数据不丢失，又能够提升系统的稳定性。对用户交易数据的分析应保障个人信息安全、企业信息安全，甚至国家安全，同时应符合《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z28828-2012)、《电信和互联网用户个人信息保护规定》及《全国人民代表大会常务委员会关于加强网络信息保护的决定》的相关要求。设备安全防护 视频监控系统便民服务终端5米范围内需配备多路摄像头（至少两路），全天24小时不间断地实时监控便民服务终端并录像。同时，在操作平台上需配备一个针孔摄像头，能够近距离记录每次交易者操作流程信息和操作者脸部信息。所有的视频资料保存时间一个月以上。视频资料能够实现快放、慢放、按时间等相关条件快速检索等功能。安全报警系统严格把控便民服务终端布放位置，终端布放位置应保证安防监控完全覆盖。便民服务终端上应加装防破坏安全报警系统，当发生震动或遭遇撞击时会自动向服务器和维护人员手机发送报警信息，设备维保人员或部门领导能够通过电脑端或手机及时调取监控视频，及时查看设备运行情况，判断设备安全性。报警输出系统应根据报警信息及时输出报警现场图像，能根据报警等级及时将现场图像发送到具有不同管理权限的管理人员的手机或其他设备上。多级联动的安全故障处理在发生安全事故时，信息反馈机制应该流畅，有严格的安全故障处理流程，可以根据安全等级自动地将相关报警信息发送到相关人员的手机上，能够在发生严重安全事故时实现公安联动。5.2.3通信安全 终端与服务器的无线通讯应该采用无线扩频技术，用户端到无线网络接入设备间的无线空中通道应该不可破解；无线分组设备到用户终端设备间，需要采用隧道穿过专线接入，有效保证整个系统的安全。通信网络应该尽可能地屏蔽外部非法访问及非法数据，对从外部网络连入的终端设备要有非常严格的用户认证及控制，能够杜绝非法用户接入网络。针对VPDN的各环节，运营商应提供6级业务安全保障，从而充分保证网络中数据的绝对安全。第一级安全保障：无线通讯空中接口的安全性VPDN采用的是第三代移动通信接入，第三代移动通信标准采用是宽带码分多址技术，码分多址技术由于其本身的安全性最早使用在军用通信。无线通讯空中接口应具备以下的安全控制机制，以保障无线通讯空中接口的安全。能提供基站和MS之间的双向认证。不但提供基站对MS的认证，也要提供MS对基站的认证，从而能够有效防止伪基站的攻击。要能够提供接入链路信令数据的完整性保护；采用加密算法对通讯数据进行加密，密码长度为128bit，保障数据安全性；需要将接入链路数据加密延伸至RNC；安全机制应具有可拓展性，为将来引入新业务提供安全保护措施；能够向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别。第二级安全保障：无线接入网络（RAN）无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，本身就是安全的网络，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。第三级安全保障：SGSN与GGSNSGSN、GGSN以及企业接入路由器等上层设备之间的通讯需要通过建立加密隧道保证数据安全性。SGSN与GGSN之间要求建立GTP隧道，GGSN与企业接入路由器间要求建立GRE或L2TP隧道，通过加密隧道的建立确保数据在设备之间的传输安全可靠。第四级安全保障：安全防火墙防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。为保证内网的高安全性，系统需建立安全等级高的防火墙，依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。第五级安全保障：VPDN接入平台的AAA认证系统需配置AAA服务器实现对所有请求接入企业网的用户进行认证，为VPDN系统中最重要的一环。VPDN接入平台的AAA服务器可以完成有效的接入控制，所有请求接入企业网的用户都需要经过AAA服务器的认证，认证通不过的，从终端到SGSN间的分组数据请求都应该被拒绝建立，从而阻断数据流的传输，有效杜绝非法用户进入企业网络的企图。第六级安全保障：应用层的安全性应用层需要采用专用的安全协议进行数据加密和传输，进一步提高系统安全性。可采用安全套接字层(SSL)技术通过加密信息和提供鉴权，确保交易信息的安全性和真实可靠性。5.2.4 保密协议便民缴费工程任何参与单位均不得将居民信息对外泄露或挪作他用，必要时应该签订相关保密协议。便民缴费工程任何参与单位均不得将IC卡读卡器厂商的