《银行卡自动柜员机（ATM）终端规范》（征求意见稿） 标准修订编制说明

《银行卡自动柜员机（ATM）终端规范》（征求意见稿） 修订编制说明 《银行卡自动柜员机(ATM)终端规范》(征求意见稿) 标准修订编制说明 《银行卡自动柜员机(ATM)终端规范》(征求意见稿) 标准修订编制说明 一、背景及意义 银行卡标准是银行卡产业发展的重要基础之一，银行卡受理终端的标准则是银行卡产业发展中联网通用的重要基础性标准。为进一步规范银行卡联网通用业务的发展，促进银行卡标准的推广和运用，切实方便持卡人，2007年，人民银行开始启动对一系列银行卡标准的整理工作。 JR/T 0002,2001《银行磁条卡自动柜员机(ATM)应用规范》是2001年由全国银行卡办公室组织制定的，该标准以《银行卡联网联合技术规范》、《银行卡联网联合安全规范》为基础，对商业银行和邮政储蓄机构人民币磁条卡自动柜员机的应用做了规定，在当时对推动银行卡联网通用的发展起到了积极作用。但是，随着业务模式的改变和技术的创新，该标准在一些方面有必要进行修订。该标准名称是“应用规范”，它从持卡人应用角度描述了用户界面、操作流程、凭证要素等，其中关于软硬件安全要求提及较少，近年来，随着一些ATM安全事故的发生，各银行对提高ATM的安全性，加强持卡人用卡安全意识也有一定呼声。 另外，该标准在硬件结构、模块配置、软件功能等方面内容都较少，根据业界的实际需求，对这些内容都有必要在规范中加以完善。其次，交易流程与各行实际应用的操作流程相比，也有一定区别，需要补充和完善。此外，原标准仅仅针对磁条卡，而对于IC卡的内容没有提及，这些内容也有必要在修订的标准中适当提及，以适应商业银行和客户的新需求。 对本规范的修订有助于规范ATM布放机构和厂商，同时也可方便持卡人使用ATM终端。 二、修订原则 本标准的编制遵循以下原则: 在标准修订的过程中主要遵循了如下思路:一是符合各受理机构的实际需求;二是有利于方便持卡人使用;三是在规范层面提出安全要求。 在修订过程中既充分考虑到ATM目前的现状、需求和技术水平，也兼顾到ATM发展的趋势和国际标准的要求，本标准的制定在具有良好的实用性和可操作性的同时具有一定的前瞻性。 1、继承与发展:继承原《银行磁条卡自动柜员机(ATM)应用规范》的内容，在其基础上进行进一步完善。 2、实用性及可操作性:本标准不追求内容的全面性，而是针对业界需求，其主要内容是针对厂商制造和商业银行应用，使修订后的标准适应国内银行卡产业发展需要，具有实际操作指导作用的标准。 3、先进性和前瞻性:《银行卡自动柜员机(ATM)终端规范》考虑了技术的先进性。既考虑到能填补过去规范中的空白，使修订后的标准满足较长时间需要，也考虑到目前的需要和技术水平，同时也考虑了ATM未来的发展，有所创新。 4、可操作性:修订后标准需要具有可操作性，必须考虑到各银行所布放ATM终端的现状，避免造成系统改造和大规模投资。修订的标准要力求为国内ATM应用提供一个统一、规范、可遵循的标准。 5、兼容性:行业标准参考了相关国家标准、行业标准及有关企业标准，比较了各标准的异同，吸收进本标准。 6、简洁性:为使标准内容简洁、重点突出，标准中关于要求的内容，涉及到的国际标准、国家标准或者行业标准的内容只作引用，并不包含在本行业标准正文中。 三、主要内容和修订内容 1、主要内容 本规范规定了自动柜员机(ATM)终端的应用和技术要求，包括银行卡自动柜员机的基本硬件要求、软件要求、安全要求、应用功能、用户界面、交易处理流程及终端报文格式等。本规范不涉及银行卡交易主机端的规定。 本标准除范围、规范性引用文件及术语和定义外，主要由以下几个部分组成: ——ATM终端硬件要求; ——ATM终端软件要求; ——ATM终端安全要求; ——ATM终端应用功能; ——ATM终端用户界面; ——ATM终端交易处理流程; ——数据元; ——ATM终端凭证要素; ——附录7>A 响应码列; ——附录B ATM终端凭证样例。 2、主要修订内容 1)增加IC卡相关内容，把标准名称修订为《银行卡自动柜员机(ATM)终端规范》，在应用功能、交易处理流程、用户凭证等方面增加IC卡内容，增加交易流程中判断银行卡介质内容。 2)增加了对ATM终端管理功能的描述。 3)完善交易处理流程，增加了交易处理主流程，然后从用户角度描述具体交易流程，增加存款画面，对于其他用户界面，也进行了修改。 4)在安全要求、用户界面、硬件要求、软件要求等章中增加安全性建议。 5)提出了交易响应码和屏幕提示文字信息的建议。 6)统一了终端凭证要素，给出样例。 7)具体修订内容详见本编制说明的附录一，按章节对修订后的标准与 原标准进行比较。 四、主要工作过程 2007年7月,10月，人民银行和金电公司深入调研银行业、产业界应用和技术的发展现状以及对标准的需求，并初拟了标准草案。 2007年11月，由人行、金电公司、工行、农行、中行、建行、交行、招行、银联和银行卡检测中心派员组成了标准修订工作组，召开了工作组第一次会议，会议交流了前期调研结果和拟稿情况，议定了修订后标准的框架、基本内容和修订原则等。 2007年12月,1月，根据工作组第一次会议形成了标准第二稿。 2008年1月，召开工作组第二次会议，讨论标准，并提出进一步修改意见。 2008年1月,2月，根据工作组第二次会议纪要，修改标准，形成征求意见稿草案。 2008年3月，组织部分工作组成员讨论征求意见稿草案，形成标准征求意见稿。 五、本标准制定过程中需要说明的一些问 1、原标准名称是:《银行磁条卡自动柜员机(ATM)应用规范》，新标准名称变为《银行卡自动柜员机(ATM)终端规范》。原因是:原标准从持卡人应用角度描述了用户界面、操作流程、凭证要素等，其中关于软硬件安全要求提及较少，而新标准在这些方面进行了补充和修改，增加了安全要求，此外还增加了硬件结构、软硬件模块、管理要求等，因此新标准名称变为《银行卡自动柜员机(ATM)终端规范》。 2、在标准修订的过程中，工作组成员一致认为，修订ATM规范应充分考虑其特点:一是ATM是各行柜台业务的自动化实现方式，各行ATM应用均具备本行特色;二是作为自动化柜员设备，其操作系统、报文格式等实现方式有多样化的特点。因此本标准中应对当前成熟的跨行交易，包括取款、查询、修改密码、存款、转账进行规范，对各行特色服务不在规范中要求。 3、本标准中规范的是基本交易流程和交易界面要素样例，以及打印凭条要素，这些内容各行可根据情况适当提及。 4、本标准总结了各行成功经验，在流程和界面的相应部分增加了安全性建议，并提供了实例。 5、在编制过程中对交易处理流程做了进一步完善。将用户界面与交易流程中的具体步骤进行了一一对应，在用户界面中增加了存款画面。 6、ATM的钞箱管理及验钞模块在ATM中非常重要，鉴于目前实现方法并不统一，且相关内容属于保密内容，并征询有关管理部门意见，获悉相关管理办法正在制定中，因此相关内容并不在此标准中体现，但建议相关部门加大对钞箱管理及验钞模块管理。 六、适用范围 本规范适用于中国境内各种类型的银行卡自动柜员机终端设备，其受理范围包括中国境内发行和使用的银行磁条卡和IC卡。 七、行业标准属性的建议 鉴于本标准的内容未涉及强制性标准或强制性条文的内容及要求，因此建议本标准作为推荐性行业标准。 八、废止现行有关标准的建议 本标准修订JR/T 0002-2001行业标准，并且所涉及的修订内容在金融行业已经得到普遍实施，故建议从本标准实施之日起，现行标准JR/T 0002-2001废止。 九、其他应予说明的事项 本标准遵守中华人民共和国现行的法律和法规。 标准工作组 二??八年三月 附录一、具体修订内容(按章节) 原标准由以下9章构成: 第1章:范围; 第2章:规范性引用文件; 第3章:交易类型; 第4章:用户界面; 第5章:操作流程图; 第6章:打印ATM客户凭证; 第7章:ATM应答码详细列表; 第8章:ATM的操作要求; 第9章:ATM设备必备的要求。 新标准共11章和2个资料性附录，原标准中的第8章在新标准的附录B、GB/T 19584-2004、JR/T 0003、JR/T 0008等标准中有体现，因此不再单独列为一章，原标准的其余各章均对应新标准中各章，新标准具体修订内容包括: 标准名称(修改) 标准名称由《银行磁条卡自动柜员机(ATM)应用规范》变为《银行卡自动柜员机(ATM)终端规范》(理由见编制说明正文第五条)。 前言(修改) 根据标准的实际工作过程及实际工作内容及GB/T 11>.1的要求重新起草了前言。 1(范围(修改) 原标准的“范围”一章内容如下: 本标准规定了银行磁条卡自动柜员机的应用要求，包括银行磁条卡自动柜员机应用的交易类型、用户界面、操作流程、打印凭证、ATM操作要求及设备必备的要求等。本标准不涉及银行磁条卡交易主机端的规定。 本标准适用于受理中华人民共和国境内发行和使用的人民币银行磁条卡的各种自动柜员机设备。 本标准提供的画面为基本功能画面，各行(含邮政储蓄机构，下同)可在此基础上进行个性化设计。 银行磁条卡自动柜员机以下简称为ATM。 新标准的“范围”一章内容如下: 本规范规定了自动柜员机(ATM)终端的应用和技术要求，包括银行卡自动柜员机的基本硬件要求、软件要求、安全要求、应用功能、用户界面、交易处理流程及终端报文格式等。本规范不涉及银行卡交易主机端的规定。 本规范适用于中国境内各种类型的自动柜员机终端设备，其受理范围包括中国境内外发行和使用的银行磁条卡和IC卡。 本规范提供的用户界面为基本功能界面参考，各使用机构可在此基础上进行个性化设计，自行定义用户操作界面布局和内容等。银行卡自动柜员机终端以下简称为ATM终端。 主要区别是: 1)范围包括的内容依据新的各章进行了罗列，受理范围增加了银行IC卡; 2)第一句改为:“本规范规定了自动柜员机(ATM)终端的应用和技术要求”，其中增加了“技术要求”; 3)“本标准适用于受理中华人民共和国境内发行和使用的人民币银行磁条卡的各种自动柜员机设备”修改为“本规范适用于中国境内各种类型的自动柜员机终端设备，其受理范围包括中国境内外发行和使用的银行磁条卡和IC卡”。这里增加了外卡受理，主要是考虑到各行的实际需求。 4)“本规范适用于中国境内各种类型的自动柜员机设备”。 2(规范性引用文件(修改) 根据标准正文的实际引用，对此章的引用文件做了修改，对于在后续章节中未提到的标准，在规范性引用文件中做了删除。 3(术语和定义(新增) 本章为新增，目的是使标准的编写更加规范化，同时方便标准的使用者，本章编写了十余条在后续文字中出现的术语和定义。 4(ATM终端硬件要求(原标准第9章扩充) 本章对应原标准的第9章ATM设备必备的要求。 原标准中只是提到了应符合SJ/T 112130:1999 自动柜员机(ATM)通用规范，未具体描述硬件要求。新标准中第4章主要增加了模块配置的描述，模块配置主要依据SJ/T 112130-1999的升级版本:GB/T 18789-2002，根据第二次工作组会议讨论结果，对本部分中硬件设计、结构设计内容都对比GB/T 18789-2002 《自动柜员机(ATM)通用规范》进行了重新整理，对可以引用GB/T 18789-2002 的内容都直接引用GB/T 18789。对于无法直接引用GB/T 18789-2002的内容，在GB/T 18789-2002的基础上做了部分修改: 硬件模块中，对于数据安全模块，本标准加上了要包括硬件加密功能的要求 (根据工作组讨论结果)，对于GB/T 18789中描述的可选模块:报表打印模块、存折打印模块、多媒体功能模块、安全监控模块，在本标准中并未具体提及(参考了银联标准)，这是因为这些可选模块不必在标准中具体提及，所以只是提到“ATM可以根据需要加装其他模块”。 另外，根据工作组第二次会议讨论结果，对日志打印模块列增加了脚注:如不选用日志打印模块，需要采取其他形式储存可靠、有效、关键的交易数据。 表1 JR/T 0002(本标准)中的模块配置与GB/T 18789中的差异 模块名称 GB/T 18789中的全功能ATM模块配置 GB/T 18789中的现金单取款机(CD)模块配置 GB/T 18789中的现金存款机(CDM)模块配置 JR/T 0002中的ATM模块配置 电源模块 ? ? ? ? 终端控制模块 ? ? ? ? 显示模块 ? ? ? ? 出钞模块 ? ? — ?(取款机必备) 卡处理模块 ? ? ? ? 存款模块 ? — ? ?(存款机必备) 凭条打印模块 ? ? ? ? 日志打印模块 ? ? ? ? 报表打印模块 ? — — ? 存折打印模块 ? — — ? 客户输入模块 ? ? ? ? 后台维护模块 ? ? ? ? 多媒体功能模块 ? ? ? ? 数据安全模块 ?(硬件或软件加密) ? ? ?(硬件加密) 安全监控模块 ? ? ? ? 通讯模块 无 无 无 ? 注:?必备模块;?可选模块;—不具备模块。 5(ATM终端软件要求(原标准第8、9章扩充) 本章内容包括原标准第8章中的磁道要求、自检要求和第9章中的软件要求，进行了扩充和修改。 原标准中对于软件功能、配置，只是提到了应符合SJ/T 112130:1999 自动柜员机(ATM)通用规范。新标准中主要是描述软件功能和软件配置，软件配置模块中，在GB/T 18789基础上，加入了ATM软件自动更新模块(可选)和二次开发平台(可选)(依据ATM厂商意见)，另外去掉了通信软件(通信软件不作为独立的软件模块，一般是在控制软件中包含通信功能，或者是作为通信模块的功能)。 6(ATM终端安全要求(新增) 本章为新增内容，另外将原标准第8章中关于PIN和通信加密的内容加入本章。新增本章的目的主要是根据实际需求描述了一些针对持卡人用卡和ATM终端 的安全考虑，包括超时退卡、超时吞卡功能，另外还描述了对称密钥管理的一些基本原则。另外，工作组调研了关于ATM密钥管理的相关标准，将GB/T 21078.1-2007 《银行业务 个人识别码的管理与安全 第1部分:ATM和POS中联机PIN处理的基本原则和要求》(ISO 9564-1:2002,MOD)作为对ATM的PIN的要求列入规范中。 7(ATM终端应用功能(原标准第3章修改) 本章对应原标准的第3章 交易类型。由于本章不仅仅描述交易，也描述了管理类功能，因此本章标题改为“ATM终端应用功能”。本章中主要是增加了主动管理和被动管理，列出了主动和被动管理中所应包含的内容。另外，5个基本的交易功能在原标准中已有描述，新标准中主要是把查询、取款、转账、功能按照银联提供的银行卡联网通用的规范性描述进行了修改，修改密码、存款功能的描述沿用上一版的写法。 8(ATM终端用户界面(原标准第4章修改) 因原标准中的界面与实际有差异，修订后的标准中主要参照工行的界面和其他商业银行的意见做了修改。 9(ATM终端交易处理流程(原标准第5章修改) 本章对应原标准中第5章，原标准第5章的标题是“操作流程图”，新标准中不仅仅是针对用户的操作流程，也包含了“IC卡处理流程”等非用户操作流程，因此本章标题改为“ATM终端交易处理流程”。在主流程图中加入了IC卡的部分内容，具体交易流程方面，根据工作组会议精神，查询、取款、转账、修改密码基本沿用2001年的版本，同时根据商业银行意见做了修改。 存款流程主要是参考了工行、农行、招行等提供的流程，各流程图中的各步骤与第8章的交易界面进行了一一对应。 根据工作组会议讨论结论，在部分流程中对于客户凭证要素可以选择不打印。 10(数据元(新增) 本章在原标准中没有提及。鉴于标准结构完整性，在新标准中加入了这一章。同时，加入这一章后，即可方便地引出附录A，为按照GB/T 15150组织报文的机构统一规范响应码及反馈提供了可能。根据目前现状，由于ATM实际是一个银行内部柜台业务的自动化实现方式，ATM报文是厂商为各行单独开发或由各行自行开发的，事实上各行不同，同时，ATM与ATMP之间的报文并不影响跨行联网通用报文，因此，按照工作组会议讨论结果，这部分内容只是作了如下描述:“本标准的数据域可参照GB/T 15150的规定，IC卡数据域的定义见JR/T 0025。” 11(ATM终端凭证要素(原标准第6章修改) 本章对应原标准第6章。原标准第6章标题“打印ATM客户凭证”，新标准中标题改为“ATM终端凭证要素”，因为本章内容并未描述凭证格式，只是描述了凭证中可能出现的要素，根据工作组会议讨论内容，对其中的中英文进行了修改和统一，增加了部分要素，包括IC卡要素。与原标准相比，凭证要素的变化如下: 原标准的“交易参考号”，在新标准中改称“ATM流水号”; 原标准的“应答码”，在新标准中改称“响应码”; 新标准增加了“手续费”、“授权代码”、“备注”和“IC卡序列号”4个要素，这些要素是否需要，还需要进一步征求有关机构的意见。 12(附录A 响应码列表(原标准第7章修改) 对应原标准中第7章，原标准中只是写按照《银行卡联网联合技术规范》附录B.3执行，并未具体列出响应码，新标准中参考各行提供的实际应用的响应码，具体列出了部分具有共性的响应码及其对应的屏幕显示。 13(附录B ATM终端凭证(新增) 该附录为新增，是资料性附录，参照各商业银行的凭条，给出了一个ATM 终端凭证的样例。