武汉默联股份有限公司金融行业应用部总监何骏

提起医疗支付平台，医疗机构非常关注支付安全问题。怎样构建一个全面的、长久的支付安全体系？在2018南湖HIT论坛上，武汉默联股份有限公司金融行业应用部总监何骏对此问题谈了该公司的理解和针对医疗机构的支付安全策略建议。

10月26日，就在2018南湖HIT论坛期间，国家卫生健康委发布了《关于公立医院开展网络支付业务的指导意见》（以下简称：《指导意见》）。《指导意见》要求，构建科学规范的网络支付管理运行机制；在开展网络支付信息化系统建设时，要完善信息系统管理制度和健全内部控制制度。

医疗支付发展态势与风险

支付方式的演变不仅是业务方式的改变，同时也驱动着数据流和资金流的变化。何骏认为，医疗支付的发展经历了三个阶段：

一是早期支付，早期医疗支付就是结算，结算方式有现金、医保、银行卡、支票等。

二是现有院内支付，随着互联网的发展，医院的支付结算已经发生了比较大的变化，支付方式和支付场景在不断丰富和发展，比如：窗口扫码支付、自助终端扫码支付、处方单诊间支付、医保线上支付、商保快赔直赔等。

三是区域支付，比如医联体，需要跨区域缴费、汇款，涉及到医院账户管理、个人账户管理、资金清算等。区域医疗支付不是单独存在的，而是伴随着区域互联网应用的发展，支付行为也在改变。

在基层医疗卫生机构的应用场景中，区县卫计委对一级医疗机构的资金管控是收支两条线，不允许现金在医院过夜，要求收费员在当天结算以后把收到的现金存入卫计委指定的账户。对此，何骏表示，通过支付行为的设计就可以满足这一需求。在微信或支付宝上设置卫计委指定的账户，把支付能力下沉到一级医疗机构，这样资金在支付时就会自动进入卫计委指定的账户中。

总体来看，支付已经从临床最末端的业务，发展成医疗线上和线下业务不可或缺的闭环能力；从面向患者的一种服务能力，发展成为管理的抓手；而且，支付因为涉及信息流、资金流的走向，支付的安全性变得越发重要，成为医疗机构非常关心的安全问题之一。

如何保证支付安全？

《指导意见》提出，在开展网络支付信息化系统建设时，要遵循国家网络安全法和国家卫生健康委有关要求和技术标准，要处理好数据安全、内外系统互联之间的关系，确保医院信息系统与支付平台数据传输安全稳定，内部信息系统与外部网络连接通畅。

如何保证支付安全是个常态化问题，备受大家关注。关于支付安全，何骏抛出了如下几个问题，这些问题都是医疗机构需要考虑的。

（1）支付平台与各业务系统之间的边界在哪儿？系统间的交互流程如何标准化？

（2）如何部署环境来满足业务的安全性需要？业务安全是第一要务。

（3）支付平台仅仅是支付方式的集成吗？支付平台如何去管控每一笔交易，来确保所有交易安全合规？

（4）医疗支付业务的重要性，体现在它日益独立出来成为一个“中心”，一旦支付出现问题，系统需要一个机制来保证业务稳定运行，如何部署高效、稳定的支付平台？如何保证互联网支付时的数据安全？

（5）数据如何保存？哪些数据应该保存、如何保存？哪些数据不应该保存？

针对上述这些问题和挑战，如何构建一个全面的支付安全体系至关重要。何骏表示，就像医院信息化参照国家电子病历应用水平分级评价标准、互联互通标准一样，默联股份在做支付安全的时候，参照了中国人民银行颁布的《非金融机构支付业务设施检测规范》！为什么会选择这个标准呢？“这个标准在互联网支付安全领域是最高等级的，中国人民银行科技司、支付宝等都是其委员，该标准适用于检测所有非金融机构，保障支付安全。”何骏说。

《非金融机构支付业务设施检测规范》包括295个检测点，其中必测点是273个，主要的检测范围和内容是比较全面的，包括：功能性测试，风险控制，性能测试，安全测试、文档审核（从设计文档、开发文档到运维文档、用户手册等）、外包附件测试等。其中，安全测试是最核心、最重要的，也是大家最关注的，包括网络、主机、应用、数据、运维、业务连续性等方面。

据悉，默联股份于2017年9月就以优异的分数通过了银行卡检测中心的安全检测标准，系统安全等级为优秀。

安全支付标准的检测内容

何骏对《非金融机构支付业务设施检测规范》的检测内容作了全面介绍。

1、功能测试

主要验证支付业务是否正确实现，检测业务处理的正确性。比较常见的功能包括：（1）商户审核，要求有审核机制，把管理加进去，这也是风控管理的机制；（2）账户管理；（3）交易处理；（4）资金结算；（5）对账处理；（6）差错处理；（7）统计报表；（8）运营管理。何骏重点介绍了他认为非常重要的一点——退款风控管理和退款财务处理，退款要有风控模型、风控机制、审批流程，通过了风控模型的校验之后，才允许退款。

2、风险监控测试

此项测试有两个关键点：一是风控点的配置，要求把风控管理规则在系统里实现，实现每一笔交易风控模型的搭建，比如：监控每一笔交易的限额、某一个渠道或者某一个用户的交易频率等，每一次交易的上限都可以在系统中设置。

二是在发现交易风险后，系统可以辨别出哪些是可疑交易、哪些是违规交易。可疑交易要记录下来，系统允许继续交易，但是要对交易行为进行控制，后续可以查到存在哪些风险。系统还可以设置黑白名单，有明确的黑名单规则，实现黑白名单的新增、审核、查询和删除等功能，被拉入黑名单的客户无法进行交易。

3、性能测试

性能测试包括5个方面，其中有两个是必测项。验证系统是否支持业务的多用户并发操作；验证在规定的硬件环境和给定的业务压力下，系统是否满足性能要求和压力解除后系统恢复能力；测试系统性能极限。

4、安全性测试

安全性测试包括很多内容。

（1）网络，考察网络系统传输的数据安全性及网络系统所连接的设备安全性；评估系统网络环境是否能够防止信息资产的损坏、丢失、敏感信息的泄露以及业务中断；是否能够保证业务的持续运营和保护信息资产的安全。基本是按照等保三级的标准检测的。

何骏介绍了三级医院通常的网络架构，通过入侵防控、访问控制、防火墙，在院内建立一个独有的外网环境；然后，通过防火墙控制外网环境与DMZ区的交互；DMZ区与医疗网络区的交互也通过防火墙控制。

（2）主机，对支付业务设施的主机安全防护进行检测，考察主机的安全控制能力。包括主机用户管理、密码原则、主机审计、主机备份/恢复（一般主机都是通过虚拟机去做的）、最小安装/补丁更新（没有其他插件）、主机性能监控（负载均衡）。

（3）应用，主要检测应用系统对非法访问及操作的控制能力。包括：口令管理、Session管理、代码漏洞检测、回滚机制、日志机制、告警机制、并发控制、会话控制、报文交互/加密机制、代码审计。

（4）数据，主要考察数据的传输、存储、备份和恢复的安全性。包括：数据传输、私密数据存储、加密传输/存储、实时备份、本地备份/异地备份、

（5）运维，主要考察运维安全管理制度及运维安全执行情况。

（6）业务连续性，主要考察系统是否具备业务连续性管理并达到设计目标。

5、文档审核

考察支付业务设施的用户文档、开发文档、管理文档的完备性、一致性、正确性和规范性，是否符合行业标准、是否遵从更新控制和配置管理要求等。

最安全的支付就是合规

当前，不管是院内支付平台，还是区域支付聚合，医疗支付平台的最基本能力是支付聚合能力，就是把微信、支付宝、银行卡、在线支付等各种支付方式整合在一起。

聚合支付在非医疗场景下也经常涉及到，比如餐馆、酒店等，下一步的重点是进行聚合支付安全监测，国家也正在出台相应的文件。据何骏介绍，全国金融标准化技术委员会已经就《聚合支付安全技术规范》（征求意见稿）发布了征求意见的通知，预计将在今年年底发布出来。

正如《指导意见》所说，“开展网络支付业务涉及部门多、流程环节多、技术要求高，应当建立领导牵头、多方参与、责权明确、制度严密、流程清晰、有效监控的工作机制，确保风险可控、顺畅高效。”

“要构建比较全面、相对长久的支付安全体系，需要技术、业务和管理三管齐下。”何骏尤其强调了合规的重要性，他认为，最安全的支付就是合规。