非金融机构支付服务业务系统检测认证管理规定).docx

中国人民银行公告〔2011〕第14号为做好〈〈非金融机构支付服务管理办法》 (中国人民银行令〔2010〕第2号发布)实施工作,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行制定了〈〈非金融机构支付服务业务系统检测认证管理规定》,现公布实施。中国人民银行二。一一年六月十六日非金融机构支付服务业务系统检测认证管理规定第一章总则第一条为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保证其系统检测认证的客观性、及时性、全面性和有效性,依据〈〈非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)、〈〈非金融机构支付服务管理办法实施细则》 (中国人民银行公告〔2010〕第17号公布)制定本规定。第二条非金融机构支付服务业务系统检测认证,是指对申请〈〈支付业务许可证》的非金融机构(以下统称非金融机构)或〈〈非金融机构支付服务管理办法》所指的支付机构(以下统称支付机构) ,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。第三条非金融机构在申请〈〈支付业务许可证》前6个月内应对其业务系统进行检测认证;支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。第四条本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。第五条本规定所称的认证机构应经国家认证认可监督管理委员会批准成立,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。第六条中国人民银行负责检测、认证资格的认定和管理工作,并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。第七条非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。第八条支付机构不得连续两次将业务系统检测委托给同一家检测机构。第二章检测第九条非金融机构或支付机构在实施业务系统检测前,应作如下准备:(一) 与检测机构签订书面合同,合同应明确规定保密条款;(二) 与检测机构就检测的范围、内容、进度等事项进行沟通,制定详细的检测计划,并签字确认;(三)向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。第十条检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。第十一条业务系统检测应包括但不限于:(一) 功能测试。验证业务系统的功能是否正确实现,测试其业务处理的准确性。(二) 风险监控测试。评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。(三) 性能测试。验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的白恢复能力,测试系统性能极限。(四) 安全性测试。评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。(五) 文档审核。验证业务系统的用户文档、开发文档、管理文档等是否完