非金融机构支付服务业务系统检测认证管理规定.doc

非金融机构支付服务业务系统检测认证管理规定
非金融机构支付服务业务系统检测认证管理规定
中国人民银行
非金融机构支付服务业务系统检测认证管理规定
非金融机构支付服务业务系统检测认证管理规定
公告〔2011〕第14号
为做好《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）实施工作，保障非金融机构支付服务业务系统检测认证工作规范有序开展，中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》，现公布实施。
中国人民银行
二〇一一年六月十六日
非金融机构支付服务业务系统检测认证管理规定
第一章 总 则
第一条 为加强非金融机构支付服务业务的信息安全管理与技术风险防范，保证其系统检测认证的客观性、及时性、全面性和有效性，依据《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）、《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号公布）制定本规定。
　　第二条 非金融机构支付服务业务系统检测认证，是指对申请《支付业务许可证》的非金融机构（以下统称非金融机构）或《非金融机构支付服务管理办法》所指的支付机构（以下统称支付机构），其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。
第三条 非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证；支付机构应根据其支付业务发展和安全管理的要求，至少每3年对其业务系统进行一次全面的检测认证。
　第四条 本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。
第五条 本规定所称的认证机构应经国家认证认可监督管理委员会批准成立，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。
第六条 中国人民银行负责检测、认证资格的认定和管理工作，并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。
第七条 非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。
第八条 支付机构不得连续两次将业务系统检测委托给同一家检测机构。
第二章 检 测
第九条 非金融机构或支付机构在实施业务系统检测前，应作如下准备：
（一）与检测机构签订书面合同，合同应明确规定保密条款；
（二）与检测机构就检测的范围、内容、进度等事项进行沟通，制定详细的检测计划，并签字确认；
（三）向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第十条 检测应严格遵守中国人民银行制定的技术标准和检测规范，真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况，保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十一条 业务系统检测应包括但不限于：
（一）功能测试。
验证业务系统的功能是否正确实现，测试其业务处理的准确性。
（二）风险监控测试。
评估业务系统的风险监控、预警和管理措施，测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。
（三）性能测试。
验证业务系统是否满足业务需求的多用