非金融机构支付服务业务系统检测认证管理规定.doc

非金融机构支付服务业务系统检测认证管理规定
(征求意见稿)
第一章总则
第一条为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保证其系统检测认证的客观性、及时性、全面性和有效性,依据《非金融机构支付服务管理办法》(中国人民银行令[2010]第2号,以下简称《办法》)、《非金融机构支付服务管理办法实施细则》(中国人民银行〔2010〕公告第17号)制定本规定。
第二条非金融机构支付服务业务系统检测认证,是指对申请《支付业务许可证》的非金融机构(以下简称非金融机构)或《办法》所指的支付机构(以下简称支付机构)进行业务系统技术标准符合性和安全性检测认证工作。
第三条非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证;支付机构应根据其支付业务发展和安全管理的要求,至少每两年对其被核准的业务系统进行一次全面的检测认证。
第四条本规定所指的检测机构应获得中国合格评定国家认可委员会认可的检测机构证书并取得中国人民银行关于非金融机构支付服务业务系统检测认定资格。
第五条本规定所指的认证机构应获得中国合格评定国家认可委员会认可的认证机构证书并取得中国人民银行关于非金融机构支付服务业务系统认证认定资格。
第六条非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。
第七条支付机构不得连续两次将业务系统检测委托给同一家检测机构。
第二章检测
第八条非金融机构或支付机构在实施业务系统检测前,应作如下准备:
(一)与检测机构签订书面合同,合同应明确规定保密条款;
(二)与检测机构就检测的范围、内容、进度等进行沟通,制定详细的检测计划,并签字确认;
(三) 向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第九条检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证
非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十条业务系统检测应包括但不限于:
(一)功能测试
验证业务系统的功能是否正确实现,测试其业务处理的准确性。
(二)风险监控测试
评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。
(三)性能测试
验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限。
(四)安全性测试
评估业务系统在网络安全、主机安全、应用安全、数据安全、运维安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。
(五)文档审核
验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致,是否符合相关标准并遵从更新控制和配置管理的要求。
第十一条检测机构应于检测完成后10个工作日内向非金融机构或支付机构提交正式的检测报告(一式四份)。
第十二条检测报告应包括以下内容:
(一)支付服务业务系统名称、版本;
(二)检测的时间、范围;
(三)检测设备、工具及环境说明;
(四)检测机构名称、检测人员说明;
(五)检测内容与检测具体结果描述;
(六)检测过程中发现的问题及整改情况;
(七)检测结果