非金融机构支付服务业务系统技术标准符合性和安全性检测规范.doc

非金融机构支付服务业务系统技术标准符 合性和安全性检测规范 （预付卡部分） 中国人民银行科技司 2010年12月11日 目 录 第一部分 总则…………………………………………………………………………………… 3 检测依据……………………………………………………………………………………… 3 检测目标……………………………………………………………………………………… 3 启动准则……………………………………………………………………………………… 4 术语定义……………………………………………………………………………………… 4 适用范围……………………………………………………………………………………… 5 第二部分 检测内容……………………………………………………………………………… 5 功能测试……………………………………………………………………………………… 5 风险监控测试………………………………………………………………………………… 7 性能测试……………………………………………………………………………………… 8 安全性测试…………………………………………………………………………………… 8 文档测试……………………………………………………………………………………… 15 第三部分 外包附加测试………………………………………………………………………… 16 附录一 测试过程风险分析…………………………………………………………………………18 附录二 检测评判准则………………………………………………………………………………19 问题等级分类………………………………………………………………………………… 19 检测结果判定………………………………………………………………………………… 20 第一部分 总 则 检测依据 ISO 9564 银行业务 个人识别码的管理和安全 GB/T 17544-1998 信息技术 软件包 质量要求和测试 GB/T 16260-2006 软件工程 产品质量 GB/T 18905-2002 软件工程 产品评价 GB/T 8567-2006 计算机软件文档编制规范 GB/T 9385-2008 计算机软件需求规格说明规范 GB/T 9386-2008 计算机软件测试文档编制规范 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 15481-2000 检测和校准实验室能力的通用要求 GB/T 19584-2004 银行卡磁条信息格式和使用规范 GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则 GB 17859-1999 计算机信息系统安全保护等级划分准则 JR/T 0052-2009 银行卡卡片规范 JR/T 0001-2009 银行卡销售点（POS）终端规范 JR/T 0025-2010 中国金融集成电路（IC）卡规范 《非金融机构支付服务管理办法》（中国人民银行令[2010]第2号） 检测目标 检测目标是在系统版本确定的基础上，对非金融机构支付服务（预付卡）系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试，客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求，保障我国支付业务设施的安全稳定运作。 启动准则 非金融机构提交的支付服务业务系统被测版本与生产版本一致； 非金融机构支付服务业务系统内部测试进行完毕； 非金融机构已将与检测机构共同制定的经双方签字的检测计划报中国人民银行备案； 系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕； 测试环境准备完毕，具体包括： 测试环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行； 支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确； 用于功能和性能测试的基础数据准备完毕； 测试用机到位，系统及软件安装完毕； 测试环境网络配置正确，连接通畅，可以满足测试需求。 术语定义 非金融机构支付服务：是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务。 网络支付； 预付卡的发行与受理； 银行卡收单； 中国人民银行确定的其他支付服务。 2．预付卡：是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。 五、适用范围 第三方检测机构按照本规范制定非金融机构支付服务业务系统技术标准符合性和安全性检测方案。 非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范要求进行附加测试。 第二部分 检测内容 功能测试 验证支付服务业务系统的业