非金融机构支付服务业务系统检测基本要求_移动电话支付(近场支付)部分V2.0技术分析.doc

非金融机构支付服务业务系统 检测基本要求 （移动电话支付(近场支付)部分） （V2.0版） 中国人民银行 2012年4月 目 录 第一章 功能测试 6 1.1. 账户管理 6 1.1.1. 客户支付账户管理 6 1.2. 卡片管理 6 1.2.1. 制卡（无卡片发行情况不适用） 6 1.2.2. 卡片发行（无卡片发行情况不适用） 6 1.2.3. 卡片激活（无卡片发行情况不适用） 6 1.2.4. 卡片个人化（无卡片发行情况不适用） 6 1.2.5. 更换（无卡片发行情况不适用） 6 1.2.6. 密码修改 7 1.2.7. 挂失/解挂 7 1.2.8. 锁定/解锁 7 1.2.9. 注销 7 1.3. 密钥和证书管理 7 1.3.1. 认证中心公钥管理 7 1.3.2. 支付机构密钥管理 7 1.3.3. 卡片密钥管理（无卡片发行情况不适用） 7 1.3.4. 支付机构证书管理 7 1.3.5. 卡片证书管理 8 1.4. 交易处理 8 1.4.1. 联机消费 8 1.4.2. 联机消费撤销 8 1.4.3. 联机余额查询 8 1.4.4. 退货 8 1.4.5. 冲正交易 9 1.4.6. 异常卡交易 9 1.4.7. 现金充值 9 1.4.8. 指定账户圈存 9 1.4.9. 非指定账户圈存 9 1.4.10. IC卡脚本通知 9 1.4.11. 圈提 9 1.4.12. 脱机消费 9 1.4.13. 脱机消费文件处理 10 1.4.14. 脱机余额查询 10 1.4.15. 交易查询 10 1.5. 资金结算 10 1.5.1. 客户结算 10 1.6. 对账处理 10 1.6.1. 发送对账请求 10 1.6.2. 生成对账文件 10 1.7. 差错处理 10 1.7.1. 长款/短款处理 10 1.8. 统计报表 11 1.8.1. 业务类报表 11 1.8.2. 运行管理类报表 11 第二章 风险监控测试 12 2.1. 交易监控 12 2.1.1. 监控规则管理 12 2.1.2. 当日交易查询 12 2.1.3. 历史交易查询 12 2.1.4. 实时交易监控 12 2.1.5. 可疑交易处理 12 2.1.6. 交易事件报警 12 2.2. 联机交易风险管理 13 2.2.1. 联机交易ARQC/ARPC验证 13 2.2.2. 联机报文MAC验证 13 2.2.3. 卡片状态控制 13 2.2.4. 单笔消费限额 13 2.2.5. 当日累计消费限额 13 2.2.6. 当日累计消费次数限制 13 2.2.7. 单笔充值金额最大值 13 2.2.8. 账户余额限额（无卡片发行情况不适用） 14 2.2.9. 大额消费商户交易监控 14 2.2.10. 密码错误情况下的交易请求 14 2.2.11. 非法卡号交易 14 2.3. 脱机交易风险管理 14 2.3.1. TAC验证 14 2.3.2. MAC验证 14 2.3.3. 单笔脱机消费限额 14 2.3.4. 单日、单月圈存/充值上限 15 2.3.5. 脱机账户余额限额 15 2.4. 商户风险管理 15 2.4.1. 商户资质审核 15 2.4.2. 商户签约 15 2.4.3. 特约商户日常风险管理 15 2.4.4. 合作的第三方机构的风险管理 15 2.4.5. 特约商户强制冻结、解冻、解约 15 2.4.6. 可疑商户信息共享 15 2.4.7. 风险事件报送 16 2.5. 受理终端风险管理 16 2.5.1. 受理终端申请、参数设置、程序灌装、使用、更换、维护、撤消、回收的管理 16 2.5.2. 受理终端密钥和参数的安全管理 16 2.5.3. 控制移动受理终端的安装 16 2.5.4. 终端安全检测报告 16 2.5.5. 密码键盘安全检测报告 16 2.5.6. 终端监控 17 2.6. 风控规则 17 2.6.1. 风控规则管理 17 2.6.2. 黑名单 17 2.6.3. 风险识别 17 2.6.4. 事件管理 17 2.6.5. 风险报表 17 第三章 性能测试 18 3.1. 系统要求 18 第四章 安全性测试 19 4.1. 网络安全性测试 19 4.1.1. 结构安全 19 4.1.2. 网络访问控制 20 4.1.3. 网络安全审计 21 4.1.4. 边界完整性检查 22 4.1.5. 网络入侵防范 22 4.1.6. 恶意代码防范 23 4.1.7. 网络设备防护 23 4.1.8. 网络安全管理 24 4.1.9. 网络相关人员安全管理 25 4.2. 主机安全性测试 25 4.2.1. 身份鉴别 25 4.2.2. 访问控制 26 4.2.3. 安全审计 27 4.2.4. 系统保护 27 4.2.