第三方支付 检测内容.docVIP

第三方支付 检测内容 一、功能测试 验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理的准确性，测试内容如下： 编号 检测项 检测说明 联机交易类必测 1 账户管理 客户账户管理 项 制卡 必测项 卡片发行 必测项 卡片激活 必测项 充值 卡片有效期延长 换卡 必测项 2 卡片管理 补卡 密码修改 卡片冻结/解冻 卡片挂失/解挂 锁卡/解锁 退卡 销卡 认证中心公钥管理 发卡机构密钥管理 脱机交易类必测 3 密钥和证书管理 IC 卡密钥管理 项 发卡机构证书管理 IC 卡证书管理 联机消费 联机交易类必测 项 1 联机消费撤销 必测项（密码卡 不适用） 4 交易处理 联机余额查询 必测项（密码卡不 适用） 退货 必测项（密码卡不 适用）1 密码卡：以密码形式发行的预付卡。编号 检测项 检测说明 冲正交易 必测项（密码卡不 适用） 异常卡交易 必测项 现金圈存 指定账户圈存 指定账户圈存撤销 非指定账户圈存 非指定账户圈存撤销 IC 卡脚本通知 圈提 脱机消费 脱机交易类必测 项 脱机消费文件处理 脱机交易类必测 项 脱机余额查询 脱机交易类必测 项 交易查询 必测项 5 资金结算 客户结算 发送对账请求 6 对账处理 生成对账文件 7 差错处理 长款/短款处理 必测项 业务类报表 必测项 8 统计报表 运行管理类报表 必测项 二、风险监控测试 验证支付服务业务系统的账户及交易风险，测试内容如下：编号 检测项 检测说明 圈存交易 ARQC/ARPC 验证 联机报文 MAC 验证 卡片状态控制 单笔消费限额 当日累计消费限额 1 联机交易风险管理 当日累计消费次数限制 单笔充值金额最大值 账户余额限额 必测项 大额消费商户交易监控 密码错误情况下的交易请求 编号 检测项 检测说明 非法卡号交易 必测项 卡片有效期检查 无磁无密交易 脱机交易类必测 TAC 验证 项 2 脱机交易风险管理 脱机交易类必测 MAC 验证 项 POS 机申请、参数设置、程序灌装、使用、更 换、维护、撤消的管理 POS 机密钥和参数的安全管理 3 终端风险管理 控制移动 POS 机的安装 终端安全检测报告 密码键盘安全检测报告 终端监控 三、性能测试 对支付服务业务系统性能测试的主要目的是验证系统是否满足未来两年业务运行的性能需求。 测试内容包括以下三个方面：一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。 根据以上性能测试内容，并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则，选取以下测试业务点： 编号 检测项 检测说明 1 联机消费 联机交易类必测项 2 联机余额查询 必测项（密码卡不适用） 3 联机交易明细查询 4 批量发行 5 批量充值 6 批量作废 7 脱机消费文件处理 脱机交易类必测项 8 日终批处理 四、安全性测试 1.网络安全性测试 对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。检测内容如下：编号 检测项 检测说明 （1） 网络冗余和备份 必测项 （2） 网络安全路由器 （3） 网络安全防火墙 1 结构安全 （4） 网络拓扑结构 （5） IP 子网划分 （6） QoS 保证 （1） 网络域安全隔离和限制 必测项 （2） 地址转换和绑定 （3） 内容过滤 2 网络访问控制 （4） 访问控制 （5） 流量控制 （6） 会话控制 （7） 远程拨号访问控制和记录 （1） 日志信息 必测项 3 网络安全审计 （2） 网络系统故障分析 （3） 网络对象操作审计编号 检测项 检测说明 （4） 日志权限和保护 （5） 审计工具 必测项 4 边界完整性检查 （1） 内外网非法连接阻断和定位 （1） 网络 ARP 欺骗攻击 必测项 （2） 信息窃取 5 网络入侵防范 （3） DOS/DDOS 攻击 （4） 网络入侵防范机制 （1） 恶意代码防范措施 必测项 6 恶意代码防范 （2） 定时更新 （1） 设备登录设置 必测项 （2） 设备登录口令安全性 （3） 登录地址限制 7 网络设备防护 （4） 远程管理安全 （5） 设备用户设置策略 （6） 权限分离 （7） 最小化服务 （1） 网络设备运维手册 必测项 （2） 定期补丁安装 8 网络安全管理 （3） 漏洞扫描 （4） 网络数据传输加密 （1） 网络安全管理人员配备 必测项 9 网络相关人员安全管理 （2） 网络安全管理人员责任划分规则 （3） 网络安全关键岗位人员管理 2.主机安全性测试 对支