银行信用卡系统安全性测试技术规范.pdf

银行信用卡系统安全性测试技术规范 共23 页，第1 页 目 录 第一部分 总则 3 一、检测依据 3 二、检测目标 4 三、启动准则 4 四、术语定义 5 五、适用范围 5 第二部分 测试内容 6 一、功能测试 6 二、风险监控测试 8 三、性能测试 9 四、安全性测试 9 五、文档测试 14 六、联网联合规范测试 16 第三部分 外包附加测试 20 附录一 测试过程风险分析 22 附录二 测试结果问题分类 23 共23 页，第2 页 第一部分 总则 一、检测依据 1.ISO 9564 银行业务 个人识别码的管理和安全 2.GB/T 19584-2004 银行卡磁条信息格式和使用规范 3.GB/T 17544 信息技术 软件包 质量要求和测试 4.GB/T 16260 软件工程 产品质量 5.GB/T 18905 软件工程 产品评价 6.GB/T 15481-2000 检测和校准实验室能力的通用要求 7.GB 8567-88 计算机软件产品开发文件编制指南 8.GB 9385 计算机软件需求说明编写指南 9.GB 9386-88 计算机软件测试文件编制规范 10.GB/T 14394-93 计算机软件可靠性和可维护性管理 11.JR/T 0055-2009 银行卡联网联合技术规范 12.JR/T 0003-2001 银行卡联网联合安全规范 13.JR/T 0052-2009 银行卡卡片规范 14.JR/T 0025-2010 中国金融集成电路 （IC）卡规范 15.JR/T 0002-2009 银行卡自动柜员机(ATM)终端规范 16.JR/T 0001-2009 银行卡销售点(POS)终端规范 17.中国人民银行关于统一启用“银联”标识及其全息防伪标识的通知（银 发[2001]57号） 18. 《银行卡业务管理办法》（银发[1999]17号） 19. 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的 共23 页，第3 页 指导意见》（银发[2006]123号） 20. 《金融机构计算机信息系统安全保护工作暂行规定》（公安部、中国人 民银行公通字[1998]63号） 二、检测目标 检测目标是在系统版本确定的基础上，对银行卡（包括磁条卡和IC 卡） 系统的功能、风险监控、性能、安全性、文档、联网联合规范符合性以及第 三方外包服务等各方面进行全面的检测，客观、公正评估系统是否符合银行 卡联网通用政策和人民银行对银行卡系统的安全性和技术标准符合性要求， 保障我国银行卡信息系统的安全稳定运行。 三、启动准则 (一)商业银行银行卡技术标准符合性和系统安全性审核申请已通过 人 民银行初审； (二)商业银行提交的银行卡系统被测版本与生产系统版本一致； (三)商业银行银行卡系统内部测试进行完毕； (四)检测机构对商业银行银行卡系统的检测计划经商业银行签字确认， 并报人民银行备案； (五)测试环境准备完毕，包括： 1.测试环境与生产环境基本一致； 2.银行卡系统被测试版本及其它相关外围系统和设备已正确部署并配 置; 3.测试基础数据（包括功能和性能）准备完毕； 共23 页，第4 页 4.测试用机到位，系统软件安装完毕; 5.网络配置正确，连接通畅，可以满足测试需求。 四、术语定义 1.银行卡：是指由商业银行向社会发行的具有消费信用、转账结算、存 取现金等全部或部分功能的信用支付工具。 2.信用卡：按是否向发卡银行交存备用金分为贷记卡和准贷记卡两类。 贷记卡是指发卡银行给予持卡人一定的信用额度，持卡人可在信用额度 内先消费、后还款的信用卡。 准贷记卡是指持卡