非金融机构支付服务业务系统检测认证管理规定.pdfVIP

【发布单位】中国人民银行 【发布文号】中国人民银行公告〔 2011 〕第 14 号 【发布日期】 2011-06-16 【生效日期】 2011-06-16 【失效日期】 【所属类别】国家法律法规 【文件来源】中国人民银行 非金融机构支付服务业务系统检测认证管理规定 中国人民银行公告〔 2011 〕第 14 号 为做好《非金融机构支付服务管理办法》（中国人民银行令〔 2010 〕第 2 号发布）实施工 作，保障非金融机构支付服务业务系统检测认证工作规范有序开展，中国人民银行制定了 《非金融机构支付服务业务系统检测认证管理规定》，现公布实施。 中国人民银行 二〇一一年六月十六日 非金融机构支付服务业务系统检测认证管理规定 第一章 总 则 第一条 为加强非金融机构支付服务业务的信息安全管理与技术风险防范，保证其系统检测 认证的客观性、及时性、全面性和有效性，依据《非金融机构支付服务管理办法》（中国人 民银行令〔 2010 〕第 2 号发布）、《非金融机构支付服务管理办法实施细则》（中国人民银 行公告〔 2010 〕第 17 号公布）制定本规定。 第二条 非金融机构支付服务业务系统检测认证，是指对申请《支付业务许可证》的非金融 机构（以下统称非金融机构）或《非金融机构支付服务管理办法》所指的支付机构（以下统 称支付机构），其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技 术标准符合性和安全性检测认证工作。 第三条 非金融机构在申请《支付业务许可证》前 6 个月内应对其业务系统进行检测认证； 支付机构应根据其支付业务发展和安全管理的要求，至少每 3 年对其业务系统进行一次全面 的检测认证。 第四条 本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定，通过中国合 格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统检测授 权资格。 第五条 本规定所称的认证机构应经国家认证认可监督管理委员会批准成立，通过中国合格 评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统认证授权 资格。 第六条 中国人民银行负责检测、认证资格的认定和管理工作，并定期向社会公布通过检测、 认证资格认定的机构名单及其业务范围。 第七条 非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工 作机制。 第八条 支付机构不得连续两次将业务系统检测委托给同一家检测机构。 第二章 检 测 第九条 非金融机构或支付机构在实施业务系统检测前，应作如下准备： （一）与检测机构签订书面合同，合同应明确规定保密条款； （二）与检测机构就检测的范围、内容、进度等事项进行沟通，制定详细的检测计划，并 签字确认； （三）向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。 第十条 检测应严格遵守中国人民银行制定的技术标准和检测规范，真实反映非金融机构或 支付机构业务系统技术标准符合性和安全性状况，保证非金融机构或支付机构业务系统符合 国家信息系统安全等级保护第三级的基本要求。 第十一条 业务系统检测应包括但不限于： （一）功能测试。 验证业务系统的功能是否正确实现，测试其业务处理的准确性。 （二）风险监控测试。 评估业务系统的风险监控、预警和管理措施，测试其业务系统异常交易、大额交易、非法 卡号交易、密码错误交易等风险的监测和防范能力。 （三）性能测试。 验证业务系统是否满足业务需求的多用户并发操作，是否满足业务性能需求，评估压力解 除后的自恢复能力，测试系统性能极限。 （四）安全性测试。 评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安 全、业务连续性等方面的能力及管理措施，评价其业务系统的安全防控和安全管理水平。 （五）文档审核。 验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致，是否符合相关 标准并遵从更新控制和配置管理的要求。 第十二条 检测机构应于检测完成后 10 个工作日内向非金融机构或支付机构提交正式的检 测报告（一式四份）。 第十三条 检测报