• 【發(fā)布單位】中國人民銀行
• 【發(fā)布文號】中國人民銀行公告〔2011〕第14號
• 【發(fā)布日期】2011-06-16
• 【生效日期】2011-06-16
• 【失效日期】--
• 【文件來源】中國人民銀行
• 【所屬類別】國家法律法規(guī)

非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定

非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定
中國人民銀行公告〔2011〕第14號

    為做好《非金融機構(gòu)支付服務管理辦法》（中國人民銀行令〔2010〕第2號發(fā)布）實施工作，保障非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證工作規(guī)范有序開展,，中國人民銀行制定了《非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定》,，現(xiàn)公布實施。
中國人民銀行
二〇一一年六月十六日

非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定
    第一章 總 則
    第一條 為加強非金融機構(gòu)支付服務業(yè)務的信息安全管理與技術風險防范,，保證其系統(tǒng)檢測認證的客觀性,、及時性、全面性和有效性,，依據(jù)《非金融機構(gòu)支付服務管理辦法》（中國人民銀行令〔2010〕第2號發(fā)布）,、《非金融機構(gòu)支付服務管理辦法實施細則》（中國人民銀行公告〔2010〕第17號公布）制定本規(guī)定,。
    第二條 非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證,，是指對申請《支付業(yè)務許可證》的非金融機構(gòu)（以下統(tǒng)稱非金融機構(gòu)）或《非金融機構(gòu)支付服務管理辦法》所指的支付機構(gòu)（以下統(tǒng)稱支付機構(gòu)），其支付業(yè)務處理系統(tǒng),、網(wǎng)絡通信系統(tǒng)以及容納上述系統(tǒng)的專用機房進行的技術標準符合性和安全性檢測認證工作,。
    第三條 非金融機構(gòu)在申請《支付業(yè)務許可證》前6個月內(nèi)應對其業(yè)務系統(tǒng)進行檢測認證；支付機構(gòu)應根據(jù)其支付業(yè)務發(fā)展和安全管理的要求,，至少每3年對其業(yè)務系統(tǒng)進行一次全面的檢測認證,。
    第四條 本規(guī)定所稱的檢測機構(gòu)應按照國家有關認證認可的規(guī)定取得資質(zhì)認定，通過中國合格評定國家認可中心的認可,，并取得中國人民銀行關于非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測授權(quán)資格,。
    第五條 本規(guī)定所稱的認證機構(gòu)應經(jīng)國家認證認可監(jiān)督管理委員會批準成立，通過中國合格評定國家認可中心的認可,，并取得中國人民銀行關于非金融機構(gòu)支付服務業(yè)務系統(tǒng)認證授權(quán)資格,。
    第六條 中國人民銀行負責檢測、認證資格的認定和管理工作,，并定期向社會公布通過檢測,、認證資格認定的機構(gòu)名單及其業(yè)務范圍。
    第七條 非金融機構(gòu)或支付機構(gòu)在檢測認證過程中應與檢測機構(gòu)和認證機構(gòu)建立信息保密工作機制,。
    第八條 支付機構(gòu)不得連續(xù)兩次將業(yè)務系統(tǒng)檢測委托給同一家檢測機構(gòu),。
    第二章 檢 測
    第九條 非金融機構(gòu)或支付機構(gòu)在實施業(yè)務系統(tǒng)檢測前，應作如下準備：
    （一）與檢測機構(gòu)簽訂書面合同,，合同應明確規(guī)定保密條款,；
    （二）與檢測機構(gòu)就檢測的范圍,、內(nèi)容、進度等事項進行溝通,，制定詳細的檢測計劃,，并簽字確認；
    （三）向檢測機構(gòu)提交所申請檢測認證的業(yè)務系統(tǒng)與生產(chǎn)系統(tǒng)的一致性聲明,。
    第十條 檢測應嚴格遵守中國人民銀行制定的技術標準和檢測規(guī)范,，真實反映非金融機構(gòu)或支付機構(gòu)業(yè)務系統(tǒng)技術標準符合性和安全性狀況，保證非金融機構(gòu)或支付機構(gòu)業(yè)務系統(tǒng)符合國家信息系統(tǒng)安全等級保護第三級的基本要求,。
    第十一條 業(yè)務系統(tǒng)檢測應包括但不限于：
    （一）功能測試,。
    驗證業(yè)務系統(tǒng)的功能是否正確實現(xiàn)，測試其業(yè)務處理的準確性,。
    （二）風險監(jiān)控測試,。
    評估業(yè)務系統(tǒng)的風險監(jiān)控、預警和管理措施,，測試其業(yè)務系統(tǒng)異常交易,、大額交易、非法卡號交易,、密碼錯誤交易等風險的監(jiān)測和防范能力,。
    （三）性能測試。
    驗證業(yè)務系統(tǒng)是否滿足業(yè)務需求的多用戶并發(fā)操作,，是否滿足業(yè)務性能需求,，評估壓力解除后的自恢復能力，測試系統(tǒng)性能極限,。
    （四）安全性測試,。
    評估業(yè)務系統(tǒng)在網(wǎng)絡安全、主機安全,、應用安全,、數(shù)據(jù)安全、運行維護安全,、電子認證安全,、業(yè)務連續(xù)性等方面的能力及管理措施，評價其業(yè)務系統(tǒng)的安全防控和安全管理水平,。
    （五）文檔審核,。
    驗證業(yè)務系統(tǒng)的用戶文檔、開發(fā)文檔,、管理文檔等是否完整,、有效、一致，是否符合相關標準并遵從更新控制和配置管理的要求,。
    第十二條 檢測機構(gòu)應于檢測完成后10個工作日內(nèi)向非金融機構(gòu)或支付機構(gòu)提交正式的檢測報告（一式四份）,。
    第十三條 檢測報告應包括以下內(nèi)容：
    （一）支付服務業(yè)務系統(tǒng)名稱、版本,；
    （二）檢測的時間,、范圍；
    （三）檢測設備,、工具及環(huán)境說明,；
    （四）檢測機構(gòu)名稱、檢測人員說明,；
    （五）檢測內(nèi)容與檢測具體結(jié)果描述,；
    （六）檢測過程中發(fā)現(xiàn)的問題及整改情況；
    （七）檢測結(jié)果及建議,；
    （八）申請檢測認證的業(yè)務系統(tǒng)與生產(chǎn)系統(tǒng)的一致性聲明,；
    （九）其他需要說明的問題。
    第十四條 非金融機構(gòu)或支付機構(gòu)在收到檢測機構(gòu)出具的檢測報告后,，應及時將檢測報告及相關材料提交認證機構(gòu),，并申請認證。
    第三章 認 證
    第十五條 非金融機構(gòu)或支付機構(gòu)在實施支付服務業(yè)務系統(tǒng)認證前,，應與認證機構(gòu)簽訂書面合同,，合同應明確規(guī)定保密條款。
    第十六條 認證應秉承客觀,、公正,、科學的原則,，按照國家有關認證認可法律法規(guī)及中國人民銀行關于非金融機構(gòu)支付服務業(yè)務系統(tǒng)的技術標準和認證要求實施,。
    第十七條 認證機構(gòu)應及時處理認證申請，并在正式受理申請后的20個工作日內(nèi)向非金融機構(gòu)或支付機構(gòu)通告認證結(jié)果,，對合格機構(gòu)出具認證證書,。
    第四章 監(jiān)督與管理
    第十八條 支付機構(gòu)正式開辦支付業(yè)務后，有下列情況之一的,，應及時進行檢測：
    （一）出現(xiàn)重大安全事故,；
    （二）業(yè)務系統(tǒng)應用架構(gòu)變更、重要版本變更,；
    （三）生產(chǎn)中心機房場地遷移,；
    （四）其他中國人民銀行要求的情況。
    第十九條 檢測認證程序,、方法不符合國家檢測認證相關規(guī)定和中國人民銀行相關要求,，或檢測認證結(jié)果嚴重失真的，中國人民銀行及其分支機構(gòu)可以要求重新進行檢測或認證,，因此而產(chǎn)生的費用由違反規(guī)定的檢測機構(gòu),、認證機構(gòu)承擔,。
    第二十條 檢測機構(gòu)或認證機構(gòu)未按照中國人民銀行制定的檢測認證規(guī)范和相關要求進行檢測認證活動，或未嚴格堅持科學,、公正的原則進行檢測認證工作并造成不良后果的,，中國人民銀行視其情節(jié)輕重給予以下處罰：
    （一）通報批評；
    （二）責令限期改正,，整改期間暫停相關檢測認證工作,；
    （三）整改不力的，取消其從事非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測或認證資格,，并報國家認證認可監(jiān)督管理部門備案,。
    第五章 附 則
    第二十一條 本規(guī)定由中國人民銀行負責解釋。
    第二十二條 本規(guī)定自發(fā)布之日起施行,。