为做好《非金融机构支付服务管理办法》中国人民银行令〔2010〕第2号发布实施工作,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》,现公布实施。
非金融机构支付服务业务系统检测认证管理规定
第一章总则
第一条为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保证其系统检测认证的客观性、及时性、全面性和有效性,依据《非金融机构支付服务管理办法》中国人民银行令〔2010〕第2号发布、《非金融机构支付服务管理办法实施细则》中国人民银行公告〔2010〕第17号公布制定本规定。
第二条非金融机构支付服务业务系统检测认证,是指对申请《支付业务许可证》的非金融机构以下统称非金融机构或《非金融机构支付服务管理办法》所指的支付机构以下统称支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。
第三条非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证;支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。
第四条本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。
第五条本规定所称的认证机构应经国家认证认可监督管理委员会批准成立,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。
第六条中国人民银行负责检测、认证资格的认定和管理工作,并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。
第七条非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。
第八条支付机构不得连续两次将业务系统检测委托给同一家检测机构。
第二章检测
第九条非金融机构或支付机构在实施业务系统检测前,应作如下准备:
一与检测机构签订书面合同,合同应明确规定保密条款;
二与检测机构就检测的范围、内容、进度等事项进行沟通,制定详细的检测计划,并签字确认;
三向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第十条检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十一条业务系统检测应包括但不限于:
一功能测试。
验证业务系统的功能是否正确实现,测试其业务处理的准确性。
二风险监控测试。
评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。
三性能测试。
验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限。
四安全性测试。
评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。
转自:
【版权及免责声明】凡本网所属版权作品,转载时须获得授权并注明来源“中国产业经济信息网”,违者本网将保留追究其相关法律责任的权力。凡转载文章及企业宣传资讯,仅代表作者个人观点,不代表本网观点和立场。版权事宜请联系:010-65363056。
延伸阅读
上半年汽车工业多项经济指标创新高
