人民银行非金融机构支付服务业务系统检测认证管理规定
中国人民银行公告〔2011〕第14号-中国人民银行
为做好《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)实施工作,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》,现公布实施。
中国人民银行
二〇一一年六月十六日
非金融机构支付服务业务系统检测认证管理规定
第一章 总 则
第一条 为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保证其系统检测认证的客观性、及时性、全面性和有效性,依据《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)、《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号公布)制定本规定。
第二条 非金融机构支付服务业务系统检测认证,是指对申请《支付业务许可证》的非金融机构(以下统称非金融机构)或《非金融机构支付服务管理办法》所指的支付机构(以下统称支付机构),其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。
第三条 非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证;支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。
第四条 本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。
第五条 本规定所称的认证机构应经国家认证认可监督管理委员会批准成立,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。
第六条 中国人民银行负责检测、认证资格的认定和管理工作,并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。
第七条 非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。
第八条 支付机构不得连续两次将业务系统检测委托给同一家检测机构。
第二章 检 测
第九条 非金融机构或支付机构在实施业务系统检测前,应作如下准备:
(一)与检测机构签订书面合同,合同应明确规定保密条款;
(二)与检测机构就检测的范围、内容、进度等事项进行沟通,制定详细的检测计划,并签字确认;
(三)向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第十条 检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十一条 业务系统检测应包括但不限于:
(一)功能测试。
验证业务系统的功能是否正确实现,测试其业务处理的准确性。
(二)风险监控测试。
评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交 易、非法卡号交易、密码错误交易等风险的监测和防范能力。
(三)性能测试。
验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限。
(四)安全性测试。
评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。
(五)文档审核。
验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致,是否符合相关标准并遵从更新控制和配置管理的要求。
第十二条 检测机构应于检测完成后10个工作日内向非金融机构或支付机构提交正式的检测报告(一式四份)。
第十三条 检测报告应包括以下内容:
(一)支付服务业务系统名称、版本;
(二)检测的时间、范围;
(三)检测设备、工具及环境说明;
(四)检测机构名称、检测人员说明;
(五)检测内容与检测具体结果描述;
(六)检测过程中发现的问题及整改情况;
(七)检测结果及建议;
(八)申请检测认证的业务系统与生产系统的一致性声明;
(九)其他需要说明的问题。
第十四条 非金融机构或支付机构在收到检测机构出具的检测报告后,应及时将检测报告及相关材料提交认证机构,并申请认证。
第三章 认 证
第十五条 非金融机构或支付机构在实施支付服务业务系统认证前,应与认证机构签订书面合同,合同应明确规定保密条款。
第十六条 认证应秉承客观、公正、科学的原则,按照国家有关认证认可法律法规及中国人民银行关于非金融机构支付服务业务系统的技术标准和认证要求实施。
第十七条 认证机构应及时处理认证申请,并在正式受理申请后的20个工作日内向非金融机构或支付机构通告认证结果,对合格机构出具认证证书。
第四章 监督与管理
第十八条 支付机构正式开办支付业务后,有下列情况之一的,应及时进行检测:
(一)出现重大安全事故;
(二)业务系统应用架构变更、重要版本变更;
(三)生产中心机房场地迁移;
(四)其他中国人民银行要求的情况。
第十九条 检测认证程序、方法不符合国家检测认证相关规定和中国人民银行相关要求,或检测认证结果严重失真的,中国人民银行及其分支机构可以要求重新进行检测或认证,因此而产生的费用由违反规定的检测机构、认证机构承担。
第二十条 检测机构或认证机构未按照中国人民银行制定的检测认证规范和相关要求进行检测认证活动,或未严格坚持科学、公正的原则进行检测认证工作并造成不良后果的,中国人民银行视其情节轻重给予以下处罚:
(一)通报批评;
(二)责令限期改正,整改期间暂停相关检测认证工作;
(三)整改不力的,取消其从事非金融机构支付服务业务系统检测或认证资格,
并报国家认证认可监督管理部门备案。
第五章 附 则
第二十一条 本规定由中国人民银行负责解释。
第二十二条 本规定自发布之日起施行。
相关文章
- 非金融机构支付服务管理办法实施细则[2号令]
- 非金融机构支付服务管理办法实施细则
- 第12章 网络金融安全
- 电子商务与金融
- 网银系统建设项目可行性研究报告
- 互联网金融,监管政策莫误读(热点聚焦
- 网上银行安全论文
- [电子支付与网上银行]考试大纲
- 金融市场学论文最终版
- 支付机构网络支付业务管理办法(征求意见稿)
[法规标题]非金融机构支付服务管理办法实施细则 [颁布单位]中国人民银行 [发文字号]中国人民银行公告[2010]第17号 [颁布时间]2010-12-1 [生效时间]2010-12-1 [全文] 非金融机构支付服务 ...
关于公开征求<非金融机构支付服务管 理办法实施细则>意见的通知 颁布时间:2010-9-21 为配合<非金融机构支付服务管理办法>(中国人民银行令[2010]第2号)的实施工作,中国人民银行起草了<非金融机构支 ...
第十二章 互联网金融安全 [学习目标] 通过本章的学习,了解互联网金融用户在安全方面需要解决的问题, 针对这些问题可以采取的安全手段和技术方法.通过使用用户身份验证.防窃听技术.数据保护技术,提高网络金融系统的可靠性.灵活性和安全访问能力. ...
1:电子化付款是目前电子商务活动中资金流通采用的主要方式,试考虑一下目35.E-Cash:是由Digicash公司开发的一种无条件匿名电子现金支付系统.E-Cash22.简述小额批量支付系统的特点,参与者及运行原则. 小批量支付系统BEPS ...
网银系统建设项目 1 网银概述 国际互联网(Internet )在世界范围的飞速发展对社会各方面产生了巨大而深远的影响,并正在从根本上改变着人类的生活方式,应运而生的网上银行(Internet bank or E-bank,以下简称网银), ...
近期,央行暂停二维码(条码)支付.虚拟信用卡,酝酿网络支付新政,引起市 场广泛关注 互联网金融,监管政策莫误读(热点聚焦·近看互联网理 财(下)) 本报记者 田俊荣 欧阳洁 < 人民日报 >( 2014年03月24日 18 版) ...
网络信息安全课程设计 --网上银行存在的安全问题 目录 一.网上银行简介„„„„„„„„„„„„„„„„„„„3 二.网上银行存在的问题„„„„„„„„„„„„„„„„3 2.1网银安全问题的主要表现„„„„„„„„„„„„„„„„„„3 ...
<电子支付与网上银行>考试大纲 时间:第12周 2016-05-19 周四 13:00 - 14:30 90分钟 考场:T101 闭卷考试 (以系统查询为准) 题型: 1) 选择题:10题*3分=30分 2) 填空题:10空*2 ...
对我国互联网金融的监管分析 1301010130 罗玲玲 13金融1班 摘要:从20世纪90年代中期起,随着网上证券.网上保险.网上银行的浮现,我国网络金融经历了第一轮快速发展的浪潮.在这样的背景下,互联网金融模式具有多样化且具有虚拟性,法 ...
支付机构网络支付业务管理办法(征求意见稿) 第一章总则 第一条为规范支付机构网络支付业务,防范支付风险,保护当事人合法权益,根据<中华人民共和国中国人民银行法>.<非金融机构支付服务管理办法>等规定,制定本办法. 第 ...