為做好《非金融機構支付服務管理辦法》中國人民銀行令〔2010〕第2號發布實施工作,保障非金融機構支付服務業務系統檢測認證工作規范有序開展,中國人民銀行制定了《非金融機構支付服務業務系統檢測認證管理規定》,現公布實施。
非金融機構支付服務業務系統檢測認證管理規定
第一章總則
第一條為加強非金融機構支付服務業務的信息安全管理與技術風險防范,保證其系統檢測認證的客觀性、及時性、全面性和有效性,依據《非金融機構支付服務管理辦法》中國人民銀行令〔2010〕第2號發布、《非金融機構支付服務管理辦法實施細則》中國人民銀行公告〔2010〕第17號公布制定本規定。
第二條非金融機構支付服務業務系統檢測認證,是指對申請《支付業務許可證》的非金融機構以下統稱非金融機構或《非金融機構支付服務管理辦法》所指的支付機構以下統稱支付機構,其支付業務處理系統、網絡通信系統以及容納上述系統的專用機房進行的技術標準符合性和安全性檢測認證工作。
第三條非金融機構在申請《支付業務許可證》前6個月內應對其業務系統進行檢測認證;支付機構應根據其支付業務發展和安全管理的要求,至少每3年對其業務系統進行一次全面的檢測認證。
第四條本規定所稱的檢測機構應按照國家有關認證認可的規定取得資質認定,通過中國合格評定國家認可中心的認可,并取得中國人民銀行關于非金融機構支付服務業務系統檢測授權資格。
第五條本規定所稱的認證機構應經國家認證認可監督管理委員會批準成立,通過中國合格評定國家認可中心的認可,并取得中國人民銀行關于非金融機構支付服務業務系統認證授權資格。
第六條中國人民銀行負責檢測、認證資格的認定和管理工作,并定期向社會公布通過檢測、認證資格認定的機構名單及其業務范圍。
第七條非金融機構或支付機構在檢測認證過程中應與檢測機構和認證機構建立信息保密工作機制。
第八條支付機構不得連續兩次將業務系統檢測委托給同一家檢測機構。
第二章檢測
第九條非金融機構或支付機構在實施業務系統檢測前,應作如下準備:
一與檢測機構簽訂書面合同,合同應明確規定保密條款;
二與檢測機構就檢測的范圍、內容、進度等事項進行溝通,制定詳細的檢測計劃,并簽字確認;
三向檢測機構提交所申請檢測認證的業務系統與生產系統的一致性聲明。
第十條檢測應嚴格遵守中國人民銀行制定的技術標準和檢測規范,真實反映非金融機構或支付機構業務系統技術標準符合性和安全性狀況,保證非金融機構或支付機構業務系統符合國家信息系統安全等級保護第三級的基本要求。
第十一條業務系統檢測應包括但不限于:
一功能測試。
驗證業務系統的功能是否正確實現,測試其業務處理的準確性。
二風險監控測試。
評估業務系統的風險監控、預警和管理措施,測試其業務系統異常交易、大額交易、非法卡號交易、密碼錯誤交易等風險的監測和防范能力。
三性能測試。
驗證業務系統是否滿足業務需求的多用戶并發操作,是否滿足業務性能需求,評估壓力解除后的自恢復能力,測試系統性能極限。
四安全性測試。
評估業務系統在網絡安全、主機安全、應用安全、數據安全、運行維護安全、電子認證安全、業務連續性等方面的能力及管理措施,評價其業務系統的安全防控和安全管理水平。
轉自:
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
上半年汽車工業多項經濟指標創新高
