(二)与检测机构就检测的范围、内容、进度等事项进行沟通,制定详细的检测计划,并签字确认;
(三)向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第十条 检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十一条 业务系统检测应包括但不限于:
(一)功能测试。
验证业务系统的功能是否正确实现,测试其业务处理的准确性。
(二)风险监控测试。
评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。
(三)性能测试。
验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限。
(四)安全性测试。
评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。
(五)文档审核。
验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致,是否符合相关标准并遵从更新控制和配置管理的要求。
第十二条 检测机构应于检测完成后10个工作日内向非金融机构或支付机构提交正式的检测报告(一式四份)。
第十三条 检测报告应包括以下内容:
(一)支付服务业务系统名称、版本;
(二)检测的时间、范围;
(三)检测设备、工具及环境说明;
(四)检测机构名称、检测人员说明;
(五)检测内容与检测具体结果描述;
(六)检测过程中发现的问题及整改情况;
(七)检测结果及建议;
(八)申请检测认证的业务系统与生产系统的一致性声明;
(九)其他需要说明的问题。
第十四条 非金融机构或支付机构在收到检测机构出具的检测报告后,应及时将检测报告及相关材料提交认证机构,并申请认证。
第三章 认 证
第十五条 非金融机构或支付机构在实施支付服务业务系统认证前,应与认证机构签订书面合同,合同应明确规定保密条款。
第十六条 认证应秉承客观、公正、科学的原则,按照国家有关认证认可法律法规及中国人民银行关于非金融机构支付服务业务系统的技术标准和认证要求实施。
2/3 首页 上一页 1 2 3 下一页 尾页
