非金融机构支付业务设施技术认证实施规则V1.9资料下载.pdf
《非金融机构支付业务设施技术认证实施规则V1.9资料下载.pdf》由会员分享,可在线阅读,更多相关《非金融机构支付业务设施技术认证实施规则V1.9资料下载.pdf(19页珍藏版)》请在冰点文库上搜索。
认证申请方获得受理通知书后从认证机构公布的检测机构名录中自主选择检测机构实施检测。
检测机构依据第2章所列标准和规范的要求进行检测。
检测完成后,认证申请方向认证机构提交检测报告。
认证机构依据第2章所列标准和规范的要求,进行文件审查和现场审查。
认证机构对检测结果、文件审查和现场审查结果进行综合评价,向认证决定为“通过认证”的申请方颁发证书。
在证书有效期内,认证机构对获证机构进行证后监督。
6.2认证申请及受理认证申请方向认证机构申请认证,提交认证的材料参见认证机构网站公示的认证申请要求。
初次进行认证申请的认证申请方应提交给认证机构的材料包括但不限于:
(1)认证申请书、技术风险自评估表(适用时)。
(2)认证申请方的营业执照、组织机构代码证、资质证书的复印件,组织架构图。
(3)申请业务类型的业务模式说明。
(4)系统外包情况说明。
若无外包,需提交纸质说明;
如将系统基础设施运维服务、应用系统运维服务和安全管理服务等外包给第三方机构的认证申请方,至少提交认证机构网站公示的认证申请要求中明确的外包管理材料。
认证机构在接收到认证申请方的申请材料后,在5个工作日内确定是否受理(因申请材料不齐备而补充材料的时间不计算在内)。
适用本规则9.3.2的认证申请,认证机构应不予受理。
6.3检测认证申请方在获得受理通知书后从认证机构公布的检测机构名录中自主选择检测机构实施检测。
认证申请方不得连续两次将业务系统检测委托给同一家检测机构。
检测机构应于检测完成后10个工作日向认证申请方提交正式的检测报告及相关材料(一式五份)。
认证申请方须在获得检测报告后6个月内将其中一份递交认证机构。
在认证周期内,当发生如下场景时认证申请方须及时向认证机构申请重新检测:
(1)出现重大安全事故。
(2)业务系统应用架构或者支撑环境变更(包括:
系统架构变更如B/S架构变为C/S架构,操作系统变更,数据库产品变更,中间件产品变更,开发语言变更等)、重要版本变更。
(3)生产中心机房(主机房)场地迁移。
(4)相关主管部门或者采信方要求。
6.4文件审查认证机构在收到检测机构出具的检测报告及相关材料后,安排审查员进行文件审查。
文件审查的范围包括所有申请材料及检测报告。
文件审查应以第2章所列标准或认证规范为依据,对认证申请范围内的业务设施的技术符合性进行审查。
认证申请方如有与申请认证业务范围相关的投诉记录,应分析对认证要求符合性的影响。
6.5现场审查认证机构按照第2章所列标准或认证规范的要求,对申请认证的申请方进行现场审查。
现场审查的内容主要包括但不限于:
(1)文件审查或检测中发现的问题。
(2)认证依据所要求相关管理制度的执行情况。
(3)系统一致性检查。
(4)系统运行场所。
6.6认证结果评价与判定6.6.1审查结论判定审查结论分为推荐通过和推荐不通过两种。
(1)推荐通过若审查结果证明认证申请方提供的支付业务设施技术满足其申请的认证业务范围技术要求,则审查结论判定为“推荐通过”。
(2)推荐不通过推荐不通过的判定依据包括程序上的不通过和评估准则的不通过。
1)若审查过程中发现认证申请方提供材料虚假或者证据不足以及提供的材料不能充分证明其符合性,认证申请方在双方约定时间内不能提供补充材料或材料不充分,则审查报告审查结果为“推荐不通过”。
2)若文件审查或现场审查结果证明认证申请方提供的支付业务设施技术不满足其申请的认证业务范围技术要求,则审查结论判定为“推荐不通过”。
若审查结论为“推荐不通过”,认证机构应对认证申请方提出整改要求,认证申请方可在其技术能力达到相关要求后申请整改验证审查。
6.6.2认证决定认证决定组由技术委员会1名委员担任。
认证决定人员依据第2章所列标准或认证规范、认证程序与认证实施规则等要求,结合审查过程中收集的信息,对审查结果进行综合评价,做出通过认证或不通过认证的决定。
必要时,认证机构应对认证申请方满足认证依据的情况进行风险评估,做出是否授予认证资格的决定,并向认证申请方发送认证结果通知。
对于授予认证资格的认证申请方,认证机构应对其颁发认证证书并在相关媒体上予以公告。
对于不授予认证资格的认证申请方,认证机构应向其以书面形式明示不能获得认证资格的原因。
6.7证后监督6.7.1证后监督频次和方式为确保获证机构对支付业务设施技术标准持续符合性,认证机构应对获证机构开展定期和不定期的证后监督,并综合评估获证机构的技术风险,依据评估结果采用不同的证后监督方式。
(1)定期监督。
从获证之日起每12个月为一个监督审查期,进行一次证后监督。
定期监督一般采用现场审查或远程审查的方式,认证机构根据获证机构的技术风险水平确定审查方式,如监督审查期间系统进行了重新检测,则增加文件审查。
每次定期监督由认证机构依据认证程序提前通知获证机构,要求获证机构向认证机构提交认证申请材料,获证机构提交的材料包括但不限于:
1)本监督审查期间系统变更情况。
2)本监督审查期间在获证业务范围或拟扩大认证业务范围的相关投诉记录;
若无投诉,需提交纸质说明。
皆须盖公章。
3)问题整改情况说明。
4)技术风险自评估表(适用时)。
(2)不定期监督。
认证机构根据非金融机构支付业务设施技术的特点以及所承担的认证风险,可在定期监督的基础上增加不定期监督。
若获证机构在证书有效期内出现以下情况之一,认证机构应视情况增加不定期监督频次:
1)出现重大安全事故。
2)业务系统应用架构或支撑环境变更(包括系统架构变更(如B/S架构变更为C/S架构)、操作系统产品变更、数据库系统产品变更、中间件产品变更、开发语言变更等)、重要版本变更。
3)生产中心机房(主机房)场地迁移。
4)疑似存在受审系统不一致或者重大安全隐患等可能导致证书不具备持续效力的风险因素。
5)认证机构有足够理由对获证系统与本规则中规定的标准要求的符合性提出质疑时。
6)相关主管机构或采信方的要求。
7)认证机构认为有必要增加不定期监督的其他情况。
必要情况下,认证机构可采取事先不通知的方式对认证申请方的生产系统和系统运营场所进行飞行审查。
6.7.2证后监督审查的内容证后监督的审查内容包括但不限于:
(1)系统风险控制能力及安全管理能力审查。
(2)在本监督审查期间的系统变更情况审查,必要时可委托检测机构对系统变更内容进行检测。
(3)本监督审查期间投诉记录对认证要求符合性影响的审查。
(4)认证机构认为存在重大安全隐患或者疑似与本规则中规定的标准要求不符的关键点。
6.7.3证后监督结果评价与判定对于证后监督审查合格的获证机构,认证机构应做出保持其认证资格的决定。
对监督审查不合格的获证机构,认证机构应依据第2章所列标准、认证规范和本实施规则的认证程序暂停甚至撤销其认证资格。
6.8再认证认证证书为有效状态的获证机构可申请再认证,再认证申请应至少于认证证书有效期满前三个月提出,再认证的申请和受理程序与初次认证相同。
再认证须在原证书有效期内完成,原证书到期时如不能完成再认证,原证书按照本规则9.1节要求执行,新证书按照初次认证颁发。
7认证认证变更变更获证机构扩大或缩小认证范围,认证证书状态变更,业务设施架构变更、重要版本变更、生产中心机房(主机房)场地迁移等情况时,应向认证机构提出变更申请,并按照认证机构网站公示要求提交相关材料。
认证机构识别变更的类型和范围,评估变更的影响策划并实施适宜的审查活动,并按照要求做出认证决定。
(1)如果认证变更只涉及到注册名称、注册地址的变更,获证机构仅须递交变更申请,经书面审查批准后,认证机构仅对证书更新并收回原证书。
(2)如果扩展认证范围或发生业务设施架构变更、重要版本变更、生产中心机房(主机房)场地迁移等重大变更,认证申请方需按照初次认证程序执行,审查通过后换发证书。
(3)如果缩小认证范围,认证申请方提交相关申请材料,认证机构对证书更新并收回原证书。
认证要求发生变更时,认证机构应通知相关获证机构。
8认证时限认证时限是指自认证申请正式受理之日起至颁发认证证书时止所实际发生的工作日,其中包括检测、文件审查、现场审查、认证评价、认证决定以及证书制作时间。
检测机构应在认证申请方获得受理通知书后1个半月内进场检测,检测时间一般不超过30个工作日(因检测项不合格,进行整改和复试的时间不计算在内,整改时间一般不超过3个月),并于6个月内提交检测报告。
一般在收到检测报告后5个工作日内安排文件审查,文件审查、现场审查时间一般不超过20个工作日,认证评价、认证决定、证书制作时间共计不超过10个工作日。
补充材料和整改时间不计算在内。
9认证证书9.1认证证书有效期非金融机构支付业务设施技术认证证书有效期为3年,证书到期后自动失效。
9.2认证证书和认证标志的使用9.2.1认证证书的使用认证证书是认证机构颁发给认证申请方证明其服务符合认证要求的一种证明文件。
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料中或广告宣传等商业活动,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的业务系统获得认证,宣传认证结果时不应损害认证机构的声誉。
认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。
获证机构应妥善保管好证书,以免丢失、损坏。
如发生证书丢失、损坏的,获证机构可申请补发。
获证机构应建立认证证书、审核报告使用和管理制度,对认证证书的使用情况如实记录存档。
9.2.2认证标志的使用获证机构若以某种方式使用认证标志时,应事先向认证机构提出书面申请,由认证机构书面授权获证机构以指定的方式使用指定的认证标志。
认证标志在使用时,应与获证机构单位名称和系统名称放在一起。
在使用标志图案时,应根据认证机构提供的图样按比例放大或缩小。
认证标志只能由获证机构在获准认证范围内使用,不得以任何方式转让、转送、出售、借用、冒用。
9.3认证证书的管理认证证书的变更依照第7章所列场景处理,认证证书的暂停、恢复、撤销和注销要求:
9.3.1暂停认证证书获证机构有下列情形之一的,认证机构应当暂停认证证书:
(1)未按照规定及时接受证后监督审查或申请再认证。
(2)获证机构未按规定使用认证证书和认证标志。
(3)监督结果证明获证机构的支付业务设施技术不符合认证要求,但不需要立即撤销认证证书。
(4)获证机构未履行与认证机构签署的认证合同中规定的责任和义务,如未按时支付认证费用等。
(5)获证机构主动请求暂停。
(6)未按6.3规定重新检测。
(7)在特定时期国家或行业管理部门有要求予以暂停。
暂停期限为三个月。
在三个月内,获证机构应完成认证证书恢复,获证机构至少在撤销期前1个月提出恢复认证申请。
认证机构经审查、批准后,方可使用该证书。
在认证证书暂停期间,获证机构不得继续使用证书。
9.3.2撤销认证证书获证机构有下列情形之一,认证机构应当撤销其认证证书:
(1)获证机构出现严重问题,或获证机构在认证范围内无法满足适用的法律法规、认证标准规范要求,并在短期内无法整改达成要求的。
(2)获证机构不接受认证机构对其实施的证后监督审查或证书到期未申请再认证的。
(3)认证证书暂停使用期间,获证机构未采取有效纠正措施。
(4)认证证书暂停使用期满,获证机构未完成证书恢复。
(5)出现重大安全事故,社会影响恶劣或者性质特别严重的。
认证证书撤销后,认证机构应收回认证证书,并在相关媒体上予以公告。
原则上,因
(1)(3)(4)(5)原因认证证书撤销的获证机构3个月内不予受理认证申请。
9.3.3注销认证证书获证机构因为自身原因申请注销认证证书,认证机构应当给予注销。
认证证书注销后,认证机构应收回认证证书,并在相关媒体上予以公告。
10信息沟通机制获证机构应建立信息通报制度,在发生第7章描述的变更和6.7.1节触发不定期监督审查的情况时应及时向认证机构通报相关信息。
认证机构应建立信息沟通渠道,及时了解获证机构及检测机构意见,加强对认证要求的宣贯培训。
认证机构应宣传普及认证业务知识,积极拓展认证结果采信和信息传播渠道,如:
认证机构应按照要求及时将认证结果信息通报相关政府监管部门。
11申诉、投诉11.1申诉申诉是指认证申请方申请认证机构重新考虑认证决定结果的书面请求。
认证申请方如对认证决定结果有异议,可在收到认证结果通知后10个工作日内通过认证机构公布的各种渠道提出申诉,认证机构自收到申诉之日起,应在6个月内进行处理,并将处理结果书面通知认证申请方。
11.2投诉投诉指任何组织或个人向认证机构表达的,有别于申诉并希望得到答复的,对认证机构、认证机构各业务部门、审查组、认证审查相关人员及其活动,检测机构、检测机构检测人员及其活动的不满表示。
认证机构自收到投诉之日起,应在3个月内进行处理,并将处理结果反馈投诉方。
12检测机构合作管理认证机构应选择具有本项认证相关检测能力的检测机构,与检测机构签署检测合作协议书,并将检测机构名单公布在其网站上。
认证机构应对检测机构的检测过程和检测质量进行持续动态监管。
13收费收费由认证机构、检测机构按国家有关规定统一收取。
14认证责任认证申请方对其系统及文档、认证申请资料及声明等信息的真实性负责。
检测机构对其检测结果及检测报告真实性、完整性和准确性负责。
认证机构对其认证结果的公正性、客观性负责。
升级会员 