非金融机构支付服务业务系统检测规范移动电话支付远程支付部分V20整理优秀.docx

非金融机构支付服务业务系统检测规范移动电话支付远程支付部分V20整理优秀.docx

《非金融机构支付服务业务系统检测规范移动电话支付远程支付部分V20整理优秀.docx》由会员分享，可在线阅读，更多相关《非金融机构支付服务业务系统检测规范移动电话支付远程支付部分V20整理优秀.docx（32页珍藏版）》请在冰点文库上搜索。

非金融机构支付服务业务系统检测规范移动电话支付远程支付部分V20整理优秀

非金融机构支付服务业务系统检测规范_移动电话支付（远程支付）部分V2.0[整理]【优秀】

（文档可以直接使用，也可根据实际需要修订后使用,可编辑推荐下载）

非金融机构支付服务业务系统检测规范

（移动支付（远程支付）部分）

（V2.0版）

中国人民银行

2021年4月

第一部分总则

一、检测依据

1.GB/T25000.51-2021软件工程软件产品质量要求与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则

2.GB/T16260-2006软件工程产品质量

3.GB/T17544-1998信息技术软件包质量要求和测试

4.GB/T18905-2002软件工程产品评价

5.GB/T27025-2021检测和校准实验室能力的通用要求

6.GB/T8567-2006计算机软件文档编制规范

7.GB/T9385-2021计算机软件需求规格说明规范

8.GB/T9386-2021计算机软件测试文档编制规范

9.GB/T14394-2021计算机软件可靠性和可维护性管理

10.GB/T15332-2021计算机软件测试规范

11.GB/T20271-2006信息安全技术信息系统通用安全技术要求

12.GB/T18336-2021信息技术安全技术信息技术安全性评估准则

13.GB17859-1999计算机信息系统安全保护等级划分准则

14.《非金融机构支付服务管理办法》（中国人民银行令〔2021〕第2号）

15.《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2021〕第17号）

16.《非金融机构支付服务业务系统检测认证管理规定》（中国人民银行公告〔2021〕第14号）

二、检测目标

检测目标是在系统版本确定的基础上，对非金融机构支付服务业务（移动支付（远程支付））系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试，客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求，保障我国支付业务设施的安全稳定运行。

三、启动准则

1．非金融机构提交的支付服务业务系统被测版本与生产版本一致；

2．非金融机构支付服务业务系统内部测试进行完毕；

3．系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕；

4．测试环境准备完毕，具体包括：

（1）测试环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行；

（2）支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确；

（3）用于功能和性能测试的基础数据准备完毕；

（4）测试用机到位，系统及软件安装完毕；

（5）测试环境网络配置正确，连接通畅，可以满足测试需求。

四、术语定义

1.非金融机构支付服务：

是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：

（1）货币汇兑

（2）互联网支付

（3）移动支付

（4）固定支付

（5）数字电视支付

（6）预付卡的发行与受理

（7）银行卡收单

（8）中国人民银行确定的其他支付服务

2.移动支付（远程支付）：

是指移动终端（通常指）以短信、WAP、客户端软件以及客户端软件加智能卡等方式，通过无线通信网络发出支付指令，实现货币支付与资金转移的行为。

五、适用范围

第三方检测机构按照本规范制定支付服务业务系统技术标准符合性和安全性检测方案。

第二部分检测内容

一、功能测试

验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理的准确性，测试内容如下：

编号

检测项

检测说明

1.1

客户管理

1.1.1客户信息登记及管理

必测项

1.1.2终端设备关联

1.1.3商业银行管理

1.1.4客户证书管理

1.1.5客户审核

必测项

1.6

账户管理

1.2.1客户支付账户管理

必测项

1.2.2客户支付账户管理审核

1.2.3银行卡关联

1.2.4客户支付账户查询

必测项

1.2.5客户支付账户资金审核

1.10

卡片管理

1.3.1制卡

必测项（无卡片发行情况不适用）

1.3.2卡片发行

必测项（无卡片发行情况不适用）

1.3.3卡片激活

必测项（无卡片发行情况不适用）

1.3.4卡片个人化

必测项（无卡片发行情况不适用）

1.3.5更换

必测项（无卡片发行情况不适用）

1.3.6密码修改

1.3.7挂失/解挂

1.3.8锁定/解锁

1.3.9注销

1.19

密钥和证书管理

1.4.1认证中心公钥管理

1.4.2支付机构密钥管理

1.4.3卡片密钥管理

必测项（无卡片发行情况不适用）

1.4.4支付机构证书管理

1.4.5卡片证书管理

1.24

交易处理

1.5.1一般支付

一般支付类必测项

1.5.2担保支付

担保支付类必测项

1.5.3协议支付

协议支付类必测项

1.5.4订单撤销

必测项

1.5.5转账

1.5.6预存

1.5.7提现

1.5.8积分查询

1.5.9积分兑换

1.5.10积分兑换撤销

1.5.11交易纠纷处理

1.5.12交易明细查询

必测项

1.5.13交易明细下载

1.5.14邀请其他人代付

1.38

资金结算

1.6.1客户结算

必测项

1.39

对账处理

1.7.1发送对账请求

1.7.2生成对账文件

1.41

差错处理

1.8.1长款/短款处理

必测项

1.8.2单笔退款

必测项

1.8.3批量退款

1.44

统计报表

1.9.1业务类报表

必测项

1.9.2运行管理类报表

必测项

1.46

运营管理

1.10.1运营人员权限管理

必测项

1.10.2提现风控处理

1.10.3提现财务处理

1.10.4退款风控处理

必测项

1.10.5退款财务处理

必测项

二、风险监控测试

验证支付服务业务系统的账户及交易风险，测试内容如下：

编号

检测项

检测说明

2.1

账户风险管理

2.1.1实名认证

2.1.2业务范围

短信支付、WAP支付必测项

2.1.3号码与账户绑定

短信支付必测项

2.1.4账户变更

必测项

2.5

交易监控

2.2.1监控规则管理

必测项

2.2.2当日交易查询

必测项

2.2.3历史交易查询

必测项

2.2.4实时交易监控

必测项

2.2.5可疑交易处理

必测项

2.2.6交易事件报警

必测项

2.11

交易风险管理

2.3.1单笔充值上限

必测项（无卡片发行情况不适用）

2.3.2单笔消费上限

必测项

2.3.3单日、单月累计消费上限

必测项

2.3.4当日累计消费次数限制

必测项

2.3.5账户资金余额上限

必测项（无卡片发行情况不适用）

2.16

交易审核

2.4.1系统自动审核

必测项

2.4.2人工审核

必测项

2.18

风控规则

2.5.1风控规则管理

必测项

2.5.2黑名单

必测项

2.5.3风险识别

必测项

2.5.4事件管理

必测项

2.5.5风险报表

必测项

2.23

商户风险管理

2.6.1商户资质审核

必测项

2.6.2商户签约

必测项

2.6.3特约商户日常风险管理

必测项

2.6.4合作的第三方机构的风险管理

2.6.5特约商户强制冻结、解冻、解约

必测项

2.6.6可疑商户信息共享

2.6.7风险事件报送

必测项

三、性能测试

对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。

测试内容包括以下三个方面：

一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。

根据以上性能测试内容，并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则，选取以下测试业务点：

编号

检测项

检测说明

3.1

3.1.1支付

必测项

3.2

3.2.1预存

3.3

3.3.1转账

3.4

3.4.1交易明细查询

必测项

3.5

3.5.1日终批处理

四、安全性测试

1.网络安全性测试

对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。

检测内容如下：

编号

检测项

检测说明

4.1.1

结构安全

4.1.1.1网络冗余和备份

必测项

4.1.1.2网络安全路由器

必测项

4.1.1.3网络安全防火墙

必测项

4.1.1.4网络拓扑结构

必测项

4.1.1.5IP子网划分

必测项

4.1.1.6QoS保证

必测项

4.1.7

网络访问控制

4.1.2.1网络域安全隔离和限制

必测项

4.1.2.2地址转换和绑定

必测项

4.1.2.3内容过滤

必测项

4.1.2.4访问控制

必测项

4.1.2.5流量控制

必测项

4.1.2.6会话控制

必测项

4.1.2.7远程拨号访问控制和记录

必测项

4.1.14

网络安全审计

4.1.3.1日志信息

必测项

4.1.3.2网络系统故障分析

必测项

4.1.3.3网络对象操作审计

必测项

4.1.3.4日志权限和保护

必测项

4.1.3.5审计工具

必测项

4.1.19

边界完整性检查

4.1.4.1内外网非法连接阻断和定位

必测项

4.1.20

网络入侵防范

4.1.5.1网络ARP欺骗攻击

必测项

4.1.5.2信息窃取

必测项

4.1.5.3DOS/DDOS攻击

必测项

4.1.5.4网络入侵防范机制

必测项

4.1.24

恶意代码防范

4.1.6.1恶意代码防范措施

必测项

4.1.6.2定时更新

必测项

4.1.26

网络设备防护

4.1.7.1设备登录设置

必测项

4.1.7.2设备登录口令安全性

必测项

4.1.7.3登录地址限制

必测项

4.1.7.4远程管理安全

必测项

4.1.7.5设备用户设置策略

必测项

4.1.7.6权限分离

必测项

4.1.7.7最小化服务

必测项

4.1.33

网络安全管理

4.1.8.1网络设备运维手册

必测项

4.1.8.2定期补丁安装

必测项

4.1.8.3漏洞扫描

必测项

4.1.8.4网络数据传输加密

必测项

4.1.37

网络相关人员安全管理

4.1.9.1网络安全管理人员配备

必测项

4.1.9.2网络安全管理人员责任划分规则

必测项

4.1.9.3网络安全关键岗位人员管理

必测项

2.主机安全性测试

对支付服务业务系统主机安全防护进行检测，考察主机的安全控制能力。

检测内容如下：

编号

检测项

检测说明

4.2.1

身份鉴别

4.2.1.1系统与应用管理员用户设置

必测项

4.2.1.2系统与应用管理员口令安全性

必测项

4.2.1.3登录策略

必测项

4.2.4

访问控制

4.2.2.1访问控制范围

必测项

4.2.2.2主机信任关系

必测项

4.2.2.3默认过期用户

必测项

4.2.7

安全审计

4.2.3.1日志信息

必测项

4.2.3.2日志权限和保护

必测项

4.2.3.3系统信息分析

必测项

4.2.10

系统保护

4.2.4.1系统备份

必测项

4.2.4.2故障恢复策略

必测项

4.2.4.3磁盘空间安全

必测项

4.2.4.4主机安全加固

必测项

4.2.14

剩余信息保护

4.2.5.1剩余信息保护

必测项

4.2.15

入侵防范

4.2.6.1入侵防范记录

必测项

4.2.6.2关闭服务和端口

必测项

4.2.6.3最小安装原则

必测项

4.2.18

恶意代码防范

4.2.7.1防范软件安装部署

必测项

4.2.7.2病毒库定时更新

必测项

4.2.7.3防范软件统一管理

必测项

4.2.21

资源控制

4.2.8.1连接控制

必测项

4.2.8.2资源监控和预警

必测项

4.2.23

主机安全管理

4.2.9.1主机运维手册

必测项

4.2.9.2漏洞扫描

必测项

4.2.9.3系统补丁

必测项

4.2.9.4操作日志管理

必测项

4.2.27

主机相关人员安全管理

4.2.10.1主机安全管理人员配备

必测项

4.2.10.2主机安全管理人员责任划分规则

必测项

4.2.10.3主机安全关键岗位人员管理

必测项

3.应用安全性测试

对支付服务业务系统应用安全性检测，主要检测应用系统对非法访问及操作的控制能力。

检测内容如下：

编号

检测项

检测说明

4.3.1

身份鉴别

4.3.1.1系统与普通用户设置

必测项

4.3.1.2系统与普通用户口令安全性

必测项

4.3.1.3登录访问安全策略

必测项

4.3.1.4非法访问警示和记录

必测项

4.3.1.5客户端鉴别信息安全

必测项

4.3.1.6口令有效期限制

必测项

4.3.1.7限制认证会话时间

必测项

4.3.1.8身份标识唯一性

必测项

4.3.1.9及时清除鉴别信息

必测项

4.3.10

WEB页面安全

4.3.2.1登录防穷举

必测项

4.3.2.2安全控件

必测项

4.3.2.3使用数字证书

必测项

4.3.2.4独立的支付密码

必测项

4.3.2.5网站页面SQL注入防范

必测项

4.3.2.6网站页面跨站脚本攻击防范

必测项

4.3.2.7网站页面源代码暴露防范

必测项

4.3.2.8网站页面黑客挂马防范

必测项

4.3.2.9网站页面防篡改措施

必测项

4.3.2.10网站页面防钓鱼

必测项

4.3.20

WAP页面安全

4.3.3.1登录防穷举

必测项

4.3.3.2使用数字证书

必测项

4.3.3.3独立的支付密码

必测项

4.3.3.4网站页面SQL注入防范

必测项

4.3.3.5网站页面跨站脚本攻击防范

必测项

4.3.3.6网站页面源代码暴露防范

必测项

4.3.3.7网站页面防篡改措施

必测项

4.3.3.8网站页面防钓鱼

必测项

4.3.28

客户端程序安全

4.3.4.1客户端程序保护

必测项（适用于采

用客户端进行移动

支付方式）

4.3.4.2客户端配置文件保护

必测项（适用于采

用客户端进行移动

支付方式）

4.3.4.3独立的支付密码

必测项（适用于采

用客户端进行移动

支付方式）

4.3.4.4密码保护

必测项（适用于采

用客户端进行移动

支付方式）

4.3.4.5程序安全检测与升级

必测项（适用于采

用客户端进行移动

支付方式）

4.3.33

访问控制

4.3.5.1访问权限设置

必测项

4.3.5.2自主访问控制范围

必测项

4.3.5.3业务操作日志

必测项

4.3.5.4关键数据操作控制

必测项

4.3.5.5异常中断防护

必测项

4.3.5.6数据库安全配置

必测项

4.3.39

安全审计

4.3.6.1日志信息

必测项

4.3.6.2日志权限和保护

必测项

4.3.6.3系统信息查询与分析

必测项

4.3.6.4对象操作审计

必测项

4.3.6.5审计工具

必测项

4.3.6.6事件报警

必测项

4.3.45

剩余信息保护

4.3.7.1过期信息、文档处理

必测项

4.3.46

资源控制

4.3.8.1连接控制

必测项

4.3.8.2会话控制

必测项

4.3.8.3进程资源分配

必测项

4.3.8.4资源检测预警

必测项

4.3.50

应用容错

4.3.9.1数据有效性校验

必测项

4.3.9.2容错机制

必测项

4.3.9.3故障机制

必测项

4.3.9.4回退机制

必测项

4.3.54

报文完整性

4.3.10.1通信报文有效性

必测项

4.3.55

报文保密性

4.3.11.1报文或会话加密

必测项（短信支付不适用）

4.3.56

抗抵赖

4.3.12.1原发和接收证据

必测项

4.3.57

编码安全

4.3.13.1源代码审查

必测项

4.3.13.2插件安全性审查

必测项

4.3.13.3编码规范约束

必测项

4.3.13.4源代码管理

必测项

4.3.13.5版本管理

必测项

4.3.62

电子认证应用

4.3.14.1第三方电子认证机构

必测项

4.3.14.2关键业务电子认证技术应用

必测项

4.3.14.3电子签名有效性

必测项

4.3.14.4服务器证书私钥保护

必测项

4.数据安全性测试

对支付服务业务系统数据安全防护进行检测，主要考察数据的传输、存储、备份与恢复安全性。

检测内容如下：

编号

检测项

检测说明

4.4.1

数据保护

4.4.1.1客户身份信息保护

必测项

4.4.1.2支付业务信息保护

必测项

4.4.1.3会计档案信息保护

必测项

4.4.4

数据完整性

4.4.2.1重要数据更改机制

必测项

4.4.2.2银行卡和移动终端设备关联保护

必测项

4.4.2.3数据备份记录

必测项

4.4.2.4保障传输过程中的数据完整性

必测项

4.4.2.5备份数据定期恢复

必测项

4.4.9

交易数据以及客户数据的安全性

4.4.3.1数据物理存储安全

必测项

4.4.3.2客户身份认证信息存储安全

必测项

4.4.3.3卡内数据安全

必测项（SIM卡不适用）

4.4.3.4终端信息采集设备硬加密措施或其它防伪手段

必测项

4.4.3.5同一安全级别和可信赖的系统之间信息传输

必测项

4.4.3.6加密传输

必测项

4.4.3.7加密存储

必测项

4.4.3.8数据访问控制

必测项

4.4.3.9在线的存储备份

必测项

4.4.3.10数据备份机制

必测项

4.4.3.11本地备份

必测项

4.4.3.12异地备份

必测项

4.4.3.13备份数据的恢复

必测项

4.4.3.14数据销毁制度和记录

必测项

4.4.3.15关键链路冗余设计

必测项

5.运维安全性测试

对支付服务业务系统运维安全进行检测，主要考察运维安全管理制度及运维安全执行情况。

检测内容如下：

编号

检测项

检测说明

4.5.1

环境管理

4.5.1.1机房基础设施定期维护

必测项

4.5.1.2机房的出入管理制度化和文档化

必测项

4.5.1.3办公环境的保密性措施

必测项

4.5.1.4机房安全管理制度

必测项

4.5.1.5机房进出登记表

必测项

4.5.6

介质管理

4.5.2.1介质的存放环境保护措施

必测项

4.5.2.2介质的使用管理文档化

必测项

4.5.2.3维修或销毁介质之前清除敏感数据

必测项

4.5.2.4介质管理记录

必测项

4.5.2.5介质的分类与标识

必测项

4.5.11

设备管理

4.5.3.1设备管理的责任人员或部门

必测项

4.5.3.2设施、设备定期维护

必测项

4.5.3.3设备选型、采购、发放等的审批控制

必测项

4.5.3.4设备配置标准化

必测项

4.5.3.5设备的操作规程

必测项

4.5.3.6设备的操作日志

必测项

4.5.3.7设备使用管理文档

必测项

4.5.3.8设备标识

必测项

4.5.19

人员管理

4.5.4.1人员录用

必测项

4.5.4.2人员转岗、离岗

必测项

4.5.4.3人员考核

必测项

4.5.4.4安全意识教育和培训

必测项

4.5.4.5外部人员访问管理

必测项

4.5.4.6职责分离

必测项

4.5.25

监控管理

4.5.5.1主要网络设备的各项指标监控情况

必测项

4.5.5.2主要服务器的各项指标监控情况

必测项

4.5.5.3应用运行各项指标监控情况

必测项

4.5.5.4异常处理机制

必测项

4.5.29

变更管理

4.5.6.1变更方案

必测项

4.5.6.2变更制度化管理

必测项

4.5.6.3重要系统变更的批准

必测项

4.5.6.4重要系统变更的通知

必测项

4.5.33

安全事件处置

4.5.7.1安全事件报告和处置

必测项

4.5.7.2安全事件的分类和分级

必测项

4.5.7.3安全事件记录和采取的措施

必测项

4.5.36

应急预案管理

4.5.8.1制定不同事件的应急预案

必测项

4.5.8.2相关人员应急预案培训

必测项

4.5.8.3定期演练

必测项

6．业务连续性测试

对支付服务业务系统业务连续性进行检测，主要考察系统是否具备业务连续性管理并达到设计目标。

检测内容如下：

编号

检测项

检测说明

4.6.1

业务连续性需求分析

4.6.1.1业务中断影响分析

必测项

4.6.1.2灾难恢复时间目标和恢复点目标

必测项

4.6.3

业务连续性技术环境

4.6.2.1备份机房

必测项

4.6.2.2网络双链路

必测项

4.6.2.3网络设备和服务器备份

必测项

4.6.2.4高可靠的磁盘阵列

必测项

4.6.2.5远程数据库备份

必测项

4.6.8

业务连续性管理

4.6.3.1业务连续性管理制度

必测项

4.6.3.2应急响应流程

必测项

4.6.3.3恢复预案

必测项

4.6.3.4数据备份和恢复制度

必测项

4.6.12

备份与恢复管理

4.6.4.1备份数据范围和备份频率

必测项

4.6.4.2备份和恢复手册

必测项

4.6.4.3备份记录和定期恢复测试记录

必测项

4.6.4.4定期数据备份恢复性测试

必测项

4.6.16

日常维护

4.6.5.1每年业务连续性演练

必测项

4.6.5.2定期业务连续性培训

必测项

五、文档审核

对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性，以及是否符合