為配合《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號)的實施工作，中國人民銀行起草了《非金融機構支付服務業務系統檢測認證管理規定》(征求意見稿)。現向社會各界公開征求意見。

1月17日晚間消息，中國人民銀行網站公布了《非金融機構支付服務業務系統檢測認證管理規定》(征求意見稿)，即日起到1月23日向社會征求意見。以下為公告全文：

為配合《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號)的實施工作，中國人民銀行起草了《非金融機構支付服務業務系統檢測認證管理規定》(征求意見稿)。現向社會各界公開征求意見。

請將有關意見和建議于2011年1月23日前以電子郵件或傳真方式反饋中國人民銀行科技司。

電子郵箱：zqyj@pbc.gov.cn

傳 真：010-66016449

中國人民銀行

二○一一年一月十七日

以下為征求意見稿全文：

非金融機構支付服務業務系統檢測認證管理規定(征求意見稿)

第一章 總 則

第一條 為加強非金融機構支付服務業務的信息安全管理與技術風險防范，保證其系統檢測認證的客觀性、及時性、全面性和有效性，依據《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號，以下簡稱《辦法》)、《非金融機構支付服務管理辦法實施細則》(中國人民銀行〔2010〕公告第17號)制定本規定。

第二條 非金融機構支付服務業務系統檢測認證，是指對申請《支付業務許可證》的非金融機構(以下簡稱非金融機構)或《辦法》所指的支付機構(以下簡稱支付機構)進行業務系統技術標準符合性和安全性檢測認證工作。

第三條 非金融機構在申請《支付業務許可證》前6個月內應對其業務系統進行檢測認證；支付機構應根據其支付業務發展和安全管理的要求，至少每兩年對其被核準的業務系統進行一次全面的檢測認證。

第四條 本規定所指的檢測機構應獲得中國合格評定國家認可委員會認可的檢測機構證書并取得中國人民銀行關于非金融機構支付服務業務系統檢測認定資格。

第五條 本規定所指的認證機構應獲得中國合格評定國家認可委員會認可的認證機構證書并取得中國人民銀行關于非金融機構支付服務業務系統認證認定資格。

第六條 非金融機構或支付機構在檢測認證過程中應與檢測機構和認證機構建立信息保密工作機制。

第七條 支付機構不得連續兩次將業務系統檢測委托給同一家檢測機構。

第二章 檢 測

第八條 非金融機構或支付機構在實施業務系統檢測前，應作如下準備：

(一)與檢測機構簽訂書面合同，合同應明確規定保密條款；

(二)與檢測機構就檢測的范圍、內容、進度等進行溝通，制定詳細的檢測計劃，并簽字確認；

(三) 向檢測機構提交所申請檢測認證的業務系統與生產系統的一致性聲明。

第九條 檢測應嚴格遵守中國人民銀行制定的技術標準和檢測規范，真實反映非金融機構或支付機構業務系統技術標準符合性和安全性狀況，保證非金融機構或支付機構業務系統符合國家信息系統安全等級保護第三級的基本要求。

第十條 業務系統檢測應包括但不限于：

(一)功能測試

驗證業務系統的功能是否正確實現，測試其業務處理的準確性。

(二)風險監控測試

評估業務系統的風險監控、預警和管理措施，測試其業務系統異常交易、大額交易、非法卡號交易、密碼錯誤交易等風險的監測和防范能力。

(三)性能測試

驗證業務系統是否滿足業務需求的多用戶并發操作，是否滿足業務性能需求，評估壓力解除后的自恢復能力，測試系統性能極限。

(四)安全性測試

評估業務系統在網絡安全、主機安全、應用安全、數據安全、運維安全、電子認證安全、業務連續性等方面的能力及管理措施，評價其業務系統的安全防控和安全管理水平。

(五)文檔審核

驗證業務系統的用戶文檔、開發文檔、管理文檔等是否完整、有效、一致，是否符合相關標準并遵從更新控制和配置管理的要求。

第十一條 檢測機構應于檢測完成后10個工作日內向非金融機構或支付機構提交正式的檢測報告(一式四份)。

第十二條 檢測報告應包括以下內容：

(一)支付服務業務系統名稱、版本；

(二)檢測的時間、范圍；

(三)檢測設備、工具及環境說明；

(四)檢測機構名稱、檢測人員說明；

(五)檢測內容與檢測具體結果描述；

(六)檢測過程中發現的問題及整改情況；

(七)檢測結果及建議；

(八)申請檢測認證的業務系統與生產系統的一致性聲明；

(九)其他需要說明的問題。

第十三條 非金融機構或支付機構在收到檢測機構出具的檢測報告后，應及時將檢測報告及相關材料提交認證機構，并申請認證。

第三章 認 證

第十四條 非金融機構或支付機構在實施支付服務業務系統認證前，應與認證機構簽訂書面合同，合同應明確規定保密條款。

第十五條 認證應秉承客觀、公正、科學的原則，按照國家有關認證認可法律法規及中國人民銀行關于非金融機構支付服務業務系統的技術標準和認證要求實施。

第十六條 認證機構應及時處理認證申請，并在收到認證申請后的20個工作日內向非金融機構或支付機構通告認證結果，對合格機構出具認證證書。

第四章 監督與管理

第十七條 支付機構正式開辦支付業務后，有下列情況之一的，應及時進行檢測：

(一)出現重大安全事故；

(二)業務系統應用架構變更、重要版本變更；

(三)災備系統的啟用、停用及重大架構變更；

(四)業務系統、生產數據存儲環境及機房場地遷移；

(五)其他中國人民銀行要求的情況。

第十八條 檢測認證程序、方法不符合國家檢測認證相關規定和中國人民銀行相關要求，或檢測認證結果嚴重失真的，中國人民銀行及其分支機構可以要求重新進行檢測或認證，因此而產生的費用由違反規定的檢測機構、認證機構承擔。

第十九條 檢測機構或認證機構未按照中國人民銀行制定的檢測認證規范和相關要求進行檢測認證活動，或未嚴格堅持科學、公正的原則進行檢測認證工作并造成不良后果的，中國人民銀行視其情節輕重給予以下處罰：

(一)通報批評；

(二)責令限期改正，整改期間暫停相關檢測認證工作；

(三)整改不力的，取消其從事非金融機構支付服務業務系統檢測或認證資格，并報國家認證認可監督管理部門備案。

第五章 附則

第二十條 本規定由中國人民銀行負責解釋。

第二十一條 本規定自發布之日起施行。

進入論壇>>

　　推薦閱讀

　　雅虎“玩”不起MySpace

既然連現金流充裕且業務發展良好的谷歌都沒有辦法做好社交業務，盈利壓力甚大的雅虎又有什么能力和時間來整合MySpace呢?如果雅虎真收購MySpace，豈非堵上添堵?那樣的話，巴茨的日子恐怕會更難過。 近日，大規模裁員的>>>詳細閱讀

本文標題：央行第三方支付檢測認證新規公開征求意見

地址：http://m.sdlzkt.com/a/01/20111231/226312.html

 1/2    1  2 下一頁