為貫徹落實《非金融機構支付服務管理辦法》（中國人民銀行令[2010]2號），確保非金融機構支付服務體系測試認證工作規范有序發展，中國人民銀行公告[2011]14號中國人民銀行制定了《非金融機構支付服務系統測試認證管理規定》，現予公布實施，2011年

第一章總則

第一條為了加強非金融機構支付服務業務的信息安全管理和技術風險防范，確保其系統測試和認證的客觀性、及時性、全面性和有效性，根據《非金融機構支付服務管理辦法》（中國人民銀行令[2010]2號）《非金融機構支付服務管理辦法實施細則》（中國人民銀行公告[2010]17號）制定本規定。

第四條本規定所稱的測試機構應當按照國家有關認證規定取得資格認定通過中國合格評定國家認可中心的認可，并取得中國人民銀行授權的非金融機構支付服務系統測試資質

第五條本規定所稱認證機構，應當經國家認證認可監督管理委員會批準設立，獲得中國合格評定國家認可中心認可，并取得中國人民銀行非金融機構支付服務系統認證授權資格

第六條中國人民銀行負責檢測認證資格的認定和管理，定期向社會公布通過檢測認證資格認定的機構名單及其經營范圍

第七條在檢測認證過程中，非金融機構或者支付機構應當與測試機構、認證機構建立信息保密機制第八條支付機構不得連續兩次委托同一測試機構進行業務系統測試第二章測試第九條在實施業務系統之前檢測、非金融機構或支付機構應做好以下準備工作：

（I）與檢測機構簽訂書面合同，合同中應明確規定保密條款（II）與檢測機構就檢測范圍、內容和進度進行溝通，制定詳細的測試計劃并簽字確認（三）向測試機構提交申請測試認證的業務系統與生產系統的一致性聲明第十條測試應嚴格遵守中國人民銀行制定的技術標準和測試規范，真實反映非金融機構或支付機構業務系統技術標準的合規性和安全性狀況，確保非金融機構或支付機構的業務系統滿足國家信息系統安全三級保護的基本要求

第十一條業務系統測試應包括但不限于：

（一）功能測試

驗證業務系統的功能是否正確實現并進行測試其業務處理的準確性

（二）風險監控測試

評估業務系統的風險監控、預警和管理措施，測試異常交易、大額交易、非法卡號交易的監控和防范能力，業務系統密碼錯誤交易等風險

（三）性能測試

驗證業務系統是否滿足多用戶并發操作的業務需求，是否滿足業務性能要求，評估壓力緩解后的自恢復能力，并測試系統的性能限制

（四）安全測試

從網絡安全、主機安全、應用安全、數據安全、運維安全、電子認證安全、業務連續性等方面評估業務系統的能力和管理措施。，評估其業務系統的安全防控和安全管理水平

（五）文件審查

驗證業務系統的用戶文件、開發文件和管理文件是否完整、有效、一致，是否符合相關標準，并符合更新控制和配置管理的要求第12條測試機構應在測試完成后10個工作日內向非金融機構或支付機構提交正式測試報告（一式四份）

第13條測試報告應包括以下內容：

（I）名稱支付服務業務系統的版本

（II）檢測的時間和范圍

（III）檢測設備的說明，工具和環境（四）測試機構名稱和測試人員說明（五）測試內容和具體測試結果說明（六）測試和整改中發現的問題（七）測試結果和建議（八）申請測試和認證的業務系統與生產系統

（九）其他需要說明的問題

第十四條收到檢測機構出具的檢測報告后，非金融機構或支付機構應及時向認證機構提交檢測報告及相關材料，并申請認證

第三章認證

第十五條在實施支付服務業務系統認證前，非金融機構或者支付機構應當與認證機構簽訂書面合同，明確保密條款。

第十六條認證應當遵循客觀、公正、科學的原則，并按照國家有關認證法律法規和中國人民銀行關于非金融機構支付服務業務系統的技術標準和認證要求執行

第十七條認證機構應當及時辦理認證申請，在正式受理申請后20個工作日內將認證結果通知非金融機構或支付機構，并向符合條件的機構頒發認證證書

第四章監督管理

第十八條支付機構正式開展支付業務后，有下列情形之一的，應當及時進行測試：（一）重大安全事故；（二）業務系統應用架構和重要版本發生變化；（三）生產中心機房場地搬遷；（四）中國人民銀行要求的其他信息檢測認證程序和方法不符合國家有關檢測認證的規定和中國人民銀行的有關要求，或者檢測認證結果嚴重失真的，中國人民銀行及其分支機構可以要求重新檢測或認證，違反第二十條規定的檢測認證機構未按照人民政府制定的檢測認證規范和有關要求開展檢測認證活動的，其費用由檢測認證機構承擔