為抓好《非金融機(jī)構(gòu)支付服務(wù)管理辦法》（中國(guó)人民銀行令[2010]2號(hào)）的貫徹落實(shí)，確保非金融機(jī)構(gòu)支付服務(wù)檢測(cè)認(rèn)證工作規(guī)范有序發(fā)展，中國(guó)人民銀行公告[2011]14號(hào)非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)，中國(guó)人民銀行制定了《非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)測(cè)試認(rèn)證管理規(guī)定》，現(xiàn)予發(fā)布實(shí)施，2011年

第一章總則

第一條為加強(qiáng)非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)的信息安全管理和技術(shù)風(fēng)險(xiǎn)防范，確保系統(tǒng)測(cè)試和認(rèn)證的客觀性、及時(shí)性、全面性和有效性，根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》（中國(guó)人民銀行令[2010]2號(hào)）和《非金融機(jī)構(gòu)支付服務(wù)管理辦法實(shí)施細(xì)則》（國(guó)務(wù)院公告），制定本規(guī)定中國(guó)人民銀行[2010]17號(hào)）

第二條非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)的檢查認(rèn)證，是指申請(qǐng)支付業(yè)務(wù)許可證的非金融機(jī)構(gòu)（以下簡(jiǎn)稱“非金融機(jī)構(gòu)”）的支付業(yè)務(wù)處理系統(tǒng)的檢查認(rèn)證非金融機(jī)構(gòu)）或《非金融機(jī)構(gòu)支付服務(wù)管理辦法》所稱支付機(jī)構(gòu)（以下簡(jiǎn)稱支付機(jī)構(gòu)）的網(wǎng)絡(luò)通信系統(tǒng)及包含上述系統(tǒng)的專用機(jī)房應(yīng)符合技術(shù)標(biāo)準(zhǔn)第三條非金融機(jī)構(gòu)應(yīng)當(dāng)在申請(qǐng)支付業(yè)務(wù)許可證前6個(gè)月內(nèi)對(duì)其業(yè)務(wù)系統(tǒng)進(jìn)行測(cè)試和認(rèn)證；支付機(jī)構(gòu)應(yīng)根據(jù)其支付業(yè)務(wù)發(fā)展和安全管理的要求，至少每三年對(duì)其業(yè)務(wù)系統(tǒng)進(jìn)行一次全面的測(cè)試和認(rèn)證。

第四條本規(guī)定所述的測(cè)試機(jī)構(gòu)應(yīng)在按照國(guó)家相關(guān)認(rèn)證認(rèn)可規(guī)定，通過中國(guó)合格評(píng)定國(guó)家認(rèn)可中心認(rèn)可，并取得中國(guó)人民銀行授權(quán)的非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)測(cè)試資質(zhì)

第五條本規(guī)定所稱認(rèn)證機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)設(shè)立，獲得中國(guó)合格評(píng)定國(guó)家認(rèn)可中心認(rèn)可，并取得中國(guó)人民銀行授權(quán)的非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)認(rèn)證資格

第六條中國(guó)人民銀行負(fù)責(zé)檢測(cè)認(rèn)證資格的認(rèn)定和管理，定期向社會(huì)公布通過檢測(cè)認(rèn)證資格認(rèn)定的機(jī)構(gòu)名單及其經(jīng)營(yíng)范圍

第七條在檢測(cè)認(rèn)證過程中，非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)與測(cè)試機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)建立信息保密機(jī)制第八條支付機(jī)構(gòu)不得連續(xù)兩次委托同一測(cè)試機(jī)構(gòu)進(jìn)行業(yè)務(wù)系統(tǒng)測(cè)試9在實(shí)施業(yè)務(wù)系統(tǒng)測(cè)試之前，非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)做好以下準(zhǔn)備工作：

（I）與測(cè)試機(jī)構(gòu)簽訂書面合同，其中應(yīng)明確規(guī)定保密條款；（II）與測(cè)試機(jī)構(gòu)就測(cè)試范圍進(jìn)行溝通，測(cè)試的內(nèi)容和進(jìn)度，制定詳細(xì)的測(cè)試計(jì)劃并簽字確認(rèn)

（三）向測(cè)試機(jī)構(gòu)提交申請(qǐng)測(cè)試和認(rèn)證的業(yè)務(wù)系統(tǒng)與生產(chǎn)系統(tǒng)的符合性聲明

第十條測(cè)試應(yīng)嚴(yán)格遵守技術(shù)標(biāo)準(zhǔn)和測(cè)試規(guī)范由中國(guó)人民銀行制定，真實(shí)反映非金融機(jī)構(gòu)或支付機(jī)構(gòu)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)的合規(guī)性和安全性狀況，并確保非金融機(jī)構(gòu)或支付機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)滿足國(guó)家信息系統(tǒng)安全保護(hù)三級(jí)基本要求

第11條業(yè)務(wù)系統(tǒng)測(cè)試應(yīng)包括但不限于：

（I）功能測(cè)試

驗(yàn)證業(yè)務(wù)系統(tǒng)正確實(shí)現(xiàn)并測(cè)試其業(yè)務(wù)處理的準(zhǔn)確性

（二）風(fēng)險(xiǎn)監(jiān)控測(cè)試

評(píng)估業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)監(jiān)控、預(yù)警和管理措施，測(cè)試異常交易、大額交易的監(jiān)控和防范能力，業(yè)務(wù)系統(tǒng)的非法卡號(hào)交易、密碼錯(cuò)誤交易等風(fēng)險(xiǎn)

（三）性能測(cè)試

驗(yàn)證業(yè)務(wù)系統(tǒng)是否滿足多用戶并發(fā)操作的業(yè)務(wù)要求，是否滿足業(yè)務(wù)性能要求，評(píng)估壓力釋放后的自我恢復(fù)能力，并測(cè)試系統(tǒng)性能極限（IV）安全測(cè)試評(píng)估業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用程序安全、數(shù)據(jù)安全、操作和維護(hù)安全方面的能力和管理措施，電子認(rèn)證安全、業(yè)務(wù)連續(xù)性等，評(píng)估其業(yè)務(wù)系統(tǒng)的安全防控和安全管理水平，有效且一致，符合相關(guān)標(biāo)準(zhǔn)，并符合更新控制和配置管理的要求

第12條測(cè)試機(jī)構(gòu)應(yīng)在測(cè)試完成后10個(gè)工作日內(nèi)向非金融機(jī)構(gòu)或支付機(jī)構(gòu)提交正式測(cè)試報(bào)告（一式四份）

第13條測(cè)試報(bào)告應(yīng)包括以下內(nèi)容：

（I）支付服務(wù)業(yè)務(wù)系統(tǒng)的名稱和版本

（II）檢測(cè)的時(shí)間和范圍

（III）檢測(cè)設(shè)備的說明，工具和環(huán)境（IV）測(cè)試機(jī)構(gòu)名稱和測(cè)試人員說明（V）測(cè)試內(nèi)容和具體測(cè)試結(jié)果說明（VI）測(cè)試和整改過程中發(fā)現(xiàn)的問題（VII）測(cè)試結(jié)果和建議申請(qǐng)測(cè)試認(rèn)證的業(yè)務(wù)系統(tǒng)和生產(chǎn)系統(tǒng)

（九）其他需要說明的問題

第十四條收到測(cè)試機(jī)構(gòu)出具的測(cè)試報(bào)告后，非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)及時(shí)向認(rèn)證機(jī)構(gòu)提交測(cè)試報(bào)告及相關(guān)材料，并申請(qǐng)認(rèn)證

第三章認(rèn)證

第十五條實(shí)施支付服務(wù)業(yè)務(wù)系統(tǒng)認(rèn)證前，非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)與認(rèn)證機(jī)構(gòu)簽訂書面合同，明確保密條款第十六條認(rèn)證應(yīng)遵循客觀、公正、科學(xué)的原則，并按照國(guó)家相關(guān)認(rèn)證認(rèn)可法律法規(guī)和中國(guó)人民銀行關(guān)于非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)的技術(shù)標(biāo)準(zhǔn)和認(rèn)證要求執(zhí)行處理認(rèn)證申請(qǐng)，在正式受理申請(qǐng)后20個(gè)工作日內(nèi)將認(rèn)證結(jié)果通知非金融機(jī)構(gòu)或支付機(jī)構(gòu)，第四章監(jiān)督管理第十八條支付機(jī)構(gòu)正式開展支付業(yè)務(wù)后，有下列情形之一的，應(yīng)及時(shí)進(jìn)行測(cè)試：

（一）重大安全事故

（二）業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)和重要版本的變更

（三）生產(chǎn)中心機(jī)房場(chǎng)地搬遷

（四）人民政府要求的其他信息中國(guó)銀行

第十九條檢測(cè)認(rèn)證程序和方法不符合國(guó)家檢測(cè)認(rèn)證的有關(guān)規(guī)定和中國(guó)人民銀行的有關(guān)要求，或者檢測(cè)認(rèn)證結(jié)果嚴(yán)重失真的，中國(guó)人民銀行及其分支機(jī)構(gòu)可要求重新測(cè)試或認(rèn)證，違反第二十條規(guī)定的檢測(cè)認(rèn)證機(jī)構(gòu)未按照檢測(cè)認(rèn)證規(guī)范和相關(guān)要求開展檢測(cè)認(rèn)證活動(dòng)的，由此產(chǎn)生的費(fèi)用由檢測(cè)認(rèn)證機(jī)構(gòu)承擔(dān)由中國(guó)人民銀行制定，或未嚴(yán)格遵守