為抓好《非金融機構支付服務管理辦法》（中國人民銀行令[2010]2號）的貫徹落實，確保非金融機構支付服務檢測認證工作規范有序發展，中國人民銀行公告[2011]14號非金融機構支付服務系統，中國人民銀行制定了《非金融機構支付服務系統測試認證管理規定》，現予發布實施，2011年

第一章總則

第一條為加強非金融機構支付服務業務的信息安全管理和技術風險防范，確保系統測試和認證的客觀性、及時性、全面性和有效性，根據《非金融機構支付服務管理辦法》（中國人民銀行令[2010]2號）和《非金融機構支付服務管理辦法實施細則》（國務院公告），制定本規定中國人民銀行[2010]17號）

第二條非金融機構支付服務業務系統的檢查認證，是指申請支付業務許可證的非金融機構（以下簡稱“非金融機構”）的支付業務處理系統的檢查認證非金融機構）或《非金融機構支付服務管理辦法》所稱支付機構（以下簡稱支付機構）的網絡通信系統及包含上述系統的專用機房應符合技術標準第三條非金融機構應當在申請支付業務許可證前6個月內對其業務系統進行測試和認證；支付機構應根據其支付業務發展和安全管理的要求，至少每三年對其業務系統進行一次全面的測試和認證。

第四條本規定所述的測試機構應在按照國家相關認證認可規定，通過中國合格評定國家認可中心認可，并取得中國人民銀行授權的非金融機構支付服務系統測試資質

第五條本規定所稱認證機構，應當經國家認證認可監督管理委員會批準設立，獲得中國合格評定國家認可中心認可，并取得中國人民銀行授權的非金融機構支付服務系統認證資格

第六條中國人民銀行負責檢測認證資格的認定和管理，定期向社會公布通過檢測認證資格認定的機構名單及其經營范圍

第七條在檢測認證過程中，非金融機構或支付機構應與測試機構和認證機構建立信息保密機制第八條支付機構不得連續兩次委托同一測試機構進行業務系統測試9在實施業務系統測試之前，非金融機構或支付機構應做好以下準備工作：

（I）與測試機構簽訂書面合同，其中應明確規定保密條款；（II）與測試機構就測試范圍進行溝通，測試的內容和進度，制定詳細的測試計劃并簽字確認

（三）向測試機構提交申請測試和認證的業務系統與生產系統的符合性聲明

第十條測試應嚴格遵守技術標準和測試規范由中國人民銀行制定，真實反映非金融機構或支付機構業務系統技術標準的合規性和安全性狀況，并確保非金融機構或支付機構的業務系統滿足國家信息系統安全保護三級基本要求

第11條業務系統測試應包括但不限于：

（I）功能測試

驗證業務系統正確實現并測試其業務處理的準確性

（二）風險監控測試

評估業務系統的風險監控、預警和管理措施，測試異常交易、大額交易的監控和防范能力，業務系統的非法卡號交易、密碼錯誤交易等風險

（三）性能測試

驗證業務系統是否滿足多用戶并發操作的業務要求，是否滿足業務性能要求，評估壓力釋放后的自我恢復能力，并測試系統性能極限（IV）安全測試評估業務系統在網絡安全、主機安全、應用程序安全、數據安全、操作和維護安全方面的能力和管理措施，電子認證安全、業務連續性等，評估其業務系統的安全防控和安全管理水平，有效且一致，符合相關標準，并符合更新控制和配置管理的要求

第12條測試機構應在測試完成后10個工作日內向非金融機構或支付機構提交正式測試報告（一式四份）

第13條測試報告應包括以下內容：

（I）支付服務業務系統的名稱和版本

（II）檢測的時間和范圍

（III）檢測設備的說明，工具和環境（IV）測試機構名稱和測試人員說明（V）測試內容和具體測試結果說明（VI）測試和整改過程中發現的問題（VII）測試結果和建議申請測試認證的業務系統和生產系統

（九）其他需要說明的問題

第十四條收到測試機構出具的測試報告后，非金融機構或支付機構應及時向認證機構提交測試報告及相關材料，并申請認證

第三章認證

第十五條實施支付服務業務系統認證前，非金融機構或支付機構應與認證機構簽訂書面合同，明確保密條款第十六條認證應遵循客觀、公正、科學的原則，并按照國家相關認證認可法律法規和中國人民銀行關于非金融機構支付服務業務系統的技術標準和認證要求執行處理認證申請，在正式受理申請后20個工作日內將認證結果通知非金融機構或支付機構，第四章監督管理第十八條支付機構正式開展支付業務后，有下列情形之一的，應及時進行測試：

（一）重大安全事故

（二）業務系統應用架構和重要版本的變更

（三）生產中心機房場地搬遷

（四）人民政府要求的其他信息中國銀行

第十九條檢測認證程序和方法不符合國家檢測認證的有關規定和中國人民銀行的有關要求，或者檢測認證結果嚴重失真的，中國人民銀行及其分支機構可要求重新測試或認證，違反第二十條規定的檢測認證機構未按照檢測認證規范和相關要求開展檢測認證活動的，由此產生的費用由檢測認證機構承擔由中國人民銀行制定，或未嚴格遵守