非金融机构支付检测规范第2部分预付卡的发行与受理(V3

非金融机构支付服务业务系统检测规范V3.0非金融机构支付服务业务系统检测规范第2部分：预付卡的发行与受理TestspecificationofNon-financialinstitutionspaymentservicesbusinesssystem--Part2：Prepaidcardissuanceandacceptance（本稿完成日期：2013-12-20）2013-12-20发布2014-1-1实施I目次前言................................................................................II引言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14启动准则..........................................................................25功能测试..........................................................................26风险监控测试......................................................................47性能测试..........................................................................98安全性测试.......................................................................108.1网络安全性测试...............................................................108.2主机安全性测试...............................................................218.3应用安全性测试...............................................................368.4数据安全性测试...............................................................548.5运维安全性测试...............................................................648.6业务连续性测试...............................................................809文档审核.........................................................................8410外包附加测试....................................................................85附录A（资料性附录）检测过程风险分析...............................................87表1功能测试........................................................................2表2风险监控测试....................................................................4表3性能测试业务点..................................................................9表4网络安全性测试.................................................................10表5主机安全性测试.................................................................22表6应用安全性测试.................................................................36表7数据安全性测试.................................................................54表8运维安全性测试.................................................................64表9业务连续性测试.................................................................81表10文档审核......................................................................85表11外包附加测试..................................................................85表A.1检测过程风险分析.............................................................87II前言《非金融机构支付服务业务系统检测规范》分为5个部分：——第1部分：互联网支付；——第2部分：预付卡的发行与受理；——第3部分：银行卡收单；——第4部分：固定电话支付；——第5部分：数字电视支付；本部分为第2部分。本部分由人民银行提出。本部分由全国金融标准化技术委员会归口。本技术规范的主要起草单位：中国人民银行科技司、北京中金国盛认证有限公司、中国信息安全认证中心、中国金融电子化公司、上海市信息安全测评认证中心、银行卡检测中心、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、中国信息安全测评中心、国家应用软件产品质量监督检验中心（北京软件产品质量检测检验中心）、信息产业信息安全测评中心、中金金融认证中心有限公司、中国电子科技集团公司信息化工程总体研究中心、支付宝（中国）网络技术有限公司、银联商务有限公司、拉卡拉支付有限公司、北京通融通信息技术有限公司、快钱支付清算信息有限公司、上海汇付数据服务有限公司、上海盛付通电子商务有限公司、钱袋网（北京）信息技术有限公司、联通支付有限公司、深圳市财付通科技有限公司等。本部分主要起草人：潘润红，杜宁，邬向阳，李兴锋，吴晓光，陈实博，王磊磊，聂丽琴，唐立军，田洁，王翠，高天游，赵春华，郝晓花，王妍娟，付小康，陆碧波，李红曼，张奇，扈浩，布宁，吴迪，严妍，刘思蓉，甘杰夫，刘力凤，蒋朝阳，马国照，张瑞秀，刘文光，白智勇，周悦，王威，赵小帆，郑丽娜，孔昊，李宏达，陆嘉琪，金铭彦，刘健，张益，董晶晶，杜磊，李海滨，王睿超，段超，张金凤，熊军，吴祥富，高磊，宋铮，郭宇，孔嘉俊，罗文兵，唐刚，杨天识，漆添虎，潘莹，侯龙，王雅杰，张进，李鹏，牛跃华，王雄，唐凌，林志伟，王华锋，方海峰，张健，戴维，冷杉，程伟，冯建盟，林勇，刘锦祥，叶飞，王庆，罗旭，任震，赵传飞等。III引言为促进支付服务市场健康发展，规范非金融机构支付服务行为，防范支付风险，保护当事人的合法权益，根据《中华人民共和国标准化法》、《中华人民共和国认证认可条例》、《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）、《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）及《非金融机构支付服务业务系统检测认证管理规定》等相关法律法规的规定，制定非金融机构支付服务业务系统检测系列规范。检测目标是在系统版本确定的基础上，对非金融机构支付服务业务（货币汇兑）系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试，客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求，保障我国支付业务设施的安全稳定运行。1非金融机构支付服务业务系统检测规范第2部分：预付卡的发行与受理1范围第三方检测机构按照本规范制定支付服务业务系统（预付卡的发行与受理）技术标准符合性和安全性检测方案。非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范要求进行附加测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。——GB/T25000.51-2010软件工程软件产品质量要求与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则——GB/T16260-2006软件工程产品质量——GB/T18905-2002软件工程产品评价——GB/T27025-2008检测和校准实验室能力的通用要求——GB/T8567-2006计算机软件文档编制规范——GB/T9385-2008计算机软件需求规格说明规范——GB/T9386-2008计算机软件测试文档编制规范——GB/T14394-2008计算机软件可靠性和可维护性管理——GB/T15332-2008计算机软件测试规范——GB/T20271-2006信息安全技术信息系统通用安全技术要求——GB/T18336-2008信息技术安全技术信息技术安全性评估准则——GB17859-1999计算机信息系统安全保护等级划分准则——《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）——《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）——《非金融机构支付服务业务系统检测认证管理规定》（中国人民银行公告〔2011〕第14号）3术语和定义3.1非金融机构支付服务non-financialinstitutionspaymentservices是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：a)互联网支付b)移动电话支付c)固定电话支付d)数字电视支付2e)预付卡的发行与受理f)银行卡收单g)中国人民银行确定的其他支付服务3.2预付卡Prepaidcards是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。4启动准则h)非金融机构提交的支付服务业务系统被测版本与生产版本一致；i)非金融机构支付服务业务系统内部测试进行完毕；j)系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕；k)测试环境准备完毕，具体包括：1)测试环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行；2)支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确；3)用于功能和性能测试的基础数据准备完毕；4)测试用机到位，系统及软件安装完毕；5)测试环境网络配置正确，连接通畅，可以满