非金融机构支付服务业务系统检测规范 第1部分：互联网支付(V3.0)

1非金融机构支付服务业务系统检测规范第1部分：互联网支付1范围第三方检测机构按照本规范制定支付服务业务系统（互联网支付）技术标准符合性和安全性检测方案。非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范要求进行附加测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。——GB/T25000.51-2010软件工程软件产品质量要求与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则——GB/T16260-2006软件工程产品质量——GB/T18905-2002软件工程产品评价——GB/T27025-2008检测和校准实验室能力的通用要求——GB/T8567-2006计算机软件文档编制规范——GB/T9385-2008计算机软件需求规格说明规范——GB/T9386-2008计算机软件测试文档编制规范——GB/T14394-2008计算机软件可靠性和可维护性管理——GB/T15332-2008计算机软件测试规范——GB/T20271-2006信息安全技术信息系统通用安全技术要求——GB/T18336-2008信息技术安全技术信息技术安全性评估准则——GB17859-1999计算机信息系统安全保护等级划分准则——《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）——《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）——《非金融机构支付服务业务系统检测认证管理规定》（中国人民银行公告〔2011〕第14号）3术语和定义3.1非金融机构支付服务non-financialinstitutionspaymentservices是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：a)互联网支付b)移动电话支付c)固定电话支付d)数字电视支付2e)预付卡的发行与受理f)银行卡收单g)中国人民银行确定的其他支付服务3.2互联网支付internetpayment是指依托互联网实现收付款方之间货币资金转移的行为。4启动准则a)非金融机构提交的支付服务业务系统被测版本与生产版本一致；b)非金融机构支付服务业务系统内部测试进行完毕；c)系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕；d)测试环境准备完毕，具体包括：1)测试环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行；2)支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确；3)用于功能和性能测试的基础数据准备完毕；4)测试用机到位，系统及软件安装完毕；5)测试环境网络配置正确，连接通畅，可以满足测试需求。5功能测试验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理的准确性，测试内容见表1。表1功能测试编号检测项检测说明分类1.1客户管理1.1.1客户信息登记及管理必测项技术类1.1.2商业银行管理技术类1.1.3客户证书管理技术类1.1.4客户审核必测项技术类1.2账户管理1.2.1客户支付账户管理必测项技术类1.2.2客户支付账户管理审核技术类1.2.3客户支付账户查询必测项技术类1.2.4客户支付账户资金审核技术类1.3交易处理1.3.1一般支付1一般支付类必测项技术类1.3.2担保支付2担保支付类必测项技术类1.3.3协议支付3协议支付类必测项技术类1.3.4订单撤销必测项技术类1.3.5转账技术类1.3.6充值技术类1.3.7提现技术类1.3.8积分查询技术类3编号检测项检测说明分类1.3.9积分兑换技术类1.3.10积分兑换撤销技术类1.3.11交易纠纷处理技术类1.3.12交易明细查询必测项技术类1.3.13交易明细下载技术类1.3.14邀请其他人代付技术类1.4资金结算1.4.1客户结算必测项技术类1.5对账处理1.5.1商户发送对账请求技术类1.5.2商户下载对账文件技术类1.6差错处理1.6.1长款/短款处理必测项技术类1.6.2单笔退款必测项技术类1.6.3批量退款技术类1.7统计报表1.7.1业务类报表必测项管理类1.7.2运行管理类报表必测项管理类1.8运营管理1.8.1运营人员权限管理必测项技术类1.8.2提现管理技术类1.8.3提现财务处理技术类1.8.4退款风控处理必测项技术类1.8.5退款财务处理必测项技术类注1：一般支付：指客户在商户提供的平台上选购商品或服务，并在支付服务方确认付款的支付交易流程。本交易的特点为：客户在支付服务方进行身份认证、支付工具确认等，并且支付服务方不对交易双方提供交易担保。注2：担保支付：指客户在商户提供的平台上选购商品或服务，并确认付款到支付服务方提供的中间账户，由支付服务方为支付的双方提供交易担保，由付款人在确认收到货物（服务）后或者在指定期限付款人未进行收货确认时，把资金划转到收款人账户的一种业务。注3：协议支付：指客户、商户、支付服务方事前签约，在支付时商户根据签约凭证直接向支付服务方发起扣款交易。协议支付要求客户信任商户能够保障自己的资金安全。6风险监控测试验证支付服务业务系统的账户及交易风险，测试内容见表2。表2风险监控测试编号检测项检测说明技术要求细化类别2.1.1账户风险管理/实名认证必测项1.宜对个人客户进行实名认证；2.应对商户进行实名认证。技术类4编号检测项检测说明技术要求细化类别2.2.1交易监控/监控规则管理必测项1.应对正常交易确定交易监控规则；2.应对异常交易进行监控，如：金额、频率、流向、用途、性质等有异常情形的可疑交易确定交易监控规则；3.应对违反规则的交易，如：超过密码错误上限、超过最大交易次数、单笔交易上限的交易、实时交易超时等情况，制定异常交易的等级，并明确交易监控规则。管理类2.2.2交易监控/当日交易查询必测项1.应提供当日交易明细查询；2.应提供当日每笔交易的交易详情查询；3.应提供当日交易总笔数、总金额的查询结果统计；4.宜提供按查询条件查询交易的功能；5.宜提供按查询条件模糊查询交易的功能。技术类2.2.3交易监控/历史交易查询必测项1.提供一段时间区间内（如1年/3年）的历史交易明细查询或历史交易详情查询；2.应提供时间区间内交易总笔数、总金额的查询结果统计；3.宜提供按查询条件查询交易的功能；4.宜提供按查询条件模糊查询交易的功能。技术类2.2.4交易监控/实时交易监控必测项1.应对正常交易、可疑交易、违反规则的交易，提供监控规则的设置并进行实时交易监控；2.应对用户签约（如：与支付相关的签约）、登录、交易、付款、退款以及涉及账户变动的全过程实施监控，实现交易监控规则的设置，以实现对实时交易的监控；技术类5编号检测项检测说明技术要求细化类别3.应提供对违反规则的交易进行查询、处理、风险控制等服务。2.2.5交易监控/可疑交易处理必测项1.应有明确的划分可疑交易（如：中国人民银行规定的可疑支付交易行为)的方式及监控规则；2.能对检测到可疑交易实现查询、分析处理等服务。技术类2.2.6交易监控/交易事件报警必测项1.应对监控到的违反规则的交易进行报警；2.应对违反规则的交易事件提供查询和统计功能。技术类2.2.7交易监控/支付限额必测项1.风险管理制度中应根据用户使用的不同身份认证方式，规定不同的支付限额；2.系统应实现制度中规定的支付限额功能。2.2.8交易监控/单笔交易限额必测项超过单笔交易限额的交易应有记录并触发风控规则。技术类2.2.9交易审核/当日累计交易限额必测项超过当日累计交易限额的交易应有记录并触发风控规则。技术类2.3.1交易审核/系统自动审核必测项1.应提供针对交易的审核规则设置功能，并确保系统能正确实现；2.应提供违反规则的交易监控进行查询、处理、风险控制等服务。技术类2.3.2交易审核/人工审核必测项1.具有完整、明确的定义需要人工审核的相关交易的管理制度文档；2.可以提供人工审核的实现方法；3.保存人工审核的历史记录。管理类2.4.1风控规则/风控规则管理必测项1.在风险管理制度中，具有各项风控规则的变更、审核和确认制度；2.按照风险管理制度进行日常操作。管理类6编号检测项检测说明技术要求细化类别2.4.2风控规则/黑名单必测项1.系统实现黑名单管理功能；2.应有明确的黑名单的规则；3.应实现黑名单新增、审核、查询、删除等功能；4.应具有黑名单中的客户交易拒绝功能。技术类2.4.3风控规则/风险识别必测项在风险管理制度中，具有各种风险类别的完整明确的定义：如何划分，如何定级，如何监控，如何防范，如何处理等。管理类2.4.4风控规则/事件管理必测项1.应在风险管理制度中，具有各项风险事件完整明确的处理规则；2.对已发生的风险事件，应保存有事件记录。管理类2.4.5风控规则/风险报表必测项系统应具有能够提供一定时间区间内的风险事件报表，或系统对风险事件报表提供查询功能。技术类2.5.1商户风险管理/商户资质审核必测项1.风险管理制度中应有商户审核规定；2.应明确商户审核的内容；3.应对商户进行风险等级划分，根据评级结果采取相应的风控措施；4.应有未通过商户审批的记录；5.应对申请资料进行保存。管理类2.5.2商户风险管理/商户签约必测项1.应签订标准的受理协议书，明确双方权利与义务；2.协议中应有风险防范条款（包括禁止性规定、经营义务、保密条款、风险控制措施条款、其他条款）。管理类7性能测试对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。7测试内容包括以下三个方面：一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。根据以上性能测试内容，并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则，选取测试业务点见表3。表3性能测试业务点编号检测项检测说明分类3.13.1.1支付必测项技术类3.23.2.1充值技术类3.33.3.1转账技术类3.43.4.1交易明细查询必测项技术类3.53.5.1日终批处理技术类8安全性测试8.1网络安全性测试对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。检测内容见表4。表4网络安全性测试编号检测项检测说明技术要求细化类别4.1.1.1网络安全/结构安全/网络冗余和备份必测项1.应明确核心和边界网络设备承载能力；2.核心网络设备应冗余，并明确备份方式为冷备份还是热备份；3.应明确网络带宽是否满足高峰时流量。技术类4.1.1.2网络安全/结构安全/网络安全路由器必测项1.应明确业务终端与业务服务器之间的访问路径；2.应明确不同访问路径的路由控制措施。技术类8编号检测项检测说明技术要求细化类别4.1.1.3网络安全/结构安全/网络安全防火墙必测项1.应在网络边界处部署具有网络访问控制功能的设备，如：防火墙或路由器等；2.相关访问控制策略应有效实现。技术类4.1.1.4网络安全/结构安全/网络拓扑结构必测项网络拓扑记录与实际情况相一致。技术类4.1.1.5网络安全/结构安全/IP子网划分必测项1.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段；2.应按照方便管理和控制的原则为各子网、网段分配地址段。技术类4.1.1.6网络安全/结构安全/QoS保证必测项宜按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。技术类4.1.2.1网络安全/网络访问控制/网络域安全隔离和限制必测项1.应在网络边界部署安全访问控制设备；2.应启用网络设备访问控制功能。技术类4.1.2.2网络安全/网络访问控制/地址转换和绑定必测项