為貫徹落實(shí)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》（中國人民銀行令[2010]2號），確保非金融機(jī)構(gòu)支付服務(wù)體系測試認(rèn)證工作規(guī)范有序發(fā)展，中國人民銀行公告[2011]14號中國人民銀行制定了《非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)測試認(rèn)證管理規(guī)定》，現(xiàn)予公布實(shí)施，2011年

第一章總則

第一條為了加強(qiáng)非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)的信息安全管理和技術(shù)風(fēng)險防范，確保其系統(tǒng)測試和認(rèn)證的客觀性、及時性、全面性和有效性，根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》（中國人民銀行令[2010]2號）《非金融機(jī)構(gòu)支付服務(wù)管理辦法實(shí)施細(xì)則》（中國人民銀行公告[2010]17號）制定本規(guī)定。

第四條本規(guī)定所稱的測試機(jī)構(gòu)應(yīng)當(dāng)按照國家有關(guān)認(rèn)證規(guī)定取得資格認(rèn)定通過中國合格評定國家認(rèn)可中心的認(rèn)可，并取得中國人民銀行授權(quán)的非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)測試資質(zhì)

第五條本規(guī)定所稱認(rèn)證機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)設(shè)立，獲得中國合格評定國家認(rèn)可中心認(rèn)可，并取得中國人民銀行非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)認(rèn)證授權(quán)資格

第六條中國人民銀行負(fù)責(zé)檢測認(rèn)證資格的認(rèn)定和管理，定期向社會公布通過檢測認(rèn)證資格認(rèn)定的機(jī)構(gòu)名單及其經(jīng)營范圍

第七條在檢測認(rèn)證過程中，非金融機(jī)構(gòu)或者支付機(jī)構(gòu)應(yīng)當(dāng)與測試機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)建立信息保密機(jī)制第八條支付機(jī)構(gòu)不得連續(xù)兩次委托同一測試機(jī)構(gòu)進(jìn)行業(yè)務(wù)系統(tǒng)測試第二章測試第九條在實(shí)施業(yè)務(wù)系統(tǒng)之前檢測、非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)做好以下準(zhǔn)備工作：

（I）與檢測機(jī)構(gòu)簽訂書面合同，合同中應(yīng)明確規(guī)定保密條款（II）與檢測機(jī)構(gòu)就檢測范圍、內(nèi)容和進(jìn)度進(jìn)行溝通，制定詳細(xì)的測試計劃并簽字確認(rèn)（三）向測試機(jī)構(gòu)提交申請測試認(rèn)證的業(yè)務(wù)系統(tǒng)與生產(chǎn)系統(tǒng)的一致性聲明第十條測試應(yīng)嚴(yán)格遵守中國人民銀行制定的技術(shù)標(biāo)準(zhǔn)和測試規(guī)范，真實(shí)反映非金融機(jī)構(gòu)或支付機(jī)構(gòu)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)的合規(guī)性和安全性狀況，確保非金融機(jī)構(gòu)或支付機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)滿足國家信息系統(tǒng)安全三級保護(hù)的基本要求

第十一條業(yè)務(wù)系統(tǒng)測試應(yīng)包括但不限于：

（一）功能測試

驗證業(yè)務(wù)系統(tǒng)的功能是否正確實(shí)現(xiàn)并進(jìn)行測試其業(yè)務(wù)處理的準(zhǔn)確性

（二）風(fēng)險監(jiān)控測試

評估業(yè)務(wù)系統(tǒng)的風(fēng)險監(jiān)控、預(yù)警和管理措施，測試異常交易、大額交易、非法卡號交易的監(jiān)控和防范能力，業(yè)務(wù)系統(tǒng)密碼錯誤交易等風(fēng)險

（三）性能測試

驗證業(yè)務(wù)系統(tǒng)是否滿足多用戶并發(fā)操作的業(yè)務(wù)需求，是否滿足業(yè)務(wù)性能要求，評估壓力緩解后的自恢復(fù)能力，并測試系統(tǒng)的性能限制

（四）安全測試

從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、運(yùn)維安全、電子認(rèn)證安全、業(yè)務(wù)連續(xù)性等方面評估業(yè)務(wù)系統(tǒng)的能力和管理措施。，評估其業(yè)務(wù)系統(tǒng)的安全防控和安全管理水平

（五）文件審查

驗證業(yè)務(wù)系統(tǒng)的用戶文件、開發(fā)文件和管理文件是否完整、有效、一致，是否符合相關(guān)標(biāo)準(zhǔn)，并符合更新控制和配置管理的要求第12條測試機(jī)構(gòu)應(yīng)在測試完成后10個工作日內(nèi)向非金融機(jī)構(gòu)或支付機(jī)構(gòu)提交正式測試報告（一式四份）

第13條測試報告應(yīng)包括以下內(nèi)容：

（I）名稱支付服務(wù)業(yè)務(wù)系統(tǒng)的版本

（II）檢測的時間和范圍

（III）檢測設(shè)備的說明，工具和環(huán)境（四）測試機(jī)構(gòu)名稱和測試人員說明（五）測試內(nèi)容和具體測試結(jié)果說明（六）測試和整改中發(fā)現(xiàn)的問題（七）測試結(jié)果和建議（八）申請測試和認(rèn)證的業(yè)務(wù)系統(tǒng)與生產(chǎn)系統(tǒng)

（九）其他需要說明的問題

第十四條收到檢測機(jī)構(gòu)出具的檢測報告后，非金融機(jī)構(gòu)或支付機(jī)構(gòu)應(yīng)及時向認(rèn)證機(jī)構(gòu)提交檢測報告及相關(guān)材料，并申請認(rèn)證

第三章認(rèn)證

第十五條在實(shí)施支付服務(wù)業(yè)務(wù)系統(tǒng)認(rèn)證前，非金融機(jī)構(gòu)或者支付機(jī)構(gòu)應(yīng)當(dāng)與認(rèn)證機(jī)構(gòu)簽訂書面合同，明確保密條款。

第十六條認(rèn)證應(yīng)當(dāng)遵循客觀、公正、科學(xué)的原則，并按照國家有關(guān)認(rèn)證法律法規(guī)和中國人民銀行關(guān)于非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)的技術(shù)標(biāo)準(zhǔn)和認(rèn)證要求執(zhí)行

第十七條認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時辦理認(rèn)證申請，在正式受理申請后20個工作日內(nèi)將認(rèn)證結(jié)果通知非金融機(jī)構(gòu)或支付機(jī)構(gòu)，并向符合條件的機(jī)構(gòu)頒發(fā)認(rèn)證證書

第四章監(jiān)督管理

第十八條支付機(jī)構(gòu)正式開展支付業(yè)務(wù)后，有下列情形之一的，應(yīng)當(dāng)及時進(jìn)行測試：（一）重大安全事故；（二）業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)和重要版本發(fā)生變化；（三）生產(chǎn)中心機(jī)房場地搬遷；（四）中國人民銀行要求的其他信息檢測認(rèn)證程序和方法不符合國家有關(guān)檢測認(rèn)證的規(guī)定和中國人民銀行的有關(guān)要求，或者檢測認(rèn)證結(jié)果嚴(yán)重失真的，中國人民銀行及其分支機(jī)構(gòu)可以要求重新檢測或認(rèn)證，違反第二十條規(guī)定的檢測認(rèn)證機(jī)構(gòu)未按照人民政府制定的檢測認(rèn)證規(guī)范和有關(guān)要求開展檢測認(rèn)證活動的，其費(fèi)用由檢測認(rèn)證機(jī)構(gòu)承擔(dān)