非金融机构支付服务业务系统检测基本要求_银行卡收单部分V1解析

01非金融机构支付业务设施技术认证技术规范D备案号：中金国盛认证有限公司认证技术规范CFNR 0001—2011非金融机构支付业务设施技术认证技术规范Technical specifications for no-financial payment businessinfrastructure technologies（备案稿）（本稿完成日期：2011年04月10日）××××-××-××发布××××-××-实施中金国盛认证有限公司发布说明本技术规范根据《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》、《电子支付术语》、《电子支付文件数据格式》、《基于INTERNET的网上支付安全规范》、《基于INTERNET的网上支付交易模型及流程》、《基于INTERNET网上支付报文结构及要素》等中对非金融机构支付业务设施技术认证工作的要求制定而成。

本技术规范的评估对象为从事非金融机构支付服务的组织。

本技术规范的主要起草单位：北京中金国盛认证有限公司本技术规范的编制指导单位：中国人民银行科技司非金融机构支付业务设施技术认证技术规范1范围本技术规范规定了非金融机构支付业务设施技术标准符合性和系统安全性的要求。

本技术规范适用于对非金融机构支付业务设施技术评估依据，可作为对非金融机构支付业务设施技术进行管理、检查、认证的技术性规范，也可作为非金融机构支付业务设施技术提供者改进自身能力的指导依据。

2规范性引用文件（1）JR/T ××××电子支付术语（2）JR/T ××××电子支付文件数据格式（3）JR/T ××××基于INTERNET的网上支付安全规范（4）JR/T ××××基于INTERNET的网上支付交易模型及流程（5）JR/T ××××基于INTERNET网上支付报文结构及要素（6）GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求第七章第三级基本要求、第八章第四级基本要求（7）GB/T 22081—2008 信息技术安全技术信息安全管理实用规则第十四章业务连续性管理（8）ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求3术语和定义3.1 术语3.1.1 非金融机构支付服务non-financialpayment service是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务。

中国⼈民银⾏办公厅关于⾮⾦融机构⽀付业务监督管理⼯作的指导意见⽂号：银办发[2011]33号颁布⽇期：2011-02-12执⾏⽇期：2011-02-12时效性：现⾏有效效⼒级别：部门规章⼈民银⾏上海总部，各分⾏、营业管理部，各省会(⾸府)城市中⼼⽀⾏，各副省级城市中⼼⽀⾏：为贯彻落实《⾮⾦融机构⽀付服务管理办法》(中国⼈民银⾏令[2010]第2号发布，以下简称《办法》)，履⾏中央银⾏⽀付结算监督管理职能，建⽴⽀付服务市场准⼊退出程序，规范⾮⾦融机构⽀付服务⾏为，防范⽀付风险，保护当事⼈合法权益，促进⽀付服务市场健康发展，现就⾮⾦融机构⽀付业务监督管理⼯作提出以下指导意见，请遵照执⾏。

⼀、⾼度重视，落实监管责任制各分⽀机构要⾼度重视⾮⾦融机构⽀付业务监督管理⼯作，加强组织领导，专门成⽴⾮⾦融机构⽀付业务许可审查及监督检查⼯作⼩组并落实责任。

该⼩组由分管⽀付结算⼯作的⾏领导任组长，成员由⽀付结算、法律、科技、反洗钱等部门负责同志组成。

各有关部门要密切协同，合理调配资源，切实从业务、技术、反洗钱⾓度加强监管。

总⾏⾃2011年起将⾮⾦融机构⽀付业务审查及监督检查⼯作纳⼊分⽀⾏年度考核内容。

⼆、依法⾏政，做好⽀付业务许可初审⼯作(⼀)认真学习，规范受理及初审程序。

各分⽀机构要认真组织学习相关制度办法，严格依法⾏政，确保各项⼯作符合《办法》及其实施细则、《中国⼈民银⾏⾏政许可实施办法》(中国⼈民银⾏令[2004]第3号发布)程序要求。

⾮⾦融机构⽀付业务许可⼯作要按照《⼈民银⾏关于⾮⾦融机构⽀付业务许可的审批程序》(见附件1)开展。

审批程序中的格式⽂书参照《中国⼈民银⾏办公厅关于印发⾏政许可格式⽂书的通知》(银办发[2004]239号)使⽤。

各分⽀机构对外公⽰的⾮⾦融机构⽀付业务许可申办程序，可参照《⽀付业务许可证申办流程》(见附件2)实施。

对申请⼈提交材料的格式和要式内容，要按照《关于⾮⾦融机构申请材料的规范性要求》(见附件3)进⾏规范。

非金融机构支付业务设施技术认证流程说明非金融机构支付业务设施技术认证流程说明一、引言非金融机构支付业务设施技术认证是对支付机构进行技术要求和能力评估的过程，以确保其在支付领域的安全性、可靠性和稳定性。

本文将详细介绍非金融机构支付业务设施技术认证的流程、要求和意义，以帮助读者全面了解该认证过程。

二、认证流程1. 前期准备在进行非金融机构支付业务设施技术认证之前，支付机构需要做一些前期准备工作。

支付机构需要自行评估其技术实力，确保符合基本要求。

支付机构需要准备相关资料，包括企业介绍、组织机构、人员架构、技术设施等。

还需要准备相关的证明材料，如业绩证明、安全合规证明等。

2. 提交申请支付机构完成前期准备后，需要将认证申请提交给相关认证机构。

申请材料应该包括以上提及的相关资料和证明材料，以及认证机构要求的其他附加文件。

认证机构将根据申请材料进行初步审查，确定是否满足申请要求。

3. 资料审查通过初步审查后，认证机构将对支付机构的相关资料进行详细审查。

审查的内容包括但不限于企业规模、组织机构、人员架构、技术设施、信息安全措施、合规制度等方面。

认证机构还会对支付机构的业绩进行评估，以确定其在支付领域的经验和能力。

4. 技术测试在通过资料审查后，支付机构需要参加认证机构组织的技术测试。

技术测试的内容主要包括支付系统的功能测试、性能测试和安全测试。

通过技术测试，认证机构将评估支付机构的技术实力和安全能力，确保其能够满足支付领域的要求。

5. 结果评估认证机构在完成技术测试后，将对支付机构的测试结果进行评估。

评估的标准包括系统的稳定性、安全性、性能以及对支付标准的兼容性等。

还将对支付机构的技术实力和安全能力进行综合评估，以确定其是否符合认证要求。

6. 认证结果认证机构将根据评估结果，对支付机构的认证结果进行公示。

如认证通过，支付机构将获得非金融机构支付业务设施技术认证证书，并成为认证机构的合作伙伴。

如认证未通过，支付机构可在规定时间内进行整改，并重新提交认证申请。

ICS03.060A11JR 中华人民共和国金融行业标准JR/T0123.3—2018代替JR/T0123.3—2014非银行支付机构支付业务设施检测规范第3部分：银行卡收单Test specification of non-bank payment institutions payment service facilities—Part3：Bank card acceptance2018-10-29发布2018-10-29实施中国人民银行发布JR/T0123.3—2018目 次前言 (II)引言 (IV)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4启动准则 (2)5功能测试 (2)6风险监控及反洗钱测试 (4)7性能测试 (5)8安全性测试 (5)参考文献 (65)IJR/T0123.3—2018II前 言JR/T0123《非银行支付机构支付业务设施检测规范》分为6个部分：——第1部分：互联网支付；——第2部分：预付卡发行与受理；——第3部分：银行卡收单；——第4部分：固定电话支付；——第5部分：数字电视支付；——第6部分：条码支付。

本部分为JR/T0123的第3部分。

本部分按照GB/T1.1—2009给出的规则起草。

本部分代替JR/T0123.3—2014《非金融机构支付业务设施检测规范第3部分：银行卡收单》，与JR/T0123.3—2014相比主要变化如下：——标准名称由《非金融机构支付业务设施检测规范第3部分：银行卡收单》修改为《非银行支付机构支付业务设施检测规范第3部分：银行卡收单》；——增加了风险及反洗钱管理制度要求（见第6章）；——增加了对自建机房的物理安全要求（见8.1）；——增加了主机对象审计、应用操作审计的要求（见第8章）；——修改了网络安全中对网络域安全隔离和限制、内容过滤、网络对象审计等的要求（见第8章，2014年版的第8章）；——修改了主机安全中对访问控制范围等的要求（见第8章，2014年版的第8章）；——修改了应用安全中对可信时间戳服务、登录访问安全策略、日志信息的要求（见第8章，2014年版的第8章）；——增加了数据安全中对个人信息保护、数据使用的要求（见8.5）；——增加了运维安全文档管理要求（见8.6）；——删除了文档要求（见2014年版的第9章）；——删除了外包附加要求（见2014年版的第10章）；——增加了SM系列算法的使用要求（见第8章）。

非金融机构支付服务业务系统检测规范第1部分：互联网支付1 范围第三方检测机构按照本规范制定支付服务业务系统（互联网支付）技术标准符合性和安全性检测方案。

非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范要求进行附加测试。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

——GB/T 25000.51-2010 软件工程软件产品质量要求与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则——GB/T 16260-2006 软件工程产品质量——GB/T 18905-2002 软件工程产品评价——GB/T 27025-2008 检测和校准实验室能力的通用要求——GB/T 8567-2006 计算机软件文档编制规范——GB/T 9385-2008 计算机软件需求规格说明规范——GB/T 9386-2008 计算机软件测试文档编制规范——GB/T 14394-2008 计算机软件可靠性和可维护性管理——GB/T 15332-2008 计算机软件测试规范——GB/T 20271-2006 信息安全技术信息系统通用安全技术要求——GB/T 18336-2008 信息技术安全技术信息技术安全性评估准则——GB 17859-1999 计算机信息系统安全保护等级划分准则——《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）——《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）——《非金融机构支付服务业务系统检测认证管理规定》（中国人民银行公告〔2011〕第14号）3 术语和定义3.1非金融机构支付服务 non-financial institutions payment services是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：a)互联网支付b)移动电话支付c)固定电话支付d)数字电视支付e)预付卡的发行与受理f)银行卡收单g)中国人民银行确定的其他支付服务3.2互联网支付internet payment是指依托互联网实现收付款方之间货币资金转移的行为。