当前位置:文档之家 › 非金融机构支付服务业务系统检测基本要求_互联网支付部分V1.0

非金融机构支付服务业务系统检测基本要求_互联网支付部分V1.0

  • 格式:pdf
  • 大小:412.66 KB
  • 文档页数:53

下载文档原格式

  / 53

合集下载

非金融机构支付服务业务系统检测评估准则

非金融机构支付服务业务系统检测评估准则

非金融机构支付服务业务系统检测评估准则(2011版)中国人民银行2011年3月目录一、问题等级分类 (3)二、检测结果判定 (4)三、问题等级分类判例 (7)一、问题等级分类问题等级分为严重性问题、一般性问题和建议性问题。

问题等级的分类标准如下:1.严重性问题与相关法律法规、标准规范有明显冲突;系统不满足业务需求;主要业务流程不正确;存在安全风险,会对客户利益造成严重的损害。

2. 一般性问题局部功能无法正常使用,但不影响系统整体流程的实现;存在安全风险,会对客户利益造成直接或潜在的损害。

3.建议性问题功能能够正常使用,但系统易用性差;存在安全风险,但不会对客户利益造成直接或潜在的损害。

序号等级检测类问题等级的分类标准1 严重性问题功能测试(1)系统崩溃、死机、异常退出(2)功能模块失效(3)数据发生不可挽救的丢失或损坏(4)数据处理错误(5)主要业务流程出现断点(6)未提供必备的功能,或者必备的功能未正确实现风险监控测试(1)未提供必备的风险监控措施(2)必备的风险监控措施未正确实现性能测试(1)性能未满足业务需求(2)系统出现异常,且无法自动恢复序号等级检测类问题等级的分类标准安全性测试(1)敏感数据泄漏、丢失或者篡改。

敏感数据包括但不限于:密钥、密码、身份信息、账户信息、银行卡信息、交易信息等(2)系统核心配置文件、源代码泄漏、丢失或者篡改(3)影响交易数据完整性(4)导致越权访问(5)影响支付业务连续性,导致系统无法恢复外包测试(1)未与第三方服务机构签订支付服务系统外包合同和安全保密协议(2)未对外包服务建立风险评估制度(3)未对第三方服务机构资质建立认定制度(4)未对外包服务建立控制和监督制度2 一般性问题功能测试(1)必测项功能实现不完善,但不影响业务功能使用,或者有替代方法(2)存在非必测项功能,但未正确实现(3)未对关键数据域进行校验,或者校验不严格(4)提示信息错误(5)用户界面错误风险监控测试(1)风险监控功能不完善安全性测试(1)非敏感数据泄漏、丢失或者篡改(2)系统一般的配置文件泄漏、丢失或者篡改(3)影响支付业务连续性,导致系统无法及时恢复文档测试(1)文档缺失(2)文档自身、文档之间或者文档与实际情况不一致(3)文档内容不完整外包测试(1)外包合同内容不完善(2)未对外包服务进行持续、有效的控制和监督3 建议性问题功能测试(1)系统出现偶发性错误,但不影响正常业务使用(2)系统操作不方便(3)人机交互界面不友好安全性测试(1)影响支付业务连续性,但系统能够及时恢复文档测试(1)文档格式不统一,不易于浏览,文档内容不容易理解(2)文档管理不规范二、检测结果判定(一)检测项结果判定原则●不符合在检测过程中,发现严重性问题和一般性问题,该检测项的检测结果判定为“不符合”。

非金融机构第三方机构支付服务系统技术安全检测(PPT 38张)

非金融机构第三方机构支付服务系统技术安全检测(PPT 38张)
非金融机构/方机构支付服务系统技术安全检 测
2
培训内容
1
电子支付相关说明 银行卡检测中心简介
2
3 4
检测基本流程
2011工作计划
检测指标 检测内容及分析
5
电子支付相关说明
电子支付的定义
电子支付是指单位、个人直接或授权他人通过电子终端,以网络应用协议规定的 格式发出支付指令,实现货币支付与资金转移的行为。
客户管理
客户信息登记及管理(注册、编辑、登录及注销、客户信息审核及功能开通等)
检测内容及分析—功能测试
账户管理
账户信息管理及审核(增加、删除、修改、冻结、审核等) 账户信息查询(账户信息、相关交易等信息查询、账户变更信息历史记录)
检测内容及分析—功能测试
交易处理
一般支付(客户在商户提供的平台上选择商品或服务,并在支付服务方确认付款的支付交 易流程) 担保支付(需要担保账户、资金暂存在中间账户) 协议支付(事前签订协约) 支付撤销 转账(实现不同客户账户之间的相互转账) 预存(账户充值或者预存现金)
检测内容及分析—安全性测试
网络安全性测试( )
考察经网络系统传输的数据安全性及网络系统所连接设备安全性、评估系统网络环 境是否能够防止信息资产、丢失,敏感信息的泄露及业务中断是否能够保障业务的持 续运营和保护信息资产的安全 网络结构安全 网络访问控制安全 网络安全审计 网络安全测试 网络入侵防范 恶意代码防范 网络设备防护 网络安全管理、相关人员安全管理
检测内容及分析—安全性测试
主机安全( )
考察主机的安全控制能力
身份鉴别(系统与应用管理员用户设置及口令安全性、登录策略)
访问控制(及时删除多余、过期的账户信息,避免多人共享同一账户的情况;禁止采用 默认账户的访问权限) 系统保护(故障恢复策略、磁盘空间安全等) 入侵防范(入侵防范记录、关闭服务和端口等) 恶意代码防范(防范软件安装部署及统一管理、病毒库定时更新等) 资源控制(连接控制、资源监控及预警等) 主机安全管理(主机运维手册、漏洞扫描、系统补丁等) 主机相关人员安全管理

非金融机构支付服务业务系统检测机构入围名单及业务范围

非金融机构支付服务业务系统检测机构入围名单及业务范围
附件
Байду номын сангаас
非金融机构支付服务业务系统检测机构入围名单及业务范围
检测业务范围 编号 1 2 3 4 5 6 7 8 9 检测机构名称 网络支付 中国金融电子化公司 上海市信息安全测评认证中心 银行卡检测中心 工业和信息化部计算机与微电子发展研究中心 (中国软件评测中心) 中国信息安全测评中心 国家应用软件产品质量监督检验中心 (北京软件产品质量检测检验中心) 信息产业部计算机安全技术检测中心 中金金融认证中心有限公司 中国电子科技集团公司信息化工程总体研究中心 √ √ √ √ √ √ √ √ √ √ 银行卡收单 √ √ √ √ 预付卡发行与受理 √ √ √ √ √ √ 备注

非金融机构支付服务业务系统检测规范预付卡部分

非金融机构支付服务业务系统检测规范预付卡部分
系统及检测规范内容对应关系说明
银行卡检测中心:
系统的功能、性能、风险监控和文档及《非金融机构支付服务业务系统检测规范_预付卡部分》内容的对应关系说明如下:
功能
说明:*标记为必测项
编号
检测项
系统实际功能
1.1
账户管理
1.1.1客户支付账户管理*(联机交易类必测项)
卡片发行
卡片激活
卡片冻结解冻
卡片挂失解挂
使用CentOs
(4)多人共享root用户口令
Linux设定非全部人能使用root
(5)操作系统存在默认口令及弱口令
设定用户密码复杂度,强制密码更改
(6)Oracle tnslsnr没有设置口令
设定tnslsnr密码
(7)未禁止root用户直接登录
远程登陆限制root直接登陆
(8)连续错误登录多次未自动锁定账号
设置密码复杂加密
(6)网络设备的口令列表未加密,保存在管理员终端或服务器上
对所有可操作网络设备的密码进行加密处理
(7)未设置非法登录次数控制参数
网络设备不支持远程登陆
(8)未设置连接超时等控制参数
建议
(9)网络设备开启了不必要的服务
建议
(10)主要网络设备及安全设备未采取两种或两种以上组合的鉴别技术进行身份鉴别。
可以配置ip,mac等访问限制
(14)没有强制注销及超时限制
设定登陆超时时间
(15)应用中间件控制台登录密码使用默认口令
无中间控制台
(16)服务器操作系统登录未采用双因素认证
建议问题
(17)SSH默认开启了X11转发功能
建议问题
(18)SSH服务端配置文件未指明仅支持协议2
建议问题

非金融机构支付服务业务系统检测规范 第1部分:互联网支付(V3.0)

非金融机构支付服务业务系统检测规范 第1部分:互联网支付(V3.0)

非金融机构支付服务业务系统检测规范第1部分:互联网支付1 范围第三方检测机构按照本规范制定支付服务业务系统(互联网支付)技术标准符合性和安全性检测方案。

非金融机构若将支付服务业务系统外包给第三方服务机构,则还应按照本规范要求进行附加测试。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件,仅所注日期的版本适用于本文件。

凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

——GB/T 25000.51-2010 软件工程软件产品质量要求与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则——GB/T 16260-2006 软件工程产品质量——GB/T 18905-2002 软件工程产品评价——GB/T 27025-2008 检测和校准实验室能力的通用要求——GB/T 8567-2006 计算机软件文档编制规范——GB/T 9385-2008 计算机软件需求规格说明规范——GB/T 9386-2008 计算机软件测试文档编制规范——GB/T 14394-2008 计算机软件可靠性和可维护性管理——GB/T 15332-2008 计算机软件测试规范——GB/T 20271-2006 信息安全技术信息系统通用安全技术要求——GB/T 18336-2008 信息技术安全技术信息技术安全性评估准则——GB 17859-1999 计算机信息系统安全保护等级划分准则——《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)——《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号)——《非金融机构支付服务业务系统检测认证管理规定》(中国人民银行公告〔2011〕第14号)3 术语和定义3.1非金融机构支付服务 non-financial institutions payment services是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:a)互联网支付b)移动电话支付c)固定电话支付d)数字电视支付e)预付卡的发行与受理f)银行卡收单g)中国人民银行确定的其他支付服务3.2互联网支付internet payment是指依托互联网实现收付款方之间货币资金转移的行为。

非金融机构支付服务业务系统检测基本要求内容

非金融机构支付服务业务系统检测基本要求内容

非金融机构支付服务业务系统检测基本要求(银行卡收单部分)(2011版)中国人民银行2011年3月目录第一章功能测试 (6)1.1 . 特约商户管理 (6)1.1.1. 商户提交资质材料 (6)1.1.2. 黑检查及管理 (6)1.1.3. 商户信息查询 (6)1.1.4. 商户操作员管理 (6)1.1.5. 商户受理业务管理 (6)1.1.6. 商户信息维护 (6)1.1.7. 商户冻结、解冻 (7)1.1.8. 商户退出 (7)1.2 . 终端机具信息管理 (7)1.2.1. 机具申领控制 (7)1.2.2. 机具信息维护 (7)1.2.3. 机具信息查询 (7)1.3 . 密钥管理 (7)1.3.1. 密钥生成 (7)1.3.2. 密钥分发 (7)1.3.3. 密钥使用 (8)1.3.4. 密钥存储 (8)1.3.5. 密钥更新 (8)1.3.6. 密钥销毁 (8)1.4 . 交易处理 (8)1.4.1. 消费 (8)1.4.2. 消费撤销 (8)1.4.3. 余额查询 (8)1.4.4. 预授权 (8)1.4.5. 预授权撤销 (9)1.4.6. 预授权完成 (9)1.4.7. 预授权完成撤销 (9)1.4.8. 追加预授权 (9)1.4.9. 退货 (9)1.4.10. 指定账户圈存 (9)1.4.11. 非指定账户圈存 (9)1.4.12. 现金充值 (9)1.4.13. 圈提 (9)1.4.14. 脱机消费 (10)1.4.15. IC卡参数下载 (10)1.4.16. 交易明细查询 (10)1.4.17. 冲正交易 (10)1.5. 资金结算 (10)1.5.1. 银行清算 (10)1.5.2. 商户结算 (10)1.5 . 对账处理 (10)1.6.1. 发送对账请求 (10)1.6.2. 下载对账文件 (10)1.6 . 差错处理 (11)1.7.1. 拒付管理 (11)1.7.2. 单笔退款 (11)1.7.3. 批量退款 (11)1.7.4. 差错交易查询 (11)1.7.5. 对账差错处理 (11)1.7 . 统计报表 (11)1.8.1. 业务类报表 (11)1.8.2. 运行管理类报表 (11)第二章风险监控测试 (12)2.1 . 联机交易管理 (12)2.1.1. 联机交易ARQC/ARPC验证 (12)2.1.2. 联机报文MAC验证 (12)2.1.3. 黑管理 (12)2.1.4. 单笔消费限额 (12)2.1.5. 大额消费商户交易监控 (12)2.1.6. 异常交易监控 (12)2.1.7. 无磁无密交易 (13)2.2 . 收单风险管理 (13)2.2.1. 商户资质审核 (13)2.2.2. 商户签约 (13)2.2.3. 特约商户日常风险管理 (13)2.2.4. 合作的第三方机构的风险管理 (13)2.2.5. 特约商户强制冻结、解冻、解约 (13)2.2.6. 可疑商户信息共享 (13)2.2.7. 风险事件报送 (13)2.3. 终端风险管理 (14)2.3.1. POS机申请、参数设置、程序灌装、使用、更换、维护、撤消、回收的管理142.3.2. POS钥和参数的安全管理 (14)2.3.3. 控制移动POS机的安装 (14)2.3.4. 终端安全检测报告和终端入网检测报告 (14)2.3.5. 密码键盘安全检测报告 (14)2.3.6. 终端监控 (14)2.4. 风控规则 (15)2.4.1. 风控规则管理 (15)2.4.2. 风险识别 (15)2.4.3. 风险事件管理 (15)2.4.4. 风险报表 (15)第三章性能测试 (15)3.1. 测试要求 ................................................................. 错误!未定义书签。

非银行支付机构支付业务设施技术要求

非银行支付机构支付业务设施技术要求随着社会经济的发展,支付机构功能也日益重要,为了保证支付机构安全可靠运行,国家银监会提出了《非银行支付机构支付业务设施技术要求》,其主要内容如下:一、技术设施安全应遵循最严格的原则,具体要求如下:1、建立完善的安全管理体系,具有合理划分职能、权责明确、可持续性强的特点;2、引入有效的安全保障措施,具有安全可扩展性、安全极限性、安全可测量性等特点;3、建立完善的安全监测机制,对支付业务进行实时监控,保护用户的数据安全;4、采用先进的技术和体制,如加密技术、多层验证保护技术、静态密码验证技术、相关法律法规等;5、建立完善的发现和响应机制,随时发现和响应安全事件,及时采取有效措施。

二、服务质量要求1、支付服务应确保性能及其可靠性,以确保对用户的服务满足他们的需求;2、支付服务应满足公平的服务标准,保证支付过程中的每一步都可以得到精确的控制;3、支付服务应提供快速的处理时间,使得支付过程得以简单高效的完成;4、支付服务应定期更新,以确保支付机构跟上金融业最新发展潮流;5、支付服务应具有安全可靠性,确保用户信息和交易数据安全无虞。

三、其他要求1、支付机构还应建立完善的服务体系,以确保可以及时提供高质量的服务;2、支付机构还应定期更新系统,以确保支付过程的可靠性和安全性;3、支付机构应对支付业务环境进行全面的审查,定期更新业务系统,以确保支付业务的安全可靠性。

综上所述,《非银行支付机构支付业务设施技术要求》旨在确保支付业务的安全可靠运行,为用户提供安全、高效、可靠的支付服务。

在技术设施安全、支付业务服务质量、其他相关要求上,支付机构都必须遵守提出的要求,并定期更新技术装备,并结合业务实际情况,不断完善和创新,努力提升用户支付体验,为经济社会持续发展贡献力量。

02.非金融机构支付服务系统测试准 备工作清单(银行卡收单部分)

非金融机构支付服务系统测试准备工作清单(银行卡收单部分)1按照人行要求,非金融机构提交的支付服务系统已上线,且被测版本与上线版本一致。

2填写“5.附件一非金融机构支付服务系统基本情况问卷”。

3功能测试部分3.1填写“6.附件二系统功能与检测指标对应关系表(银行卡收单部分)”。

3.2文档准备。

4风险监控测试4.1文档准备4.2请填写下表第三列(风险监控基本方式)5性能测试5.1填写“7.附件三系统性能测试需求表(银行卡收单部分)”。

5.2文档准备5.3性能测试环境准备6安全性测试6.1网络安全性测试6.1.1文档准备6.1.2策略描述结构安全(1)请描述网络冗余和备份措施。

(2)请描述系统子网划分的规则。

(3)请描述QoS保证措施。

网络访问控制(1)请描述内网、DMZ区、互联网三者之间的访问权限。

拨号访问控制(1)是否通过远程拨号的方式管理网络设备?如果有,请描述远程拨号访问控制措施。

网络安全审计(1)网络设备是否都启用了日志服务?日志信息都包含哪些内容?(2)如果启用了日志服务,请描述日志的存储、备份、定期审核、访问审批等的措施或流程。

(3)是否有审计认证系统,请描述审计认证系统的功能。

网络入侵防范(1)是否部署了入侵检测/入侵防御系统?具体的型号是?(2)是否定期进行安全测试?如果是,多长时间一次?并提供测试报告的样板。

恶意代码防范(1)是否部署恶意代码防范设备或软件?请描述其更新策略。

网络设备防护(1)请描述网络设备登录口令的复杂度策略。

(2)请描述网络设备的变更审批流程,并提供审批单样张。

6.2主机安全性测试6.2.1文档准备6.2.2数据准备准备主机的IP地址和root权限,及扫描设备接入的方式。

6.2.3策略描述安全审计(1)主机服务器是否都启用了日志服务?日志信息都包含哪些内容?(2)如果启用了日志服务,请描述日志的存储、备份、定期审核、访问审批等的措施或流程。

(3)是否有审计认证系统,请描述审计认证系统的功能。

「非金融机构支付服务业务系统现场检查基本要求」

「非金融机构支付服务业务系统现场检查基本要求」非金融机构支付服务业务系统现场检查基本要求是指对非金融机构支付服务业务系统进行检查时需要注意的一些基本要求。

以下是该要求的详细内容:1.检查人员的资质要求:检查人员应具备相关的金融业务知识和技能,并且具备一定的监管经验和法律意识。

同时,检查人员应保持中立,遵守机密性原则,不得泄露相关信息。

2.检查的范围和内容:检查范围应包括非金融机构支付服务业务系统的运行状况、安全性、合规性和稳定性等方面。

具体内容包括系统的业务规模、数据安全保护措施、用户权益保护等。

3.检查的方法和手段:检查一般分为现场检查和离线检查两种方法。

现场检查主要通过实地查看、询问和抽查的方式来获取相关信息。

离线检查则通过查阅文件、资料和数据来获取相关信息。

4.检查的时间和地点:检查时间应由双方协商确定,并将检查时间提前通知被检查单位。

检查地点一般在被检查单位的办公场所进行,同时也可以要求被检查单位提供相关场地。

5.检查的程序和流程:检查前应与被检查单位签订检查通知书,并确保双方对检查内容和方式有清晰的理解。

在检查过程中,检查人员应尊重被检查单位的工作秩序和个人权益,同时要求被检查单位积极配合。

6.检查结果的处理和通告:检查结果应据实,客观,具备合理性和可靠性。

检查人员应将检查结果整理成书面报告,并将报告交由被检查单位。

同时,检查人员还可以要求被检查单位整改不符合要求的问题。

总之,非金融机构支付服务业务系统现场检查基本要求是为保障金融市场的稳定和安全,确保支付服务机构的合规运营而制定的。

通过对支付服务机构的业务系统进行全面的现场检查,可以及时发现和解决问题,保障用户权益,维护金融市场的正常运行。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

非金融机构支付服务业务系统检测内容基本要求(互联网支付部分)(V1.0版)中国人民银行2011年7月目录第一章功能测试 (6)1.1.客户管理 (6)1.1.1.客户信息登记及管理 (6)1.1.2.商业银行管理 (6)1.1.3.客户证书管理 (6)1.1.4.客户审核 (6)1.2.账户管理 (6)1.2.1.客户支付账户管理 (6)1.2.2.客户支付账户管理审核 (6)1.2.3.客户支付账户查询 (7)1.2.4.客户支付账户资金审核 (7)1.3.交易处理 (7)1.3.1.一般支付 (7)1.3.2.担保支付 (7)1.3.3.协议支付 (7)1.3.4.订单撤销 (8)1.3.5.转账 (8)1.3.6.预存 (8)1.3.7.提现 (8)1.3.8.积分查询 (8)1.3.9.积分兑换 (8)1.3.10.积分兑换撤销 (8)1.3.11.交易纠纷处理 (9)1.3.12.交易明细查询 (9)1.3.13.交易明细下载 (9)1.3.14.邀请其他人代付 (9)1.4.资金结算 (9)1.4.1.客户结算 (9)1.5.对账处理 (9)1.5.1.商户发送对账请求 (9)1.5.2.商户下载对账文件 (9)1.6.差错处理 (10)1.6.1.长款/短款处理 (10)1.6.2.单笔退款 (10)1.6.3.批量退款 (10)1.7.统计报表 (11)1.7.1.业务类报表 (11)1.7.2.运行管理类报表 (11)1.8.运营管理 (11)1.8.1.运营人员权限管理 (11)1.8.2.提现管理 (11)1.8.3.提现财务处理 (11)1.8.4.退款风控处理 (12)1.8.5.退款财务处理 (12)第二章风险监控测试 (13)2.1.账户风险管理 (13)2.1.1.实名认证 (13)2.2.交易监控 (13)2.2.1.监控规则管理 (13)2.2.2.当日交易查询 (13)2.2.3.历史交易查询 (13)2.2.4.实时交易监控 (13)2.2.5.可疑交易处理 (13)2.2.6.交易事件报警 (14)2.3.交易审核 (14)2.3.1.系统自动审核 (14)2.3.2.人工审核 (14)2.4.风控规则 (14)2.4.1.风控规则管理 (14)2.4.2.黑名单 (14)2.4.3.风险识别 (15)2.4.4.事件管理 (15)2.4.5.风险报表 (15)第三章性能测试 (16)3.1.系统要求 (16)第四章安全性测试 (17)4.1.网络安全性测试 (17)4.1.1.结构安全 (17)4.1.2.网络访问控制 (18)4.1.3.网络安全审计 (19)4.1.4.边界完整性检查 (20)4.1.5.网络入侵防范 (20)4.1.6.恶意代码防范 (21)4.1.7.网络设备防护 (21)4.1.8.网络安全管理 (22)4.1.9.网络相关人员安全管理 (23)4.2.主机安全性测试 (23)4.2.1.身份鉴别 (23)4.2.2.访问控制 (24)4.2.3.安全审计 (25)4.2.4.系统保护 (25)4.2.5.剩余信息保护 (26)4.2.6.入侵防范 (26)4.2.7.恶意代码防范 (27)4.2.8.资源控制 (27)4.2.9.主机安全管理 (28)4.2.10.主机相关人员安全管理 (28)4.3.应用安全性测试 (29)4.3.1.身份鉴别 (29)4.3.2.WEB页面安全 (30)4.3.3.访问控制 (31)4.3.4.安全审计 (32)4.3.5.剩余信息保护 (33)4.3.6.资源控制 (33)4.3.7.应用容错 (34)4.3.8.报文完整性 (34)4.3.9.报文保密性 (35)4.3.10.抗抵赖 (35)4.3.11.编码安全 (35)4.3.12.电子认证应用 (36)4.4.数据安全性测试 (36)4.4.1.数据保护 (37)4.4.2.数据完整性 (37)4.4.3.交易数据以及客户数据的安全性 (38)4.5.运维安全性测试 (40)4.5.1.环境管理 (40)4.5.2.介质管理 (41)4.5.3.设备管理 (42)4.5.4.人员管理 (43)4.5.5.监控管理 (44)4.5.6.变更管理 (45)4.5.7.安全事件处置 (46)4.5.8.应急预案管理 (47)4.6.业务连续性测试 (47)4.6.1.业务连续性需求分析 (47)4.6.2.业务连续性技术环境 (48)4.6.3.业务连续性管理 (48)4.6.4.备份和恢复管理 (49)4.6.5.日常维护 (49)第五章文档审核 (50)5.1.用户文档 (50)5.1.1.用户手册 (50)5.1.2.操作手册 (50)5.2.开发文档 (50)5.2.1.需求说明书 (50)5.2.2.需求分析文档 (51)5.2.3.总体设计方案 (51)5.2.4.数据库设计文档 (51)5.2.5.概要设计文档 (52)5.2.6.详细设计文档 (52)5.2.7.工程实施方案 (52)5.3.管理文档 (52)5.3.1.测试报告 (52)5.3.2.系统运维手册 (53)5.3.3.系统应急手册 (53)5.3.4.运维管理制度 (53)5.3.5.安全管理制度 (53)5.3.6.安全审计报告 (53)第一章功能测试验证支付服务业务系统的业务功能是否正确实现,测试系统业务处理的准确性,基本要求如下:1.1.客户管理1.1.1.客户信息登记及管理应实现客户注册、客户信息的编辑等功能。

1.1.2.商业银行管理应实现商业银行的接入、信息修改和删除。

1.1.3.客户证书管理应实现电子证书的申请、发放、更新、作废等服务。

1.1.4.客户审核应实现客户注册信息的审核、确认开通等功能。

1.2.账户管理1.2.1.客户支付账户管理应实现客户支付账户的开户、修改、状态设置等功能。

1.2.2.客户支付账户管理审核应实现客户支付账户信息的审核、确认等服务。

1.2.3.客户支付账户查询应实现客户支付账户设置、交易等信息的查询。

1.2.4.客户支付账户资金审核应实现当客户支付账户资金转移、交易、结算时,进行资金的审核和确认等。

1.3.交易处理1.3.1.一般支付一般支付指客户在商户提供的平台上选购商品或服务,并在支付服务方确认付款的支付交易流程。

本交易的特点为:客户在支付服务方进行身份认证、支付工具确认等,并且支付服务方不对交易双方提供交易担保。

应实现客户一般支付交易功能。

1.3.2.担保支付担保支付指在一般支付中,由支付服务方为支付的双方提供交易担保,支付成功时支付服务方把付款人的资金暂存在一个中间账户,由付款人在确认收到货物(服务)后或者在指定期限付款人未进行收货确认时,把资金划转到收款人账户的一种业务。

应实现客户担保支付交易功能。

1.3.3.协议支付协议支付指客户、商户、支付服务方事前签约,在支付时商户根据签约凭证直接向支付服务方发起扣款交易。

协议支付要求客户信任商户能够保障自己的资金安全。

应实现客户协议支付交易功能。

1.3.4.订单撤销应实现客户撤销订单功能。

订单撤销是商户因业务需要,在支付业务未完成前,取消订单的过程。

如果支付已经完成,则拒绝响应撤销订单请求。

1.3.5.转账应实现不同客户支付账户之间的相互转账功能。

1.3.6.预存应实现客户支付账户的充值或预存现金。

1.3.7.提现应实现将资金从客户支付账户转账到银行账户的服务。

1.3.8.积分查询应实现客户积分信息的查询。

1.3.9.积分兑换应实现客户积分兑换服务。

1.3.10.积分兑换撤销应实现撤销客户积分兑换,且撤消后积分退还客户服务。

1.3.11.交易纠纷处理应实现客户交易的投诉、处理、确认、撤销等。

1.3.12.交易明细查询应实现按照时间、交易类型或者客户等交易明细信息进行查询的功能,且能实现浏览交易明细。

1.3.13.交易明细下载应实现交易明细信息下载到指定终端。

1.3.14.邀请其他人代付应实现邀请他人进行支付。

1.4.资金结算1.4.1.客户结算应实现支付服务方与客户之间的资金结算功能。

1.5.对账处理1.5.1.商户发送对账请求应实现商户提交对账申请,支付服务方提供对账信息的服务。

1.5.2.商户下载对账文件应实现客户对账文件的查询、浏览和下载等。

1.6.差错处理1.6.1.长款/短款处理长款/短款指资金结算时发现的有待查明原因的现金溢余或短缺。

应实现对长款/短款资金的记录、调账等服务。

1.6.2.单笔退款应实现对已发生的单笔交易进行退款申请、确认、审核、退款等服务。

商户因商品退回或服务取消,商户向支付服务方提交单笔退款请求,支付服务方将部分或全部已扣款项退还给客户(个人或企业买方)的原扣款账户,原扣款账户不能接收退款的,退款到付款人其他账户。

1.6.3.批量退款应实现对已发生的多笔交易同时进行退款申请、确认、审核、退款等服务。

商户因商品退回或服务取消,商户向支付服务方提交批量退款请求,支付服务方将部分或全部已扣款项退还给客户(个人或企业买方)的原扣款账户,原扣款账户不能接收退款的,退款到付款人其他账户。

1.7.统计报表1.7.1.业务类报表应实现对一段时间内业务操作(客户注册、商户开通、支付、结算、转账、提现等操作)的查询统计功能。

1.7.2.运行管理类报表应实现对一段时间内运行管理情况(资产、监控、安全事件等)的查询统计功能,第三方支付公司可以根据自身的情况将“一段时间”细化为“月季年”。

1.8.运营管理1.8.1.运营人员权限管理运营人员指具有审核、确认等权限的管理人员,应实现对此类人员权限的增加、删除、修改或审核等功能。

1.8.2.提现管理应实现对提现操作进行管理,如提现规则设置、提现审核确认等措施。

1.8.3.提现财务处理应实现对提交的提现申请进行财务处理。

1.8.4.退款风控处理应实现对退款操作进行风险处理,如采用退款风险识别、退款审核确认等措施。

1.8.5.退款财务处理应实现对退款申请进行财务处理。

第二章风险监控测试验证支付服务业务系统的账户及交易风险,基本要求如下:2.1.账户风险管理2.1.1.实名认证宜对客户进行实名认证。

2.2.交易监控2.2.1.监控规则管理应确保在相关风险管理制度中完整、明确的定义各类(如实时、异常等)交易监控规则。

2.2.2.当日交易查询应实现当日交易信息的查询。

2.2.3.历史交易查询应实现历史交易信息的查询。

2.2.4.实时交易监控应实现交易监控规则的设置,以实现对实时交易的监控,并提供对违反规则的交易进行查询、处理、风险控制等服务。

2.2.5.可疑交易处理应实现可疑交易处理规则的设置,以实现对可疑交易的查询、分析处理等服务。