非金融机构支付服务业务系统检测规范V3.0
第1部分:互联网支付
Test specification of Non-financial institutions payment services business system
--Part 1:internet payment
(本稿完成日期:2013-12-20)
2013 -12-20发布 2014- 1-1实施
目 次
前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 启动准则 .......................................................................... 2 5 功能测试 .......................................................................... 2 6 风险监控测试 ...................................................................... 3 7 性能测试 ......................................................................... 10 8 安全性测试 ....................................................................... 11 8.1 8.2 8.3 8.4 8.5 8.6
网络安全性测试 ............................................................... 11 主机安全性测试 ............................................................... 23 应用安全性测试 ............................................................... 37 数据安全性测试 ............................................................... 52 运维安全性测试 ............................................................... 59 业务连续性测试 ............................................................... 70
9 文档审核 ......................................................................... 74 10 外包附加测试 .................................................................... 75 附录A(资料性附录) 检测过程风险分析 ............................................... 77
图1 数据安全性测试 ................................................................. 52
表1 功能测试 ........................................................................ 2 表2 风险监控测试 .................................................................... 3 表3 性能测试业务点 ................................................................. 10 表4 网络安全性测试 ................................................................. 11 表5 主机安全性测试 ................................................................. 23 表6 应用安全性测试 ................................................................. 37 表7 运维安全性测试 ................................................................. 59 表8 业务连续性测试 ................................................................. 70 表9 文档审核 ....................................................................... 74 表10 外包附加测试 .................................................................. 75 表A.1 检测过程风险分析 ............................................................. 77
I
前 言
《非金融机构支付服务业务系统检测规范》分为5个部分: ——第1部分:互联网支付;
——第2部分:预付卡的发行与受理; ——第3部分:银行卡收单; ——第4部分:固定电话支付; ——第5部分:数字电视支付; 本部分为第1部分。
本部分由人民银行提出。
本部分由全国金融标准化技术委员会归口。
本技术规范的主要起草单位:中国人民银行科技司、北京中金国盛认证有限公司、中国信息安全认证中心、中国金融电子化公司、上海市信息安全测评认证中心、银行卡检测中心、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、中国信息安全测评中心、国家应用软件产品质量监督检验中心(北京软件产品质量检测检验中心)、信息产业信息安全测评中心、中金金融认证中心有限公司、中国电子科技集团公司信息化工程总体研究中心、支付宝(中国)网络技术有限公司、银联商务有限公司、拉卡拉支付有限公司、北京通融通信息技术有限公司、快钱支付清算信息有限公司、上海汇付数据服务有限公司、上海盛付通电子商务有限公司、钱袋网(北京)信息技术有限公司、联通支付有限公司、深圳市财付通科技有限公司等。
本部分主要起草人:潘润红,杜宁,邬向阳,李兴锋,吴晓光,陈实博,王磊磊,聂丽琴,唐立军,田洁,王翠,高天游,赵春华,郝晓花,王妍娟,付小康,陆碧波,李红曼,张奇,扈浩,布宁,吴迪,严妍,刘思蓉,甘杰夫,刘力凤,蒋朝阳,马国照,张瑞秀,刘文光,白智勇,周悦,王威,赵小帆,郑丽娜,孔昊,李宏达,陆嘉琪,金铭彦,刘健,张益,董晶晶,杜磊,李海滨,王睿超,段超,张金凤,熊军,吴祥富,高磊,宋铮,郭宇,孔嘉俊,罗文兵,唐刚,杨天识,漆添虎,潘莹,侯龙,王雅杰,张进,李鹏,牛跃华,王雄,唐凌,林志伟,王华锋,方海峰,张健,戴维,冷杉,程伟,冯建盟,林勇,刘锦祥,叶飞,王庆,罗旭,任震,赵传飞等。
II
引 言
为促进支付服务市场健康发展,规范非金融机构支付服务行为,防范支付风险,保护当事人的合法权益,根据《中华人民共和国标准化法》、《中华人民共和国认证认可条例》、《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)、《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号)及《非金融机构支付服务业务系统检测认证管理规定》等相关法律法规的规定,制定非金融机构支付服务业务系统检测系列规范。
检测目标是在系统版本确定的基础上,对非金融机构支付服务业务(互联网支付)系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试,客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求,保障我国支付业务设施的安全稳定运行。
III
非金融机构支付服务业务系统检测规范
第1部分:互联网支付
1 范围
第三方检测机构按照本规范制定支付服务业务系统(互联网支付)技术标准符合性和安全性检测方案。
非金融机构若将支付服务业务系统外包给第三方服务机构,则还应按照本规范要求进行附加测试。 2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
——GB/T 25000.51-2010 软件工程 软件产品质量要求与评价(SQuaRE) 商业现货(COTS)软件
产品的质量要求和测试细则
——GB/T 16260-2006 软件工程 产品质量 ——GB/T 18905-2002 软件工程 产品评价
——GB/T 27025-2008 检测和校准实验室能力的通用要求 ——GB/T 8567-2006 计算机软件文档编制规范 ——GB/T 9385-2008 计算机软件需求规格说明规范 ——GB/T 9386-2008 计算机软件测试文档编制规范
——GB/T 14394-2008 计算机软件可靠性和可维护性管理 ——GB/T 15332-2008 计算机软件测试规范
——GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 ——GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则 ——GB 17859-1999 计算机信息系统 安全保护等级划分准则
——《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)
——《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号)
——《非金融机构支付服务业务系统检测认证管理规定》(中国人民银行公告〔2011〕第14号) 3 术语和定义
3.1
非金融机构支付服务 non-financial institutions payment services
是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务: a) 互联网支付 b) 移动电话支付 c) 固定电话支付 d) 数字电视支付
1