非金融机构支付服务业务system检测细则互联网支付部分V2-0.doc

非金融机构支付服务业务系统检测规范 （互联网支付部分） （V2.0版） 中国人民银行 2012年4月 目 录 第一部分 总则 3 一、检测依据 3 二、检测目标 4 三、启动准则 4 四、术语定义 4 五、适用范围 5 第二部分 检测内容 5 一、功能测试 5 二、风险监控测试 7 三、性能测试 7 四、安全性测试 8 五、文档审核 15 第三部分 外包附加测试 15 附录 检测过程风险分析 17 第一部分 总则 一、检测依据 GB/T 25000.51-2010 软件工程 软件产品质量要求与评价（SQuaRE） 商业现货（COTS）软件产品的质量要求和测试细则 GB/T 16260-2006 软件工程 产品质量 GB/T 17544-1998 信息技术 软件包 质量要求和测试 GB/T 18905-2002 软件工程 产品评价 GB/T 27025-2008 检测和校准实验室能力的通用要求 GB/T 8567-2006 计算机软件文档编制规范 GB/T 9385-2008 计算机软件需求规格说明规范 GB/T 9386-2008 计算机软件测试文档编制规范 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 15332-2008 计算机软件测试规范 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则 GB 17859-1999 计算机信息系统 安全保护等级划分准则 《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号） 《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号 商业银行管理 客户证书管理 客户审核 必测项 账户管理 客户支付账户管理 必测项 客户支付账户管理审核 客户支付账户查询 必测项 客户支付账户资金审核 交易处理 一般支付 一般支付类必测项 担保支付 担保支付类必测项 协议支付 协议支付类必测项 订单撤销 必测项 转账 预存 提现 积分查询 积分兑换 积分兑换撤销 交易纠纷处理 交易明细查询 必测项 交易明细下载 邀请其他人代付 资金结算 客户结算 必测项 对账处理 商户发送对账请求 商户下载对账文件 差错处理 长款/短款处理 必测项 单笔退款 必测项 批量退款 统计报表 业务类报表 必测项 运行管理类报表 必测项 运营管理 运营人员权限管理 必测项 提现管理 提现财务处理 退款风控处理 必测项 退款财务处理 必测项 二、风险监控测试 验证支付服务业务系统的账户及交易风险，测试内容如下： 编号 检测项 检测说明 账户 交易监控 监控规则管理 必测项 当日交易查询 必测项 历史交易查询 必测项 实时交易监控 必测项 可疑交易处理 必测项 交易事件报警 必测项 交易审核 系统自动审核 必测项 人工审核 必测项 风控规则 风控规则管理 必测项 黑名单 必测项 风险识别 必测项 事件管理 必测项 风险报表 必测项 三、性能测试 对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。 测试内容包括以下三个方面：一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。 根据以上性能测试内容，并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则，选取以下测试业务点： 编号 检测项 检测说明 支付 必测项 预存 转账 交易明细查询 必测项 日终批处理 四、安全性测试 1.网络安全性测试 对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。检测内容如下： 编号 检测项 检测说明 结构安全 网络冗余和备份 必测项 网络安全路由器 必测项 网络安全防火墙 必测项 网络拓扑结构 必测项 IP子网划分 必测项 QoS保证 必测项 网络访问控制 网络域安全隔离和限制 必测项 地址转换和绑定 必测项 内容过滤 必测项 访问控制 必测项 流量控制 必测项 会话控制