第三方非金融支付机构检测规范培训最新

非金融支付机构检测标准及常见问题情况介绍一、新标准解读4基本情况规范变化非金融机构支付服务业务系统检测系列规范（V2.0）银科技〔2012〕94号中国人民银行公告〔2010〕第17号中国人民银行科技司关于发布非金融机构支付服务业务系统检测系列规范V1.0的通知（银科技）〔2011〕123号非金融机构支付业务设施技术要求（即将发布）非金融机构支付服务业务系统检测规范（即将发布）一、新标准解读5基本情况非金融机构支付服务业务系统检测评估准则非金融机构支付服务业务系统检测操作规程非金融机构支付服务业务系统检测内容基本要求非金检测一、新标准解读6基本情况数字电视支付预付卡的发行与受理固定电话支付银行卡收单互联网支付移动电话支付（远程支付）移动电话支付（近场支付）网络支付预付卡的发行与受理银行卡收单一、新标准解读7基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试检测大类没有变化功能测试风险监控测试性能测试安全性测试文档测试外包测试一、新标准解读8基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理的准确性一、新标准解读9基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试验证支付服务业务系统的账户及交易风险一、新标准解读10基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。测试内容包括以下三个方面：一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。一、新标准解读11基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试网络安全性测试主机安全性测试应用安全性测试数据安全性测试运维安全性测试业务连续性测试一、新标准解读12基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试网络安全性测试对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。一、新标准解读13基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试主机安全性测试对支付服务业务系统主机安全防护进行检测，考察主机的安全控制能力。一、新标准解读14基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试应用安全性测试对支付服务业务系统应用安全性检测，主要检测应用系统对非法访问及操作的控制能力。一、新标准解读15基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试数据安全性测试对支付服务业务系统数据安全防护进行检测，主要考察数据的传输、存储、备份与恢复安全性。一、新标准解读16基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试运维安全性测试对支付服务业务系统运维安全进行检测，主要考察运维安全管理制度及运维安全执行情况。一、新标准解读17基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试业务连续性测试对支付服务业务系统业务连续性进行检测，主要考察系统是否具备业务连续性管理并达到设计目标。一、新标准解读18基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性，以及是否符合行业标准，是否遵从更新控制和配置管理的要求等方面进行检测。一、新标准解读19基本情况功能测试风险监控测试性能测试安全性测试文档测试外包测试对于非金融机构将支付服务业务系统相关运维外包给第三方服务机构的情况，还应进行外包附加测试。一、新标准解读20基本情况业务系统功能测试风险监控测试性能测试安全性测试文档审查外包附件测试总计互联网支付35145197157273移动电话支付（远程支付）51295211157318移动电话支付（近场支付）36405223157326固定电话支付42146196157280数字电视支付37145197157275预付卡的发行与受理39218222157312银行卡收单45245211157307一、新标准解读21技术要求及检测规范《非金融机构支付业务设施技术要求》本要求包括基本要求和增强要求两部分；增强要求在本要求中做出了具体的规定。本要求根据现有技术的发展水平，提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求，即基本要求，基本要求包括技术标准符合性和系统安全性要求。达到本要求要求可以实现系统的基本技术符合和相对安全。检测目标是在系统版本确定的基础上，对非金融机构支付服务业务（互联网支付）系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试，客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求，保障我国支付业务设施的安全稳定运行。一、新标准解读22技术要求及检测规范《银行卡收单业务管理办法》《支付机构预付卡业务管理办法》《互联网支付业务风险防范指引》一、新标准解读23非金融机构支付业务设施技术要求（即将发布）定义及内容互联网支付internetpayment是指依托互联网实现收付款方之间货币资金转移的行为。移动电话支付（近场支付）MobilePayment（Near-fieldpayment）是指移动终端上内嵌的智能卡通过非接触方式和支付受理终端进行通讯，实现货币支付与资金转移的行为。移动电话支付（远程支付）MobilePayment（remotepayment）是指移动终端（通常指手机）以短信、WAP、客户端软件以及客户端软件加智能卡等方式，通过无线通信网络发出支付指令，实现货币支付与资金转移的行为。一、新标准解读24非金融机构支付业务设施技术要求（即将发布）定义及内容固定电话支付fixedtelephonepayment是指电话通过语音IVR方式，使用电话线路发出支付指令，实现货币支付与资金转移的行为。数字电视支付DigitalTVpayment是指依托交互机顶盒等数字电视支付终端发起的，使用IC卡或网络实现支付交易的行为。数字电视支付业务不涉及IC卡的发行和管理。预付卡的发行与受理Prepaidcards是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。银行卡收单bankcardacceptance是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。一、新标准解读25非金融机构支付业务设施技术要求（即将发布）基本要求和增强要求《非金融机构支付业务设施技术要求》包括基本要求和增强要求两部分；增强要求在本要求中做出了具体的规定。根据现有技术的发展水平，提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求，即基本要求，基本要求包括技术标准符合性和系统安全性要求。达到本要求要求可以实现系统的基本技术符合和相对安全。一、新标准解读26非金融机构支付业务设施技术要求（即将发布）基本要求和增强要求考虑到非金融机构支付业务设施的实际技术应用现状，也考虑到金融行业对于业务的规范化要求，以及将来的发展需要，对未来一段时间内行业的发展水平进行合理的预估，提出增强要求。增强要求高于当前的平均水平。一、新标准解读27非金融机构支付服务业务系统检测规范（即将发布）定义及内容分为5个部分：第1部分：互联网支付；第2部分：预付卡的发行与受理；第3部分：银行卡收单；第4部分：固定电话支付；第5部分：数字电视支付；一、新标准解读28非金融机构支付服务业务系统检测规范（即将发布）名词定义•管理类•技术类一、新标准解读29非金融机构支付服务业务系统检测规范（即将发布）名词定义•非必测项•必测项一、新标准解读30非金融机构支付服务业务系统检测规范（即将发布）名词定义•技术要求细化明确基本要求定义区分技术类与管理类增加基本要求与增强要求适应行业发展一、新标准解读31总结二、技术检测趋势33行业现状首批发放牌照目前27250二、技术检测趋势34技术检测标准符合性测试流程优化测试风险评估测试安全渗透测试软硬件相结合二、技术检测趋势35技术检测标准符合性测试注重标准符合性，能否提供人民银行要求的基本功能要求，业务类型与申请牌照是否一致基础硬件设施是否能够满足要求性能能否满足未来业务发展需求二、技术检测趋势36技术检测安全渗透测试外部系统是否存在漏洞，导致用户信息及资金的泄露内部系统是否存在安全漏洞，内部安全风险更可怕支付产品安全性二、技术检测趋势37技术检测风险评估测试风控系统能够切实起到风险防范安全意识培训是否开展到位多个漏洞同时存在时是否会带来更大的风险二、技术检测趋势38技术检测流程优化测试管理制度是否到位功能流程是否存在安全漏洞监管执行是否到位二、技术检测趋势39技术检测软硬件相结合流程能否导致欺诈风险专利技术风险信息泄露风险二、技术检测趋势40技术检测趋势更细更深更全三、误区解惑42客户用户客户应包括用户和商户有些检测项的要求不仅对于用户适用，有些要求同样对于商户适用。三、误区解惑43测试环境性能差生产环境性能好支付机构性能处理能力不仅取决于硬件的性能，有时性能问题的瓶颈出现在程序逻辑上。当在测试环境发现性能不能够满足要求时，应更换测试环境或查找原因，使得测试环境能够满足性能需求。三、误区解惑44内外网隔离内网绝对安全内网安全同样需要重视，存在内部人员作案风险及由其他区域带来的安全隐患三、误区解惑45信息安全安全设备信息安全不等同于安全设备，他是一个需要多方面配合而完整的过程，需要设计到硬件、软件、人员和管理等多方面因素，而安全设备仅仅是其中之一三、误区解惑46业务类报表对账统计表业务类报表包含很多方面，如新增用户数，新增商户数，当日流水金额等多方面业务指标，而不是单指流水统计汇总表，而应该是能够反应整体业务增