非金融机构支付服务系统技术标准符合性和安全性检测规范

（1） 货币汇兑 （2） 互联网支付 （3） 移动电话支付 （4） 固定电话支付 （5） 数字电视支付 （6） 预付卡的发行与受理 （7） 银行卡收单

（8） 中国人民银行确定的其他支付服务

2. 互联网支付：是指依托互联网实现收付款方之间货币资金转移的行为。

五、适用范围

第三方检测机构按照本规范制定支付服务业务系统技术标准符合性和安全性检测方案。

非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范要求进行附加测试。

第二部分 检测内容

一、功能测试

验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理

第5页

的准确性，测试内容如下：

编号 检测项 1.1.1 客户信息登记及管理 1.1 客户管理 1.1.2 商业银行管理 1.1.3 客户证书管理 1.1.4 客户审核 1.1.5 客户支付账户管理 1.2 账户管理 1.2.1 客户支付账户管理审核 1.1.6 客户支付账户查询 1.1.7 客户支付账户资金审核 1.3.1 一般支付1 1.3.2 担保支付2 1.3.3 协议支付3 1.3.4 订单撤销 1.3.5 转账 1.3.6 预存 1.3 交易处理 1.3.7 提现 1.3.8 积分查询 1.3.9 积分兑换 1.3.10 积分兑换撤销 1.3.11 交易纠纷处理 1.3.12 交易明细查询 1.3.13 交易明细下载 1.3.14 邀请其他人代付 1.4 1.5 资金结算 对账处理 1.4.1 客户结算 1.5.1 商户发送对账请求 1.5.2 商户下载对账文件 1.6.1 长款/短款处理 1.6 差错处理 1.6.2 单笔退款 1.6.3 批量退款 1.7 统计报表 1.7.1 业务类报表 1.7.2 运行管理类报表 1.8.1 运营人员权限管理 1.8.2 提现管理 1.8 运营管理 1.8.3 提现财务处理 1.8.4 退款风控处理 1.8.5 退款财务处理 必测项 必测项 必测项 一般支付类必测项 担保支付类必测项 协议支付类必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 检测说明 必测项

1

一般支付：指客户在商户提供的平台上选购商品或服务，并在支付服务方确认付款的支付交易流程。本交易的特点为：客户在支付服务方进行身份认证、支付工具确认等，并且支付服务方不对交易双方提供交易担保。 2

担保支付：指在一般支付中，由支付服务方为支付的双方提供交易担保，支付成功时支付服务方把付款人的资金暂存在一个中间账户，由付款人在确认收到货物（服务）后或者在指定期限付款人未进行收货确认时，把资金划转到收款人账户的一种业务。 3

协议支付：指客户、商户、支付服务方事前签约，在支付时商户根据签约凭证直接向支付服务方发起扣款交易。协议支付要求客户信任商户能够保障自己的资金安全。 第6页

二、风险监控测试

验证支付服务业务系统的账户及交易风险，测试内容如下：

编号 2.1 账户风险管理 检测项 2.1.1 实名认证 2.2.1 监控规则管理 2.2.2 当日交易查询 2.2 交易监控 2.2.3 历史交易查询 2.2.4 实时交易监控 2.2.5 可疑交易处理 2.2.6 交易事件报警 2.3 交易审核 2.3.1 系统自动审核 2.3.2 人工审核 2.4.1 风控规则管理 2.4.2 黑名单 2.4 风控规则 2.4.3 风险识别 2.4.4 事件管理 2.4.5 风险报表 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 检测说明

三、性能测试

对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。

测试内容包括以下三个方面：一是验证系统是否支持业务的多用户并发操作；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。

根据以上性能测试内容，并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则，选取以下测试业务点：

编号 3.1 3.2 3.3 3.4 3.5

检测项 3.1.1 支付 3.2.1 预存 3.3.1 转账 3.4.1 交易明细查询 3.5.1 日终批处理 第7页

检测说明 必测项 必测项

四、安全性测试

1.网络安全性测试

对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全。检测内容如下：

编号 检测项 4.1.1.1 网络冗余和备份 4.1.1.2 网络安全路由器 4.1.1.3 网络安全防火墙 4.1.1 结构安全 4.1.1.4 网络拓扑结构 4.1.1.5 IP子网划分 4.1.1.6 QoS保证 4.1.2.1 网络域安全隔离和限制 4.1.2.2 地址转换和绑定 4.1.2.3 内容过滤 4.1.2 网络访问控制 4.1.2.4 访问控制 4.1.2.5 流量控制 4.1.2.6 会话控制 4.1.2.7 远程拨号访问控制和记录 4.1.3.1 日志信息 4.1.3.2 网络系统故障分析 4.1.3 网络安全审计 4.1.3.3 网络对象操作审计 4.1.3.4 日志权限和保护 4.1.3.5 审计工具 4.1.4 边界完整性检查 4.1.4.1 内外网非法连接阻断和定位 4.1.5.1 网络ARP欺骗攻击 4.1.5 网络入侵防范 4.1.5.2 信息窃取 4.1.5.3 DOS/DDOS攻击 4.1.5.4 网络入侵防范机制

第8页

检测说明 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项 必测项