银行非金融机构支付服务业务系统检测评估准则V2.0.docVIP

非金融机构支付服务业务系统检测 评估准则 （V2.0版） 　 目 录 一、问题等级分类 3 二、检测结果判定 5 三、问题等级分类判例 7 一、问题等级分类 问题等级分为严重问题、问题建议问题。问题等级的分类标准如下：问题等级的分类标准1 严重问题 风险监控 性能检测 性能未需 安全性检测 敏感数据泄漏、丢失或者篡改。敏感数据包括但不限于：密钥、密码、身份信息、账户信息、银行卡信息、交易信息等 系统核心配置文件、源代码泄漏、丢失或者篡改 影响交易数据完整性 导致越权访问 影响支付业务连续性，导致系统无法恢复 外包检测 未与第三方服务机构签订支付服务系统外包合同和安全必威体育官网网址协议 未对外包服务建立风险评估制度 未对第三方服务机构资质建立认定制度 未对外包服务建立控制和监督制度 2 一般问题 必测项功能实现不完善，但不影响业务功能使用，或者有替代方法 存在非必测项功能，但未正确实现 未对关键数据域进行校验，或者校验不严格 提示信息错误 用户界面错误 风险监控 安全性检测 非敏感数据泄漏、丢失或者篡改 系统一般的配置文件泄漏、丢失或者篡改 影响支付业务连续性，导致系统无法及时恢复 文档检测 文档缺失 文档自身、文档之间或者文档与实际情况不一致 文档内容不完整 外包检测 外包合同内容不完善 未对外包服务进行持续、有效的控制和监督 3 建议问题 系统错误，不影响正常业务人机交互界面不友好 安全性检测 影响支付业务连续性，但系统能够及时恢复 文档检测 文档格式不统一，不易于浏览，文档内容不容易理解 文档管理不规范 对于风险监控、安全审计要求，系统没有功能模块实现，但是线下采用人工补偿方法可以正确实现该功能的，可降低一级问题级别。此外，不适用项，检测人员从客户服务体验、实现难易程度方面进行分析，可提建议性问题。 二、检测结果判定 （一）检测项结果判定原则 不符合 在检测过程中，发现严重性问题和一般性问题，该检测项的检测结果判定为“不符合”。 符合 在检测过程中，未发现问题或仅发现建议性问题，该检测项的检测结果判定为“符合”。 不适用 在各检测类检测过程中，根据厂商声明，被检测系统未提供的非必测项可判定为“不适用”，必测项不能判定为“不适用”，风险监控类、安全类检测项除外。 在风险监控类、安全类检测过程中，检测要求对抗的威胁在被测系统中不存在，该检测项判定为“不适用”。判定为不适用的风险监控类、安全类检测项需说明原因和带来的安全影响。 （二）检测类结果判定原则 不符合 该检测类中存在因严重问题导致的“不符合”检测项，则该检测类的检测结果判定为“不符合”。 该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“不符合”： （1）属于功能类的检测项，其检测结果中“不符合”率大于15%。 （2）属于风险监控类的检测项，其检测结果中“不符合”率大于15%。 （3）属于性能类的检测项，其检测结果中“不符合”率大于15%。 （4）属于安全类的检测项，其检测结果中“不符合”率大于15%。 （5）属于文档类的检测项，其检测结果中“不符合”率大于15%。 （6）属于外包类的检测项，其检测结果中“不符合”率大于15%。 符合 该检测类中检测项的检测结果全部为“符合”，则该检测类的检测结果判定为“符合”。 该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“符合”： （1）属于功能类的检测项，其检测结果中“不符合”率小于或等于15%。 （2）属于风险监控类的检测项，其检测结果中“不符合”率小于或等于15%。 （3）属于性能类的检测项，其检测结果中“不符合”率小于或等于15%。 （4）属于安全类的检测项，其检测结果中“不符合”率小于或等于15%。 （5）属于文档类的检测项，其检测结果中“不符合”率小于或等于15%。 （6）属于外包类的检测项，其检测结果中“不符合”率小于或等于15%。 （三）检测报告结果结果 符合 其他情况检测报告结果 三、问题等级分类判例 检测问题等级分类判例参见附件《非金融机构支付服务业务系统检测问题判例》。 第2页 第1页