为抓好《非金融机构支付服务管理办法》（中国人民银行令[2010]2号）的贯彻落实，确保非金融机构支付服务检测认证工作规范有序发展，中国人民银行公告[2011]14号非金融机构支付服务系统，中国人民银行制定了《非金融机构支付服务系统测试认证管理规定》，现予发布实施，2011年

第一章总则

第一条为加强非金融机构支付服务业务的信息安全管理和技术风险防范，确保系统测试和认证的客观性、及时性、全面性和有效性，根据《非金融机构支付服务管理办法》（中国人民银行令[2010]2号）和《非金融机构支付服务管理办法实施细则》（国务院公告），制定本规定中国人民银行[2010]17号）

第二条非金融机构支付服务业务系统的检查认证，是指申请支付业务许可证的非金融机构（以下简称“非金融机构”）的支付业务处理系统的检查认证非金融机构）或《非金融机构支付服务管理办法》所称支付机构（以下简称支付机构）的网络通信系统及包含上述系统的专用机房应符合技术标准第三条非金融机构应当在申请支付业务许可证前6个月内对其业务系统进行测试和认证；支付机构应根据其支付业务发展和安全管理的要求，至少每三年对其业务系统进行一次全面的测试和认证。

第四条本规定所述的测试机构应在按照国家相关认证认可规定，通过中国合格评定国家认可中心认可，并取得中国人民银行授权的非金融机构支付服务系统测试资质

第五条本规定所称认证机构，应当经国家认证认可监督管理委员会批准设立，获得中国合格评定国家认可中心认可，并取得中国人民银行授权的非金融机构支付服务系统认证资格

第六条中国人民银行负责检测认证资格的认定和管理，定期向社会公布通过检测认证资格认定的机构名单及其经营范围

第七条在检测认证过程中，非金融机构或支付机构应与测试机构和认证机构建立信息保密机制第八条支付机构不得连续两次委托同一测试机构进行业务系统测试9在实施业务系统测试之前，非金融机构或支付机构应做好以下准备工作：

（I）与测试机构签订书面合同，其中应明确规定保密条款；（II）与测试机构就测试范围进行沟通，测试的内容和进度，制定详细的测试计划并签字确认

（三）向测试机构提交申请测试和认证的业务系统与生产系统的符合性声明

第十条测试应严格遵守技术标准和测试规范由中国人民银行制定，真实反映非金融机构或支付机构业务系统技术标准的合规性和安全性状况，并确保非金融机构或支付机构的业务系统满足国家信息系统安全保护三级基本要求

第11条业务系统测试应包括但不限于：

（I）功能测试

验证业务系统正确实现并测试其业务处理的准确性

（二）风险监控测试

评估业务系统的风险监控、预警和管理措施，测试异常交易、大额交易的监控和防范能力，业务系统的非法卡号交易、密码错误交易等风险

（三）性能测试

验证业务系统是否满足多用户并发操作的业务要求，是否满足业务性能要求，评估压力释放后的自我恢复能力，并测试系统性能极限（IV）安全测试评估业务系统在网络安全、主机安全、应用程序安全、数据安全、操作和维护安全方面的能力和管理措施，电子认证安全、业务连续性等，评估其业务系统的安全防控和安全管理水平，有效且一致，符合相关标准，并符合更新控制和配置管理的要求

第12条测试机构应在测试完成后10个工作日内向非金融机构或支付机构提交正式测试报告（一式四份）

第13条测试报告应包括以下内容：

（I）支付服务业务系统的名称和版本

（II）检测的时间和范围

（III）检测设备的说明，工具和环境（IV）测试机构名称和测试人员说明（V）测试内容和具体测试结果说明（VI）测试和整改过程中发现的问题（VII）测试结果和建议申请测试认证的业务系统和生产系统

（九）其他需要说明的问题

第十四条收到测试机构出具的测试报告后，非金融机构或支付机构应及时向认证机构提交测试报告及相关材料，并申请认证

第三章认证

第十五条实施支付服务业务系统认证前，非金融机构或支付机构应与认证机构签订书面合同，明确保密条款第十六条认证应遵循客观、公正、科学的原则，并按照国家相关认证认可法律法规和中国人民银行关于非金融机构支付服务业务系统的技术标准和认证要求执行处理认证申请，在正式受理申请后20个工作日内将认证结果通知非金融机构或支付机构，第四章监督管理第十八条支付机构正式开展支付业务后，有下列情形之一的，应及时进行测试：

（一）重大安全事故（二）业务系统应用架构和重要版本的变更

（三）生产中心机房场地搬迁

（四）人民政府要求的其他信息中国银行

第十九条检测认证程序和方法不符合国家检测认证的有关规定和中国人民银行的有关要求，或者检测认证结果严重失真的，中国人民银行及其分支机构可要求重新测试或认证，违反第二十条规定的检测认证机构未按照检测认证规范和相关要求开展检测认证活动的，由此产生的费用由检测认证机构承担由中国人民银行制定，或未严格遵守