1、 文件编码:CFNR-IR-001-2011非金融机构支付业务设施技术认证实施规则XXXX-XX-XX 发布 XXXX -XX-XX 实施北京中金国盛认证有限公司 发布目 录1 适用范围 .12 认证依据 .13 认证模式 .14 认证的基本环节 .25 认证实施 .25.1 检测 .25.2 认证申请及受理 .35.3 文件审查 .65.4 现场审查 .65.5 审查结论判定 .65.6 认证决定 .75.6.1 认证决定 .75.6.2 对认证决定的申诉 .85.7 证后监督 .85.7.1 证后监督频次和方式 .95.7.2 证后监督审查的内容 .95.7.3 证后监督结果评价 .105
2、.7.4 信息通报制度 .105.7.5 信息分析 .115.8 再认证 .115.9 认证变更 .116 认证时限 .117 认证证书 .127.1 认证证书有效期 .127.2 认证证书和认证标志的使用 .137.2.1 认证证书的使用 .137.2.2 认证标志的使用 .137.3 认证证书的管理 .147.3.1 扩大/缩小认证范围 .147.3.2 暂停认证证书 .147.3.3 撤销认证证书 .157.3.4 注销认证证书 .168 收费 .1611 适用范围本规则适用于认证机构开展的非金融机构支付业务设施技术认证工作。非金融机构支付业务设施技术认证,是指对申请支付业务许可证的非金
3、融机构或非金融机构支付服务管理办法所指的支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性认证工作。非金融机构支付业务设施技术认证业务包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付、预付卡的发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。2 认证依据非金融机构支付业务设施技术认证规范3 认证模式一级认证模式:检测+文件审查+现场审查(必要时)+ 获证后监督二级认证模式:检测+文件审查+现场审查+获证后监督4 认证的基本环节一级认证基本环节:(1) 检测(2) 认证申请及受理(3) 文件审查 (4) 现场审查(必要时)(
4、5) 认证决定 (6) 获证后监督(7) 再认证 二级认证基本环节:(1) 检测(2) 认证申请及受理(3) 文件审查 (4) 现场审查(5) 认证决定 (6) 获证后监督(7) 再认证5 认证实施5.1 检测认证机构应与检测机构签署检测合作协议书 ,并向金融标准检测认证体系管理领导小组办公室报备,并将检测机构名单公布在其网站上。从事非金融机构支付服务业务系统检测工作的检测机构,应取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。认证申请方从认证机构网站(www.icfnr.org )发布的检测机构列表中选择检测机构,并与其签订检测合同。认证申请方不得连续两次将业务系统检测委托给同一
5、家检测机构。在检测合同签订后 5 个工作日内检测机构应向认证机构提交检测备案材料。检测备案材料包括但不限于:(1) 检测合同(纸质 1 份) ;(2) 非金融机构支付服务业务系统情况调查表(纸质1 份) ;(3) 双方签字确认的检测计划(纸质和电子各 1 份) ;检测工作应符合人民银行公告2011第 14 号非金融机构支付服务业务系统检测认证管理规定的要求。检测机构应于检测完成后 10 个工作日内向认证机构提交检测报告(电子 1 份) 。5.2 认证申请及受理认证申请方在收到检测机构出具的检测报告后,应及时将检测报告及相关材料提交认证机构,并申请认证。提交认证的材料参见认证机构网站(www.i
6、cfnr.org )的认证申请书要求。初次进行认证申请的认证申请方应提交给认证机构的材料包括但不限于:(1) 认证申请书(纸质和电子各 1 份)(2) 认证申请方的营业执照、组织机构代码证、资质证书复印件(3) 系统网络结构拓扑图及生产环境软硬件配置说明(电子 1 份)(4) 技术及管理文档(电子或纸质 1 份):需求说明书、需求分析文档、总体设计方案、工程实施方案、系统运维手册、系统应急手册、运维管理制度、安全管理制度、安全审计报告、用户手册、操作手册、风险评估报告 1(5) 非金融机构支付服务业务系统检测报告及相关材料(纸质 1 份) ,检测报告及相关材料包括但不限于以下文件:1) 检测报
7、告声明2) 申请检测认证的业务系统与生产系统的一致性声明3) 系统与检测规范内容对应关系说明4) 检测总体情况报告5) 检测问题报告6) 功能测试报告7) 风险监控测试报告1风险评估报告至少包括以下内容:1)非金融机构支付业务风险、系统风险分析(技术和管理方面) ;2)风险分类及等级划分;3)采取的控制措施。8) 性能测试报告9) 安全性测试报告10) 文档审核报告11) 外包测试报告(适用时)12) 非金融机构支付服务业务系统检测问题确认单(适用时)13) 非金融机构支付服务业务系统检测整改报告(适用时)(6) 外包管理材料(适用于将系统基础设施运维服务、应用系统运维服务和安全管理服务等外包
8、给第三方机构的认证申请方,提交电子或纸质 1 份) ,至少包括以下材料:1) 外包商的营业执照、组织机构代码证2) 外包合同3) 外包安全保密协议4) 业务外包评估材料5) 外包商评估材料6) 外包商资质材料7) 外包商的监督管理制度8) 外包服务应急计划9) 外包服务的控制和监督措施10) 项目交付材料清单和业务培训证明材料认证机构在接收到认证申请方的申请材料后,在 5 个工作日内确定是否受理(因申请材料不齐备而补充材料的时间不计算在内) 。5.3 文件审查认证机构在正式受理后,应以非金融机构支付业务设施技术认证规范为标准,对认证申请范围内的业务设施的技术符合性进行审查,获取认证申请方为申请
9、认证业务所提供的非金融机构支付业务设施技术是否符合认证规范的证据。5.4 现场审查认证机构按照非金融机构支付业务设施技术认证规范第 5 章的要求,必要时进行现场审查。现场审查的内容主要包括:(1) 检测中发现的不符合项;(2) 技术要求在认证申请方提供的业务设施中的具体实现;(3) 见证现场服务。5.5 审查结论判定审查结论分为同意推荐和不同意推荐两种。(1) 不同意推荐1) 若审查过程中发现材料不足,或提供的材料不能充分证明其符合性,则认证机构要求检测机构或认证申请方在 5 个工作日内提交补充材料。若在超过 5 个工作日不能提供补充材料或材料不充分,则审查报告审查结果为“不同意推荐” 。2) 若文件审查或现场审查结果证明认证申请方提供的支付业务设施技术不满足其申请的认证业务范围技术要求,则审查结论判定为“不同意推荐” 。(2) 同意推荐若审查结果证明认证申请方提供的支付业务设施技术满足其申请的认证业务范围技术要求,则审查结论判定为“同意推荐” 。若审查结论为“不同意推荐” ,认证机构应对认证申请方提出整改建议,认证申请方可在其技术能力达到相关要求后重新申请认证。若审查结论为“同意推荐” ,审查结论提交认证决定组。5.6 认证决定认证决定组至少由 2 名以上(含 2 名)认证决定人员组成,并且应确定一位第一认证决定人。
