为做好《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）实施工作，保障非金融机构支付服务业务系统检测认证工作规范有序开展，中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》，现公布实施。

　　第一条为加强非金融机构支付服务业务的信息安全管理与技术风险防范，保证其系统检测认证的客观性、及时性、全面性和有效性，依据《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）、《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号公布）制定本规定。

　　第二条非金融机构支付服务业务系统检测认证，是指对申请《支付业务许可证》的非金融机构（以下统称非金融机构）或《非金融机构支付服务管理办法》所指的支付机构（以下统称支付机构），其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。

　　第三条非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证；支付机构应根据其支付业务发展和安全管理的要求，至少每3年对其业务系统进行一次全面的检测认证。

　　第四条本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。

　　第五条本规定所称的认证机构应经国家认证认可监督管理委员会批准成立，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。

　　第六条中国人民银行负责检测、认证资格的认定和管理工作，并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。

　　第七条非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。

　　（二）与检测机构就检测的范围、内容、进度等事项进行沟通，制定详细的检测计划，并签字确认；

　　第十条检测应严格遵守中国人民银行制定的技术标准和检测规范，真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况，保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。

　　评估业务系统的风险监控、预警和管理措施，测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。

　　验证业务系统是否满足业务需求的多用户并发操作，是否满足业务性能需求，评估压力解除后的自恢复能力，测试系统性能极限。

　　评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施，评价其业务系统的安全防控和安全管理水平。

　　验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致，是否符合相关标准并遵从更新控制和配置管理的要求。

　　第十二条检测机构应于检测完成后10个工作日内向非金融机构或支付机构提交正式的检测报告（一式四份）。

　　第十四条非金融机构或支付机构在收到检测机构出具的检测报告后，应及时将检测报告及相关材料提交认证机构，并申请认证。

　　第十五条非金融机构或支付机构在实施支付服务业务系统认证前，应与认证机构签订书面合同，pg电子平台合同应明确规定保密条款。

　　第十六条认证应秉承客观、公正、科学的原则，按照国家有关认证认可法律法规及中国人民银行关于非金融机构支付服务业务系统的技术标准和认证要求实施。

　　第十七条认证机构应及时处理认证申请，并在正式受理申请后的20个工作日内向非金融机构或支付机构通告认证结果，对合格机构出具认证证书。

　　第十九条检测认证程序、方法不符合国家检测认证相关规定和中国人民银行相关要求，或检测认证结果严重失真的，中国人民银行及其分支机构可以要求重新进行检测或认证，因此而产生的费用由违反规定的检测机构、认证机构承担。

　　第二十条检测机构或认证机构未按照中国人民银行制定的检测认证规范和相关要求进行检测认证活动，或未严格坚持科学、公正的原则进行检测认证工作并造成不良后果的，中国人民银行视其情节轻重给予以下处罚：

　　（三）整改不力的，取消其从事非金融机构支付服务业务系统检测或认证资格，并报国家认证认可监督管理部门备案。