收藏
下载资源 加入VIP免费专享

非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc

上传人:本田雅阁 文档编号:2538783 上传时间:2019-04-05 格式:DOC 页数:25 大小:414.52KB
返回 下载 相关 举报
非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc_第1页
第1页 / 共25页
非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc_第2页
第2页 / 共25页
非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc_第3页
第3页 / 共25页
非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc_第4页
第4页 / 共25页
非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc》由会员分享,可在线阅读,更多相关《非金融机构支付服务业务系统技术标准符合性和安全都性检测规范.doc(25页珍藏版)》请在三一文库上搜索。

1、非金融机构支付服务业务系统技术标准符合性和安全性检测规范(预付卡部分)中国人民银行科技司2010年12月11日 目 录第一部分 总则 3一、 检测依据 3二、 检测目标 3三、 启动准则 4四、 术语定义 4五、 适用范围 5第二部分 检测内容 5一、 功能测试 5二、 风险监控测试 7三、 性能测试 8四、 安全性测试 8五、 文档测试 15第三部分 外包附加测试 16附录一 测试过程风险分析18附录二 检测评判准则19一、 问题等级分类 19二、 检测结果判定 20第一部分 总 则一、 检测依据1 ISO 9564 银行业务 个人识别码的管理和安全2 GB/T 17544-1998 信息技

2、术 软件包 质量要求和测试3 GB/T 16260-2006 软件工程 产品质量4 GB/T 18905-2002 软件工程 产品评价5 GB/T 8567-2006 计算机软件文档编制规范6 GB/T 9385-2008 计算机软件需求规格说明规范7 GB/T 9386-2008 计算机软件测试文档编制规范8 GB/T 14394-2008 计算机软件可靠性和可维护性管理9 GB/T 15481-2000 检测和校准实验室能力的通用要求10 GB/T 19584-2004 银行卡磁条信息格式和使用规范11 GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则12 GB

3、17859-1999 计算机信息系统安全保护等级划分准则13 JR/T 0052-2009 银行卡卡片规范14 JR/T 0001-2009 银行卡销售点(POS)终端规范15 JR/T 0025-2010 中国金融集成电路(IC)卡规范16 非金融机构支付服务管理办法(中国人民银行令2010第2号)二、 检测目标检测目标是在系统版本确定的基础上,对非金融机构支付服务(预付卡)系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试,客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求,保障我国支付业务设施的安全稳定运作。 三、 启动准则1 非金融机构提交

4、的支付服务业务系统被测版本与生产版本一致;2 非金融机构支付服务业务系统内部测试进行完毕;3 非金融机构已将与检测机构共同制定的经双方签字的检测计划报中国人民银行备案;4 系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕;5 测试环境准备完毕,具体包括:(1) 测试环境与生产环境一致或者基本一致,其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行;(2) 支付服务业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确;(3) 用于功能和性能测试的基础数据准备完毕;(4) 测试用机到位,系统及软件安装完毕;(5) 测试环境网络配置正确,连接通畅,

5、可以满足测试需求。四、 术语定义1 非金融机构支付服务:是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务。(1) 网络支付;(2) 预付卡的发行与受理;(3) 银行卡收单;(4) 中国人民银行确定的其他支付服务。2预付卡:是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。五、适用范围第三方检测机构按照本规范制定非金融机构支付服务业务系统技术标准符合性和安全性检测方案。非金融机构若将支付服务业务系统外包给第三方服务机构,则还应按照本规范要求进行附加测试。第二部分 检测内容一、 功能测试验证支付服务业务

6、系统的业务功能是否正确实现,测试系统业务处理的准确性,测试内容如下:编号检测项检测说明1账户管理客户账户管理(客户可以自行修改密码/个性化登记资料)联机交易类必测项 2卡片管理(功能实现、流程及管理制度、落实程度)已实现功能建议全部提交测试、未实现功能不做强制测试,部队测试结果造成影响制卡(功能实现、流程及管理制度)必测项卡片发行必测项卡片激活必测项充值卡片有效期延长换卡必测项补卡密码修改/密码重置卡片冻结/解冻卡片挂失/解挂锁卡/解锁退卡销卡3密钥和证书管理建议不申报认证中心公钥管理发卡机构密钥管理IC卡密钥管理脱机交易类必测项发卡机构证书管理IC卡证书管理 密码卡:以密码形式发行的预付卡。

7、4交易处理(功能实现、流程及管理制度、落实程度) 已实现功能建议全部提交测试、未实现功能不做强制测试,部队测试结果造成影响业务完整性和用户操作过程是测试重点联机消费联机交易类必测项联机消费撤销必测项(密码卡1不适用)联机余额查询必测项(密码卡不适用)退货必测项(密码卡不适用)冲正交易必测项(密码卡不适用)异常卡交易必测项现金圈存/圈提指定账户圈存指定账户圈存撤销非指定账户圈存非指定账户圈存撤销IC卡脚本通知圈提脱机消费脱机交易类必测项脱机消费文件处理脱机交易类必测项脱机余额查询脱机交易类必测项交易查询必测项5资金结算(功能实现、流程及管理制度、落实程度)工作流程设计、管理制度、落实程度是测试重

8、点客户结算6对账处理(功能实现、流程及管理制度、落实程度)功能实现是测试重点发送对账请求生成对账文件7差错处理(功能实现、流程及管理制度、落实程度)工作流程设计、管理制度、落实程度是测试重点长款/短款处理必测项8统计报表(功能实现、流程及管理制度、落实程度)用户分级、报表对管理需求的满足程度是测试重点业务类报表必测项运行管理类报表必测项二、风险监控测试 验证支付服务业务系统的账户及交易风险,测试内容如下:编号检测项检测说明1联机交易风险管理(功能实现、流程及管理制度、落实程度) 已实现功能建议全部提交测试、未实现功能不做强制测试,部队测试结果造成影响业务完整性和用户操作过程是测试重点圈存交易A

9、RQC/ARPC验证联机报文MAC验证卡片状态控制单笔消费限额当日累计消费限额当日累计消费次数限制单笔充值金额最大值账户余额限额必测项大额消费商户交易监控密码错误情况下的交易请求非法卡号交易必测项卡片有效期检查无磁无密交易2脱机交易风险管理TAC验证脱机交易类必测项MAC验证脱机交易类必测项3终端风险管理(功能实现、流程及管理制度、落实程度) 工作流程设计、管理制度、落实程度是测试重点POS机申请、参数设置、程序灌装、使用、更换、维护、撤消的管理POS机密钥和参数的安全管理控制移动POS机的安装终端安全检测报告密码键盘安全检测报告终端监控三、性能测试对支付服务业务系统性能测试的主要目的是验证系

10、统是否满足未来两年业务运行的性能需求。测试内容包括以下三个方面:一是验证系统是否支持业务的多用户并发操作;二是验证在规定的硬件环境条件和给定的业务压力下,考核系统是否满足性能需求和压力解除后系统自恢复能力;三是测试系统性能极限。根据以上性能测试内容,并结合典型交易、复杂业务流程、频繁的用户操作、大数据量处理等原则,选取以下测试业务点:编号检测项检测说明1联机消费联机交易类必测项2联机余额查询必测项(密码卡不适用)3联机交易明细查询4批量发行5批量充值6批量作废7脱机消费文件处理脱机交易类必测项8日终批处理1-3项是测试重点四、安全性测试1网络安全性测试对支付服务业务系统网络环境进行检测,考察经

11、网络系统传输的数1据安全性以及网络系统所连接的设备安全性,评估系统网络环境是否能够防止信息资产的损坏、丢失,敏感信息的泄漏以及业务中断,是否能够保障业务的持续运营和保护信息资产的安全。检测内容如下:编号检测项检测说明1结构安全核心网络设备、认证设备、可能影响业务的安全设备必须满足冗余部署要求;不同安全等级要求的服务器域必须按照不同子网划分,主要数据通道具备QOS保障(1)网络冗余和备份(2)网络安全路由器(3)网络安全防火墙(4)网络拓扑结构(5)IP子网划分(6)QoS保证必测项2网络访问控制任何服务器不得直接暴露给远程客户,网络和系统边界具备相应的安全控制设备和机制,确保访问来源合法(1)

12、网络域安全隔离和限制 (2)地址转换和绑定(3)内容过滤(4)访问控制(5)流量控制(6)会话控制(7)远程拨号访问控制和记录必测项3网络安全审计对主要网络、安全控制设备的管理用户实时分级,并至少进行系统级操作审计;具备独立的设备及工具对网络进行故障分析、预警(1) 日志信息(2) 网络系统故障分析(3) 网络对象操作审计(4) 日志权限和保护(5) 审计工具必测项4边界完整性检查完整的网络边界、无计划外的本地终端或主机;远程的终端或主机必须通过网络边界的隔离安全设备控制渠道访问。(1)内外网非法连接阻断和定位必测项5网络入侵防范独立的网络入侵防范措施;日常工作流程及落实程度(1) 网络ARP

13、欺骗攻击(2) 信息窃取(3) DOS/DDOS攻击(4) 网络入侵防范机制必测项6恶意代码防范同上(1) 恶意代码防范措施(2) 定时更新必测项7网络设备防护网络设备管理帐户分级;登录审计;管理操作来源限制;安全隐患服务端口关闭;管理措施及落实程度(1) 设备登录设置(2) 设备登录口令安全性(3) 登录地址限制(4) 远程管理安全(5) 设备用户设置策略(6) 权限分离(7) 最小化服务必测项8网络安全管理管理措施及落实程度(1) 网络设备运维手册(2) 定期补丁安装(3) 漏洞扫描(4) 网络数据传输加密必测项9网络相关人员安全管理管理措施及落实程度(1) 网络安全管理人员配备(2) 网

14、络安全管理人员责任划分规则(3) 网络安全关键岗位人员管理必测项2 主机安全性测试对支付服务业务系统主机安全防护进行检测,考察主机的安全控制能力。检测内容如下:编号检测项必测项1身份鉴别服务器管理帐户分级;管理操作来源限制及认证(1) 系统与应用管理员用户设置(2) 系统与应用管理员口令安全性(3) 登录策略必测项2访问控制对非本安全域(同一功能子系统)之间的主机访问来源限制及认证(1) 访问控制范围(2) 主机信任关系(3) 默认过期用户必测项3安全审计统一、完整的日志管理;管理用户系统级操作审计(1) 日志信息(2) 日志权限和保护(3) 系统信息分析(4) 用户操作审计必测项4系统保护定

15、期的系统配置、日志备份管理及落实程度;系统基本资源监控及预警;主机系统配置定制标准及其优化落实(1) 系统备份(2) 故障恢复策略(3) 磁盘空间安全(4) 主机安全加固必测项5剩余信息保护日志备份管理及删除机制(1)过期信息、文档处理必测项6入侵防范系统优化(1) 入侵防范记录(2) 关闭服务和端口(3) 最小安装原则必测项7恶意代码防范反病毒软件部署(1) 防范软件安装部署(2) 病毒库定时更新(3) 防范软件统一管理必测项8资源控制不重点考评(1) 连接控制(2) 资源监控和预警必测项9主机安全管理管理制度及落实程度(1) 主机运维手册(2) 漏洞扫描(3) 系统补丁(4) 操作日志管理

16、必测项10主机相关人员安全管理管理制度及落实程度(1) 主机安全管理人员配备(2) 主机安全管理人员责任划分规则(3) 主机安全关键岗位人员管理必测项3. 应用安全性测试对支付服务业务系统应用安全性检测,主要检测应用系统对非法访问及操作的控制能力。检测内容如下:编号检测项检测说明1身份鉴别管理帐户分级;访问来源控制;强用户认证机制(1) 系统与普通用户设置(2) 系统与普通用户口令安全性(3) 登录访问安全策略(4) 非法访问警示和记录(5) 客户端鉴别信息安全(6) 口令有效期限制(7) 限制认证会话时间(8) 身份标识唯一性(9) 及时清除鉴别信息必测项2WEB页面安全仅限于用户查询及信息

17、维护;不得加入支付业务功能。强制使用1、2、3、4项安全机制;如果放弃网上客户信息服务可不测试本部分。(1) 图片验证码(2) 安全控件(3) 使用数字证书(4) 独立的支付密码(5) 网站页面SQL注入防范(6) 网站页面跨站脚本攻击防范(7) 网站页面源代码暴露防范(8) 网站页面黑客挂马防范(9) 网站页面防篡改措施(10) 网站页面防钓鱼(11) 工商局ICP备案必测项3访问控制非本安全域内的访问必须通过相应的安全控制设备进行管理;完备的系统及日志记录;关键数据必须有足够的保护机制(1) 访问权限设置(2) 自主访问控制范围(3) 业务操作日志(4) 关键数据存放(5) 异常中断防护(

18、6) 数据库安全配置必测项4安全审计至少管理帐户的登入登出需要进行统一的日志记录和分级权限审计(1) 日志信息(2) 日志权限和保护(3) 系统信息查询与分析 (4) 对象操作审计(5) 审计工具(6) 事件报警必测项5剩余信息保护日志备份及删除机制(1)过期信息、文档处理必测项6资源控制不重点考评(1) 连接控制(2) 会话控制(3) 进程资源分配(4) 资源检测预警必测项7应用容错正确的错误信息提示及流程(1) 数据有效性校验(2) 容错机制(3) 故障机制(4) 回退机制必测项8报文完整性是否有相应的措施并落实(1)通信报文有效性必测项9报文保密性是否有相应的措施并落实(1)报文或会话加

19、密必测项10抗抵赖交易来源强认证;交易过程日志完备(1)原发和接收证据必测项11编码安全源代码管理机制及其落实程度(1) 源代码审查(2) 插件安全性审查(3) 编码规范约束(4) 源代码管理(5) 版本管理必测项12电子认证应用 系统与用户端的交易数据传输必须具备专门的认证手段(PSAM卡物理认证、第三方证书、密码机、动态口令卡等)(1) 第三方电子认证机构(2) 关键业务电子认证技术应用(3) 电子签名有效性(4) 服务器证书私钥保护必测项13脱机数据认证(1) 密钥和证书(2) 静态数据认证(3) 动态数据认证脱机交易类必测项14应用密文和发卡机构认证管理手段及落实程度(1) 应用密文产

20、生(2) 发卡机构认证(3) 密钥管理脱机交易类必测项15安全报文管理手段及落实程度(1) 报文格式(2) 报文完整性验证(3) 报文私密性(4) 密钥管理脱机交易类必测项16卡片安全管理手段及落实程度(1) 共存应用(2) 密钥的独立性(3) 卡片内部安全体系(4) 卡片中密钥的种类 脱机交易类必测项17终端安全管理手段及落实程度(1) 终端数据安全性要求(2) 终端设备安全性要求(3) 终端密钥管理要求脱机交易类必测项18密钥管理体系管理手段及落实程度(1) 认证中心公钥管理(2) 发卡机构公钥管理(3) 发卡机构对称密钥管理脱机交易类必测项19安全机制(1) 对称加密机制(2) 非对称加

21、密机制脱机交易类必测项20认可的算法(1) 对称加密算法(2) 非对称加密算法(3) 哈希算法脱机交易类必测项4.数据安全性测试对支付服务业务系统数据安全防护进行检测,主要考察数据的传输、存储、备份与恢复安全性。检测内容如下:编号检测项检测项目1数据保护客户个性化信息加密传输存储;业务数据、会计数据备份、保管机制及落实程度(1) 客户身份信息保护(2) 支付业务信息保护 (3)会计档案信息保护必测项2数据完整性数据库管理安全保障机制及其落实;数据备份、(1) 重要数据更改机制(2) 数据备份记录(3) 保障传输过程中的数据完整性(4) 备份数据定期恢复必测项3交易数据以及客户数据的安全性(1)

22、 数据物理存储安全(2) 客户身份认证信息存储安全(3) 终端信息采集设备硬加密措施或其它防伪手段(4) 同一安全级别和可信赖的系统之间信息传输(5) 加密传输(6) 加密存储(7) 数据访问控制(8) 在线的存储备份(9) 数据备份机制(10) 本地备份(11) 异地备份(12) 备份数据的恢复(13) 数据销毁制度和记录(14) 关键链路冗余设计必测项5.运维安全性测试对支付服务业务系统运维安全进行检测,主要考察运维安全管理制度及运维安全执行情况。检测内容如下:编号检测项检测项目1环境管理(1) 机房基础设施定期维护(2) 机房的出入管理制度化和文档化(3) 办公环境的保密性措施(4) 机

23、房安全管理制度(5) 机房进出登记表必测项2介质管理(1) 介质的存放环境保护措施(2) 介质的使用管理文档化(3) 维修或销毁介质之前清除敏感数据(4) 介质管理记录(5) 介质的分类与标识必测项3设备管理(1) 设备管理的责任人员或部门(2) 设施、设备定期维护(3) 设备选型、采购、发放等的审批控制(4) 设备配置标准化(5) 设备的操作规程(6) 设备的操作日志(7) 设备使用管理文档(8) 设备标识必测项4人员管理(1) 人员录用(2) 人员转岗、离岗(3) 人员考核(4) 安全意识教育和培训(5) 外部人员访问管理(6) 职责分离必测项5监控管理(1) 主要网络设备的各项指标监控情

24、况(2) 主要服务器的各项指标监控情况(3) 应用运行各项指标监控情况(4) 异常处理机制必测项6变更管理(1) 变更方案(2) 变更制度化管理(3) 重要系统变更的批准(4) 重要系统变更的通知必测项7安全事件处置(1) 安全事件报告和处置(2) 安全事件的分类和分级(3) 安全事件记录和采取的措施必测项8应急预案管理(1) 制定不同事件的应急预案(2) 相关人员应急预案培训(3) 定期演练必测项6.业务连续性测试对支付服务业务系统业务连续性进行检测,主要考察系统是否具备业务连续性管理并达到设计目标。检测内容如下:编号检测项检测说明1业务连续性需求分析(1) 业务中断影响分析(2) 灾难恢复

25、时间目标和恢复点目标必测项2业务连续性技术环境(1) 备份机房(2) 网络双链路(3) 网络设备和服务器备份(4) 高可靠的磁盘阵列(5) 远程数据库备份必测项3业务连续性管理(1) 业务连续性管理制度(2) 应急响应流程(3) 恢复预案(4) 数据备份和恢复制度必测项4备份与恢复管理(1) 备份数据范围和备份频率(2) 数据备份和恢复手册(3) 备份记录和定期恢复测试记录(4) 定期数据备份恢复性测试必测项5日常维护(1) 每年业务连续性演练(2) 定期业务连续性培训必测项五、文档测试对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性,以及是否符合行业标准,是否

26、遵从更新控制和配置管理的要求等方面进行检测。检测内容如下:编号检测项检测说明用户文档1用户手册(1) 文档密级管理(2) 文档登记和保管(3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项2操作手册(1) 文档密级管理(2) 文档登记和保管(3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项开发文档3需求说明书(1) 文档密级管理(2) 文档登记和保管(3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项4需求分析文档(1) 文档密级管理(2)文档登记和保管 (3)文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项5总体设计方案(

27、1) 文档密级管理(2) 文档登记和保管(3)文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项6数据库设计文档(1) 文档密级管理(2) 文档登记和保管(3)文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项7概要设计文档(1) 文档密级管理(2) 文档登记和保管(3)文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项8详细设计文档(1) 文档密级管理(2) 文档登记和保管(3)文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项9工程实施方案文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项管理文档10测试

28、报告文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项11系统运维手册文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项12系统应急手册文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项13运维管理制度文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项14安全管理制度文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、一致性必测项15安全审计报告文档密级管理文档登记和保管文档内容:文档完整性、可操作性、文字描述的准确性、

29、一致性必测项第三部分 外包附加测试对于非金融机构将支付服务业务系统相关开发、集成、运维等外包给第三方服务机构的情况,还应进行外包附加测试,主要测试以下几个方面:编号检测项检测说明1外包服务的外包内容外包程度及具体内容必测项2安全保密协议签署外包安全保密协议必测项保障托管数据的安全、可靠必测项明确双方责任必测项3风险评估评估业务外包相关风险必测项外包商的合同义务和要求必测项控制和报告程序必测项外包协议的持续评估必测项符合监管要求和准则必测项外包服务应急计划必测项4外包商资质外包商提供支付服务的经验和能力评估必测项外包商硬件资源评估必测项外包商的财务状况评估必测项外包商的资金构成、人员构成以及主管

30、部门的审批必测项外包商的运维管理制度评估必测项外包模式调查及风险评估必测项5外包合同明确规定有关各方的权利和义务必测项明确外包商最低的服务水平必测项规定保守信息资源机密必测项规定争议解决办法必测项6控制和监督对外包业务的管理和监督必测项定期评估外包商的财务状况必测项定期审查合同条款的履行必测项7外包交付制定详细的系统交付清单必测项技术人员的业务培训必测项附录一 测试过程风险分析为保证检测实施的顺利进行,必须在检测方案中分析非金融机构支付服务行业系统在检测过程中出现的风险,并提出相应的应对措施:风险编号风险描述风险发生可能性风险对测试或项目的影响责任人规避方法1应用服务器或数据库服务器在测试中出

31、现无法预料的未知错误,导致测试失败高高被检测方对应用服务器、数据库服务器进行性能的预先评估,调整测试计划,预留调优时间直至延长测试时间。2被检测方技术支持人员不到位。中高被检测方充分的沟通与协调人力资源,保证检测活动的顺利进行。3测试环境受到干扰,比如数据库服务器或应用服务器被临时征用,不能专职为本测试服务低高被检测方暂停测试,等待测试环境恢复正常,推迟测试计划。4测试数据准备不成功低高被检测方由支付服务业务系统开发人员帮助解决。5性能测试方面的疲劳度不足,长时间运行情况不确定中中检测方保证测试进程的顺利进行,适当时候能延长测试周期。6在对服务器加压方面有欠缺低中检测方加深对系统的了解,尽量全

32、面地覆盖系统业务功能点。7工具缺陷,测试工具和监控工具无法全部支持的所有IT系统的测试和监控中高检测方尽量在测试前能够准备充分,能提高使用系统以便对测试工具调试8测试环境及条件制约,环境复杂多变,造成真正的测试加压时间缩短中中被检测方保证测试环境的正常稳定运行9评审系统与投产系统的不一致性,测试环境和生产环境的系统配置差别较大高高被检测方尽量能够采用和生产环境配置性能相近的设备附录二 检测评判准则一、问题等级分类问题等级分为严重性问题、一般性问题和建议性问题。问题等级的分类标准如下:1、严重性问题与相关法律法规、标准规范有明显冲突;系统不满足业务需求;主要业务流程不正确;存在安全风险,会对客户

33、利益造成严重的损害。2、一般性问题局部功能无法正常使用,但不影响系统整体流程的实现;存在安全风险,会对客人利益造成直接或潜在的损害。3、建议性问题 功能能够正常使用,但系统易用性差;存在安全风险,但不会对客户利益造成直接或潜在的损害。序号等级检测类问题严重程度划分标准1严重性问题功能测试系统崩溃、死机、异常退出功能模块失效数据发生不可挽救的丢失或损坏数据处理错误主要业务流程出现断点未提供必备的功能,或者必备的功能未正确实现风险监控测试未提供必备的风险监控措施 必备的风险监控措施未正确实现性能测试性能未满足业务需求 系统出现异常,且无法自动恢复序号等级检测类问题严重程度划分标准安全性测试敏感数据

34、泄漏、丢失或者篡改。敏感数据部包括但不限定于: 密钥、密码、身份信息、账户信息、银行卡信息、交易信息等统核心配置文件、源代码泄漏、丢失或者篡改影响交易数据完整性导致越权访问影响支付业务连续性、导致系统无法恢复2一般性问题外包测试未与第三方服务机构签订支付服务业务系统外包合同和安全保密协议未对外包服务建立风险评估制度未对外包商资质建立认定制度未对外包业务建立控制和监督制度功能测试必备功能实现不完善,但不影响业务功能使用,或者有替代方法可选功能未正确实现必填项数据未进行校验,或者校验不严格提示信息错误用户界面错误风险监控测试风险监控功能不完善安全性测试非敏感数据泄漏、丢失或者篡改系统一般的配置文件

35、泄漏、丢失或者篡改影响支付业务连续性,导致系统无法及时恢复文档测试文档缺失文档自身、文档之间或者文档与实际情况不一致文档内容不完整外包测试外包合同内容不完善未对外包业务进行持续、有效的控制和监督3建议性问题功能测试系统出现偶发性错误,但不影响正常业务使用系统操作不方便人机交互界面不友好安全性测试影响支付业务连续性,但系统能够及时恢复文档测试文档格式不统一,不易于浏览,文档内容不容易理解文档管理不规范二、检测结果判定检测报告结果分为“符合”和“不符合”。检测结果判定原则如下:1、检测项结果判定原则 不符合在检测过程中,发现严重性问题,该检测项的检测结果判定为“不符合”。 基本符合在检测过程中,发

36、现一般性问题,该检测项的检测结果判定为“基本符合”。 符合在检测过程中,未发现问题或仅发现建议性问题,该检测项的检测结果判为“符合”。2、检测类结果判定原则 不符合检测项的检测结果存在“不符合”,该检测类的检测结果判定为“不符合”。检测项的检测结果“基本符合”率为以下情况的,该检测类的检测结果判定为“不符合”: 属于功能类的检测项,其检测结果为“基本符合”率大于15%。 属于风险监控类的检测项,其检测结果中“基本符合”率大于15%。 属于性能类的检测项,其检测结果中“基本符合”率大于15%。 属于安全类的检测项,其检测结果中“基本符合”率大于15%。 属于文档类的检测项,其检测结果中“基本符合

37、”率大于15%。 属于外包类的检测项,其检测结果中“基本符合”率大于15%。 基本符合 检测项的检测结果“基本符合”率为以下情况的,该检测类的检测结果判定为“基本符合”: 属于功能类的检测项,其检测结果中“基本符合”率小于等于15%。 属于风险监控类的检测项,其检测结果中“基本符合”率小于等于15%。 属于性能类的检测项,其检测结果中“基本符合”率小于等于15%。 属于安全类的检测项,其检测结果中“基本符合”率小于等于15%。 属于文档类的检测项,其检测结果中“基本符合”率小于等于15%。 属于外包类的检测项,其检测结果中“基本符合”率小于等于15%。 符合 检测项的检测结果全部为“符合”,该检测类的检测结果判定为“符合”。3、检测报告结果判定原则不符合检测类的检测结果存在“不符合”,检测报告结果判定为“不符合”。 符合其他情况检测报告结果判定为“符合”。25

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1