非金融机构支付业务设施技术认证实施规则.doc

文件编码：CFNR-IR-001-2011 非金融机构支付业务设施技术 认证实施规则 XXXX-XX-XX发布 XXXX -XX-XX实施 北京中金国盛认证有限公司 发布 目 录 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证的基本环节 2 5 认证实施 2 5.1 检测 2 5.2 认证申请及受理 3 5.3 文件审查 6 5.4 现场审查 6 5.5 审查结论判定 6 5.6 认证决定 7 5.6.1 认证决定 7 5.6.2 对认证决定的申诉 8 5.7 证后监督 8 5.7.1 证后监督频次和方式 9 5.7.2 证后监督审查的内容 9 5.7.3 证后监督结果评价 10 5.7.4 信息通报制度 10 5.7.5 信息分析 11 5.8 再认证 11 5.9 认证变更 11 6 认证时限 11 7 认证证书 12 7.1 认证证书有效期 12 7.2 认证证书和认证标志的使用 13 7.2.1 认证证书的使用 13 7.2.2 认证标志的使用 13 7.3 认证证书的管理 14 7.3.1 扩大/缩小认证范围 14 7.3.2 暂停认证证书 14 7.3.3 撤销认证证书 15 7.3.4 注销认证证书 16 8 收费 16 1 适用范围 本规则适用于认证机构开展的非金融机构支付业务设施技术认证工作。非金融机构支付业务设施技术认证，是指对申请《支付业务许可证》的非金融机构或《非金融机构支付服务管理办法》所指的支付机构，其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性认证工作。非金融机构支付业务设施技术认证业务包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付、预付卡的发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。 2 认证依据 《非金融机构支付业务设施技术认证规范》 3 认证模式 一级认证模式：检测+文件审查+现场审查（必要时）+ 获证后监督 二级认证模式：检测+文件审查+现场审查+获证后监督 4 认证的基本环节 一级认证基本环节： （1） 检测 （2） 认证申请及受理 （3） 文件审查 （4） 现场审查（必要时） （5） 认证决定 （6） 获证后监督 （7） 再认证 二级认证基本环节： （1） 检测 （2） 认证申请及受理 （3） 文件审查 （4） 现场审查 （5） 认证决定 （6） 获证后监督 （7） 再认证 5 认证实施 5.1 检测 认证机构应与检测机构签署《检测合作协议书》，并向金融标准检测认证体系管理领导小组办公室报备，并将检测机构名单公布在其网站上。从事非金融机构支付服务业务系统检测工作的检测机构，应取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。 认证申请方从认证机构网站(www.icfnr.org)发布的检测机构列表中选择检测机构，并与其签订检测合同。认证申请方不得连续两次将业务系统检测委托给同一家检测机构。 在检测合同签订后5个工作日内检测机构应向认证机构提交检测备案材料。检测备案材料包括但不限于： （1） 检测合同（纸质1份）； （2） 非金融机构支付服务业务系统情况调查表（纸质1份）； （3） 双方签字确认的检测计划（纸质和电子各1份）； 检测工作应符合人民银行公告〔2011〕第14号《非金融机构支付服务业务系统检测认证管理规定》的要求。 检测机构应于检测完成后10个工作日内向认证机构提交检测报告（电子1份）。 5.2 认证申请及受理 认证申请方在收到检测机构出具的检测报告后，应及时将检测报告及相关材料提交认证机构，并申请认证。提交认证的材料参见认证机构网站（www.icfnr.org）的认证申请书要求。初次进行认证申请的认证申请方应提交给认证机构的材料包括但不限于： （1） 认证申请书（纸质和电子各1份） （2） 认证申请方的营业执照、组织机构代码证、资质证书复印件 （3） 系统网络结构拓扑图及生产环境软硬件配置说明（电子1份） （4） 技术及管理文档（电子或纸质1份）：需求说明书、需求分析文档、总体设计方案、工程实施方案、系统运维手册、系统应急手册、运维管理制度、安全管理制度、安全审计报告、用户手册、操作手册、风险评估报告风险评估报告至少包括以下内容：1）非金融机构支付业务风险、系统风险分析（技术和管理方面）；2）风险分类及等级划分；3）采取的控制措施。 （5） 非金融机构支付服务业务系统检测报告及相关材料（纸质1份），检测报告及相关材料包括但不限于以下文件： 1) 检测报告声明 2) 申请检测认证的业务系统与生产系统的一致性声明 3) 系统与检测规范内容对应关系说明 4) 检测总体情况报告 5) 检测问题报告 6) 功能测试报告 7) 风险监控测试报告 8) 性能测试报告 9) 安全性测试报告 10) 文档审核报告 11) 外包测试报告（适用时） 12) 非金融机构支付服务业务系统检测问题确认单（适用时） 13) 非金融机构支付服务业务系统检测整改报告（适用时） （6） 外包管理材料（适用于将系统基础设施运维服务、应用系统运维服务和安全管理服务等外包给第三方机构的认证申请方，提交电子或纸质1份），至少包括以下材料： 1) 外包商的营业执照、组织机构代码证 2) 外包合同 3) 外包安全保密协议 4) 业务外包评估材料 5) 外包商评估材料 6) 外包商资质材料 7) 外包商的监督管理制度 8) 外包服务应急计划 9) 外包服务的控制和监督措施 10) 项目交付材料清单和业务培训证明材料 认证机构在接收到认证申请方的申请材料后，在5个工作日内确定是否受理（因申请材料不齐备而补充材料的时间不计算在内）。 5.3 文件审查 认证机构在正式受理后，应以《非金融机构支付业务设施技术认证规范》为标准，对认证申请范围内的业务设施的技术符合性进行审查，获取认证申请方为申请认证业务所提供的非金融机构支付业务设施技术是否符合认证规范的证据。 5.4 现场审查 认证机构按照《非金融机构支付业务设施技术认证规范》第5章的要求，必要时进行现场审查。现场审查的内容主要包括： （1） 检测中发现的不符合项； （2） 技术要求在认证申请方提供的业务设施中的具体实现； （3） 见证现场服务。 5.5 审查结论判定 审查结论分为同意推荐和不同意推荐两种。 （1） 不同意推荐 1) 若审查过程中发现材料不足，或提供的材料不能充分证明其符合性，则认证机构要求检测机构或认证申请方在5个工作日内提交补充材料。若在超过5个工作日不能提供补充材料或材料不充分，则审查报告审查结果为“不同意推荐”。 2) 若文件审查或现场审查结果证明认证申请方提供的支付业务设施技术不满足其申请的认证业务范围技术要求，则审查结论判定为“不同意推荐”。 （2） 同意推荐 若审查结果证明认证申请方提供的支付业务设施技术满足其申请的认证业务范围技术要求，则审查结论判定为“同意推荐”。 若审查结论为“不同意推荐”，认证机构应对认证申请方提出整改建议，认证申请方可在其技术能力达到相关要求后重新申请认证。若审查结论为“同意推荐”，审查结论提交认证决定组。 5.6 认证决定 认证决定组至少由 2 名以上（含 2 名）认证决定人员组成，并且应确定一位第一认证决定人。 5.6.1 认证决定 认证决定人员依据《非金融机构支付业务设施技术认证规范》、认证程序与认证实施规则的要求及相关标准，结合审查过程中收集的信息，对审查结果进行综合评价，做出"通过认证"或"不通过认证"的决定。必要时，认证机构应对认证申请方满足认证依据的情况进行风险评估，做出是否授予认证资格的决定，并向认证申请方发送认证结果通知。 对于授予认证资格的认证申请方，认证机构应对其颁发认证证书并在相关媒体上予以公告。 对于不授予认证资格的认证申请方，认证机构应向其以书面形式明示不能获得认证资格的原因。 5.6.2 对认证决定的申诉 认证申请方如对认证决定结果有异议，可在收到认证结果通知后 10 个工作日内通过认证机构公布的各种渠道提出申诉，认证机构自收到申诉之日起，应在一个月内进行处理，并将处理结果书面通知认证申请方。 5.7 证后监督 从获证之日起每12 个月为一个监督审查期，进行一次证后监督。每次证后监督由认证机构提前1个月通知获证组织，要求获证组织向认证机构提交认证申请书及相关材料，提交的材料包括但不限于： （1） 本监督审查期间系统变更情况的声明； （2） 本监督审查期间的风险评估报告、安全管理制度、安全审计报告； （3） 系统当前的需求说明书、需求分析文档、网络结构拓扑图及生产环境软硬件配置说明。 5.7.1 证后监督频次和方式 认证机构应根据非金融机构支付业务设施技术的特点以及所承担的认证风险，合理确定证后监督审查的时间间隔和方式。 获证组织正式开办支付业务后，如出现以下情况之一，认证机构可视情况增加证后监督审查的频次： （1） 出现重大安全事故； （2） 业务系统应用架构变更、重要版本变更； （3） 生产中心机房场地迁移； （4） 其他中国人民银行要求的情况。 5.7.2 证后监督审查的内容 证后监督可采用文件审查或现场审查的方式。证后监督审查根据《非金融机构支付业务设施技术认证规范》的要求对以下内容进行审查： （1） 系统风险控制能力及安全管理能力审查； （2） 在本监督审查期间的系统变更情况的审查，必要时可委托检测机构对系统变更内容进行检测； （3） 在本监督审查期间，出现以下变更内容时，应重新对系统进行检测。包括但不限于： a) 出现重大安全事故； b) 业务系统应用架构变更、重要版本变更； c) 生产中心机房场地迁移； d) 其他中国人民银行要求的情况。 5.7.3 证后监督结果评价 对于证后监督审查合格的获证组织，认证机构应做出保持其认证资格的决定；否则，应暂停、撤销其认证资格。 5.7.4 信息通报制度 为确保获证组织的支付业务设施技术标准符合性和安全性，认证机构应要求获证组织建立信息通报制度，及时向认证机构通报以下信息： （1） 出现重大安全事故； （2） 业务系统应用架构变更、重要版本变更； （3） 生产中心机房场地迁移； （4） 客户重大系统投诉； （5） 公司注册名称、注册地址变更； （6） 系统业务范围的变更； （7） 其他重要信息。 5.7.5 信息分析 认证机构应对上述信息进行分析，视情况采取相应措施，包括增加证后监督审查频次、暂停或撤销认证资格等。 5.8 再认证 在认证证书有效期满的前三个月内，获证组织可申请再认证。再认证程序与初次认证程序相同。 5.9 认证变更 获证组织扩大/缩小认证范围、业务系统应用架构变更、重要版本变更、生产中心机房场地迁移时，应向认证机构提出变更申请，并提交相关材料。认证机构策划并实施适宜的审查活动，并按照要求做出认证决定。审查活动可与支付业务设施技术证后监督或再认证同时进行。 如果认证变更只涉及到注册名称、注册地址的变更，获证组织须递交变更申请，经书面审查批准后，认证机构仅对证书更新并收回原证书； 认证要求发生变更时，认证机构应通知相关获证组织，在规定的时间内提交认证申请。 6 认证时限 认证时限是指自认证申请正式受理之日起至颁发认证证书时止所实际发生的工作日，其中包括文件审查、现场审查、认证决定以及证书制作时间，不包括检测时间。 一般在认证申请正式受理后5个工作日内安排文件审查，文件审查时间根据申请认证范围、企业规模、系统复杂程度确定，一般为5个工作日（因申请材料不满足标准要求，补充材料时间不计算在内）。如需进行现场审查，应与认证申请方进行沟通确认，现场审查一般为5个工作日。文件审查或现场审查完成后一般在2个工作日内完成评价报告，以在完成文件审查或现场检查后收到并确认认证申请方递交的不合格纠正措施报告之日起计算评价报告完成时间。认证决定、证书制作时间共计不超过3个工作日。 检测时间一般不超过30个工作日（因检测项不合格，进行整改和复试的时间不计算在内，整改时间一般不超过3 个月）。 7 认证证书 7.1 认证证书有效期 非金融机构支付业务设施技术认证证书有效期为 3 年。 7.2 认证证书和认证标志的使用 7.2.1 认证证书的使用 认证证书是认证机构颁发给认证申请方证明其服务符合认证要求的一种证明文件。 认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料中或广告宣传等商业活动，但不得利用认证证书和相关文字、符号，误导公众认为认证证书覆盖范围外的业务系统获得认证，宣传认证结果时不应损害认证机构的声誉。 认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证组织应妥善保管好证书，以免丢失、损坏。如发生证书丢失、损坏的，获证组织可申请补发。 获证组织应建立认证证书、审核报告使用和管理制度，对认证证书的使用情况如实记录存档。 7.2.2 认证标志的使用 获证组织若以某种方式使用认证标志时，应事先向认证机构提出书面申请，由认证机构书面授权获证组织以指定的方式使用指定的认证标志。 认证标志只能由获证组织在获准认证范围内使用，不得以任何方式转让、转送、出售、借用、冒用。 认证标志在使用时，应与获证组织单位名称和系统名称放在一起。 在使用标志图案时，应根据认证机构提供的图样按比例放大或缩小。 7.3 认证证书的管理 7.3.1 扩大/缩小认证范围 获证组织需要扩大/缩小认证范围时，应向认证机构提交认证变更申请，同时提交扩大/缩小范围的理由、事实的说明，对扩大/缩小认证范围对其他已获证的认证范围影响的说明，以及扩大的系统服务与已获证系统服务之间的差异性说明。 认证机构应按照核查扩大/缩小认证范围与原认证范围的一致性和差异，确认原认证结果对扩展服务的有效性，需要时应针对扩大/缩小认证范围和其对原认证范围的影响做检测和审查，并根据获证组织的要求单独颁发认证证书或换发认证证书。审查活动可与支付业务设施技术证后监督或再认证同时进行。 7.3.2 暂停认证证书 获证组织有下列情形之一的，认证机构应当暂停认证证书。 （1） 未按照规定及时接受证后监督审查或申请再认证； （2） 获证组织未按规定使用认证证书和认证标志； （3） 监督结果证明获证组织的支付业务设施技术不符合认证要求，但不需要立即撤销认证证书； （4） 获证组织未履行与认证机构签署的认证合同中规定的责任和义务，如未按时支付认证费用等； （5） 获证组织主动请求暂停； （6） 在特定时期国家或行业管理部门有要求予以暂停的。 暂停期限一般为三个月。在三个月内，获证组织可提出恢复证书的申请，认证机构经审查、批准后，方可使用该证书。在认证证书暂停期间，获证组织不得继续使用证书。 7.3.3 撤销认证证书 获证组织有下列情形之一，认证机构应当撤销其认证证书。 （1） 获证组织出现严重问题，在短期内无法恢复符合性的或获证组织在认证范围内无法满足适用的最新法律法规、认证标准规范的要求，并在短期内无法采取措施或采取措施无效的； （2） 获证组织不接受认证机构对其实施的证后监督审查或未申请再认证的； （3） 认证证书暂停使用期间，获证组织未采取有效纠正措施； （4） 认证证书暂停使用期满，获证组织未申请恢复证书。 7.3.4 注销认证证书 获证组织因为自身原因申请注销认证证书，认证机构应当给予注销。 认证证书注销和撤销后，认证机构应收回认证证书，并在相关媒体上予以公告。 8 收费 收费由认证机构、检测机构按国家有关规定统一收取。