设为首页 | 加入收藏
信息安全产品认证 当前您的位置:软件信息产品认证>>信息安全产品认证
非银行类支付机构支付规则

 

 

非银行支付机构支付业务设施技术认证实施规则

 

 

 

 

2019 年 4 月 15日发布 2019 年 4 月 22 日实施


中国网络安全审查技术与认证中心
 
目 录
 
1 适用范围 4
2 认证依据 4
3 认证等级划分 5
4 认证模式 5
5 认证的基本环节 5
6 认证实施 6
6.1 认证基本程序 6
6.2 认证申请及受理 7
6.3 检测 7
6.4 文件审查 8
6.5 现场审查 8
6.6 认证结果评价与判定 9
6.6.1 审查结论判定 9
6.6.2 认证决定 10
6.7 证后监督 10
6.7.1 证后监督频次和方式 10
6.7.2 证后监督审查的内容 12
6.7.3 证后监督结果评价与判定 12
6.8 再认证 13
7 认证变更 13
8 认证时限 14
9 认证证书 15
9.1 认证证书有效期 15
9.2 认证证书和认证标志的使用 15
9.2.1 认证证书的使用 15
9.2.2 认证标志的使用 16
9.3 认证证书的管理 16
9.3.1 暂停认证证书 16
9.3.2 撤销认证证书 17
9.3.3 注销认证证书 18
10 信息沟通机制 19
11 申诉、投诉 19
11.1 申诉 19
11.2 投诉 20
12 收费 20
13 认证责任 20
 
1 适用范围

本规则适用于认证机构开展的非银行支付机构支付业务设施技术认证工作。非银行支付机构支付业务设施技术认证,是指对申请《支付业务许可证》的非银行支付机构或《非金融机
构支付服务管理办法》所指的支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性认证工作。
非银行支付机构支付业务设施技术认证业务包括互联网支付、移动电话支付(远程支付)、移动电话支付(近场支付)、固定电话支付、数字电视支付、预付卡发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。

2 认证依据

(1) JR/T 0122-2018《非银行支付机构支付业务设施技术要求》
(2) JR/T 0123.1-2018《非银行支付机构支付业务设施检测规范 第 1 部分:互联网支付》
(3) JR/T 0123.2-2018《非银行支付机构支付业务设施检测规范 第 2 部分:预付卡发行与受理》
(4) JR/T 0123.3-2018《非银行支付机构支付业务设施
 
检测规范 第 3 部分:银行卡收单》
(5) JR/T 0123.4-2018《非银行支付机构支付业务设施检测规范 第 4 部分:固定电话支付》
(6) JR/T 0123.5-2018《非银行支付机构支付业务设施检测规范 第 5 部分:数字电视支付》
(7) JR/T 0123.6-2018《非银行支付机构支付业务设施检测规范 第 6 部分:条码支付》
(8)适用的法律法规及其他要求


3 认证等级划分

非银行支付机构支付业务设施技术认证分为两级:一级和二级。
一级认证:第 2 章所列标准或认证规范的基本要求。
二级认证:第 2 章所列标准或认证规范的基本要求和增强要求。

4 认证模式

检测+文件审查+现场审查+获证后监督(现场审查、远程审查)


5 认证的基本环节
 


认证基本环节:
(1)认证申请及受理
(2)检测
(3)文件审查
(4)现场审查
(5)认证结果评价与决定
(6)获证后监督
(7)再认证


6 认证实施

6.1 认证基本程序

认证委托人向认证机构申请认证,认证机构审查申请材料,并对申请业务的检测认证范围进行识别和判定,确认合格后向认证委托人发放《受理通知书》。认证委托人获得《受理通知书》后从认证机构公布的检测机构名录中自主选择检测机构实施检测。检测机构依据第 2 章所列标准和规范的要求进行检测。检测完成后,认证委托人向认证机构提交检测报告。认证机构依据第 2 章所列标准和规范的要求,进行文件审查和现场审查。认证机构对检测结果、文件审查和现场审查结果进行综合评价,向认证决定为“通过认证”的认证委托人颁发证书。在证书有
 
效期内,认证机构对获证机构进行证后监督。

6.2 认证申请及受理

认证委托人向认证机构申请认证,提交认证的材料参见认证机构网站公示的认证申请要求。初次进行认证申请的认证委托人应提交给认证机构的材料包括但不限于:
(1)认证申请书。
(2)认证委托人的营业执照、组织机构代码证、资质证书的复印件,组织架构图。
(3)申请业务类型的业务模式说明。
认证机构在接收到认证委托人的申请材料后,在 5 个工作日内确定是否受理(因申请材料不齐备而补充材料的时间不计算在内)。
适用本规则 9.3.2 的认证申请,认证机构不予受理。


6.3 检测

认证委托人在获得《受理通知书》后从认证机构公布的检测机构名录中自主选择检测机构实施检测。认证委托人不得连续两次将业务系统检测委托给同一家检测机构。
检测机构应于检测完成后 10 个工作日向认证委托人提交正式的检测报告及相关材料(一式五份)。
认证委托人须在获得检测报告后 6 个月内将其中一份递交
 
认证机构。
在认证周期内,当发生如下场景时认证委托人须及时向认证机构申请重新检测:
(1)出现重大安全事故。
(2)业务系统应用架构或者支撑环境变更(包括:系统架构变更如 B/S  架构变为 C/S  架构,操作系统变更,数据库产品变更,中间件产品变更,开发语言变更等)、重要版本变更。
(3)生产中心机房(主机房)场地迁移。
(4)相关主管部门或者采信方要求。


6.4 文件审查

认证机构在收到检测机构出具的检测报告及相关材料后,安排审查员进行文件审查。文件审查的范围包括所有申请材料及检测报告。
文件审查应以第 2 章所列标准或认证规范为依据,对认证申请范围内的业务设施的技术符合性进行审查。认证委托人如有与申请认证业务范围相关的投诉记录,应分析对认证要求符合性的影响。

6.5 现场审查

认证机构按照第 2 章所列标准或认证规范的要求,对申请认证的认证委托人进行现场审查。现场审查的内容主要包括但
 
不限于:
(1)文件审查或检测中发现的问题。
(2)认证依据所要求相关管理制度的执行情况。
(3)系统一致性检查。
(4)系统运行场所。


6.6 认证结果评价与判定

6.6.1 审查结论判定
审查结论分为推荐通过和推荐不通过两种。
(1)推荐通过若审查结果证明认证委托人提供的支付业务设施技术满足其申请的认证业务范围技术要求,且认证委托人未被列入全国法院失信被执行人名单,则审查结论判定为
“推荐通过”。
(2)推荐不通过推荐不通过的判定依据包括程序上的不通过和评估准则的不通过。
1) 若审查过程中发现认证委托人提供材料虚假或者证据不足以及提供的材料不能充分证明其符合性,认证委托人在双方约定时间内不能提供补充材料或材料不充分,则审查报告审查结果为“推荐不通过”。
2) 若文件审查或现场审查结果证明认证委托人提供的支付业务设施技术不满足其申请的认证业务范围技术要求,或发现认证委托人被列入全国法院失信被执行人名单,则审查结论
 
判定为“推荐不通过”。
若审查结论为“推荐不通过”,认证机构应对认证委托人提出整改要求,认证委托人可在其技术能力达到相关要求后申请整改验证审查。

6.6.2 认证决定

认证决定组由 1 名认证决定人员担任。认证决定人员依据
第 2  章所列标准或认证规范、认证程序与认证实施规则等要求,结合审查过程中收集的信息,对审查结果进行综合评价,做出
"通过认证"或"不通过认证"的决定。必要时,认证机构应对认证委托人满足认证依据的情况进行风险评估,做出是否授予认证资格的决定,并向认证委托人发送认证结果通知。
对于授予认证资格的认证委托人,认证机构应对其颁发认证证书并在相关媒体上予以公告。
对于不授予认证资格的认证委托人,认证机构应向其以书面形式明示不能获得认证资格的原因。

6.7 证后监督

6.7.1 证后监督频次和方式

为确保获证机构对支付业务设施技术标准持续符合性,认
 
证机构应对获证机构开展定期和不定期的证后监督,并综合评估获证机构的技术风险,依据评估结果采用不同的证后监督方式。
(1)定期监督。从获证之日起每 12 个月为一个监督审查期,进行一次证后监督。
定期监督一般采用现场审查或远程审查的方式,认证机构根据获证机构的技术风险水平确定审查方式,如监督审查期间系统进行了重新检测,则增加文件审查。每次定期监督由认证机构依据认证程序提前通知获证机构,要求获证机构向认证机构提交认证申请材料,获证机构提交的材料包括但不限于:
1)本监督审查期间系统变更情况。
2)本监督审查期间在获证业务范围或拟扩大认证业务范围的相关投诉记录;若无投诉,需提交纸质说明。皆须盖公章。
3)问题整改情况说明。
4)技术风险自评估表(适用时)。
(2)不定期监督。认证机构根据非银行支付机构支付业务设施技术的特点以及所承担的认证风险,可在定期监督的基础上增加不定期监督。若获证机构在证书有效期内出现以下情况之一,认证机构应视情况增加不定期监督频次:
1) 出现重大安全事故。
2) 业务系统应用架构或支撑环境变更(包括系统架构变更(如 B/S 架构变更为 C/S 架构)、操作系统产品变更、数据库系统产品变更、中间件产品变更、开发语言变更等)、重要版本变更。
 
3) 生产中心机房(主机房)场地迁移。
4) 疑似存在受审系统不一致或者重大安全隐患等可能导致证书不具备持续效力的风险因素。
5) 认证机构有足够理由对获证系统与本规则中规定的标准要求的符合性提出质疑时。
6) 相关主管机构或采信方的要求。
7) 认证机构认为有必要增加不定期监督的其他情况。必要情况下,认证机构可采取事先不通知的方式对认证委托人的生产系统和系统运营场所进行飞行审查。


6.7.2 证后监督审查的内容

证后监督的审查内容包括但不限于:
(1)系统风险控制能力及安全管理能力审查。
(2)在本监督审查期间的系统变更情况审查,必要时可委托检测机构对系统变更内容进行检测。
(3)本监督审查期间投诉记录对认证要求符合性影响的审查。
(4)认证机构认为存在重大安全隐患或者疑似与本规则中规定的标准要求不符的关键点。

6.7.3 证后监督结果评价与判定
 
对于证后监督审查合格的获证机构,认证机构应做出保持其认证资格的决定。对监督审查不合格的获证机构,认证机构应依据第 2 章所列标准、认证规范和本实施规则的认证程序暂停甚至撤销其认证资格。

6.8 再认证

认证证书为有效状态的获证机构可申请再认证,再认证申请应至少于认证证书有效期满前三个月提出,再认证的申请和受理程序与初次认证相同。
再认证须在原证书有效期内完成,原证书到期时如不能完成再认证,原证书按照本规则 9.1 节要求执行,新证书按照初次认证颁发。

7 认证变更

获证机构扩大或缩小认证范围,认证证书状态变更,业务设施架构变更、重要版本变更、生产中心机房(主机房)场地迁移等情况时,应向认证机构提出变更申请,并按照认证机构网站公示要求提交相关材料。
认证机构识别变更的类型和范围,评估变更的影响策划并实施适宜的审查活动,并按照要求做出认证决定。
(1)如果认证变更只涉及到注册名称、注册地址的变更,
 
获证机构仅须递交变更申请,经书面审查批准后,认证机构仅对证书更新并收回原证书。
(2)如果扩展认证范围或发生业务设施架构变更、重要版本变更、生产中心机房(主机房)场地迁移等重大变更,认证委托人需按照初次认证程序执行,审查通过后换发证书。
(3)如果缩小认证范围,认证委托人提交相关申请材料,认证机构对证书更新并收回原证书。
认证要求发生变更时,认证机构应通知相关获证机构。


8 认证时限

认证时限是指自认证申请正式受理之日起至颁发认证证书时止所实际发生的工作日,其中包括检测、文件审查、现场审查、认证评价、认证决定以及证书制作时间。
检测机构应在认证委托人获得受理通知书后 1 个半月内进场检测,检测时间一般不超过 30 个工作日(因检测项不合格,进行整改和复试的时间不计算在内,整改时间一般不超过 3 个月),并于 6 个月内提交检测报告。
一般在收到检测报告后 5 个工作日内安排文件审查,文件审查、现场审查时间一般不超过 20 个工作日,认证评价、认证决定、证书制作时间共计不超过 10 个工作日。补充材料和整改时间不计算在内。
 
9 认证证书

9.1 认证证书有效期

非银行支付机构支付业务设施技术认证证书有效期为 3 年,证书到期后自动失效。


9.2 认证证书和认证标志的使用

9.2.1 认证证书的使用
认证证书是认证机构颁发给认证委托人证明其服务符合认证要求的一种证明文件。
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料中或广告宣传等商业活动,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的业务系统获得认证,宣传认证结果时不应损害认证机构的声誉。
认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证机构应妥善保管好证书,以免丢失、损坏。如发生证书丢失、损坏的,获证机构可申请补发。
获证机构应建立认证证书、审核报告使用和管理制度,对认证证书的使用情况如实记录存档。
 
9.2.2 认证标志的使用
9.2.2.1 认证标志的样式

9.2.2.2 认证标志的使用
获证机构在使用认证标志时,应根据认证机构提供的图样按比例放大或缩小。
认证标志只能由获证机构在获准认证范围内使用,不得以任何方式转让、转送、出售、借用、冒用。

9.3 认证证书的管理

认证证书的变更依照第 7 章所列场景处理,认证证书的暂停、恢复、撤销和注销要求:

9.3.1 暂停认证证书

9.3.1.1 获证机构有下列情形之一的,认证机构应当暂停
 
认证证书:
(1)未按照规定及时接受证后监督审查或申请再认证。
(2)获证机构未按规定使用认证证书和认证标志。
(3)监督结果证明获证机构的支付业务设施技术不符合认证要求,但不需要立即撤销认证证书。
(4)获证机构未履行与认证机构签署的认证合同中规定的责任和义务,如未按时支付认证费用等。
(5)获证机构主动请求暂停。
(6)未按 6.3 规定重新检测。
(7)获证机构被发现列入全国法院失信被执行人名单,或其他在特定时期国家或行业管理部门有要求予以暂停。
9.3.1.2 认证证书暂停的有关规定
暂停期限为三个月。在三个月内,获证机构应完成认证证书恢复,获证机构至少在撤销期前 1  个月提出恢复认证申请。认证机构经审查、批准后,方可使用该证书。在认证证书暂停期间,获证机构不得继续使用证书。

9.3.2 撤销认证证书

9.3.2.1 获证机构有下列情形之一,认证机构应当撤销其认证证书:
(1)获证机构出现严重问题,或获证机构在认证范围内无法满足适用的法律法规、认证标准规范要求,并在短期内无法
 
整改达成要求的。
(2)获证机构不接受认证机构对其实施的证后监督审查

的。
(3)认证证书暂停使用期间,获证机构未采取有效纠正措施。
(4)认证证书暂停使用期满,获证机构未完成证书恢复。
(5)出现重大安全事故,社会影响恶劣或者性质特别严重的。
9.3.2.1 认证证书撤销的有关规定
认证证书撤销后,认证机构应收回认证证书,并在相关媒体上予以公告。
原则上,因(1)(3)(4)(5)原因认证证书撤销的获证机构 3 个月内不予受理认证申请。

9.3.3 注销认证证书

9.3.3.1 获证机构有下列情形之一,认证机构应当注销其认证证书:
(1)认证证书有效期届满,获证机构未申请再认证的;
(2)获证机构由于企业破产、倒闭、解散、生产结构调整等原因致使获证业务不再运行,获证机构主动放弃保持认证证书的;
(3)获证机构申请注销的;
 
(4)其他应当注销认证证书的情形。


9.3.3.2 认证证书注销的有关规定
获证机构因为自身原因申请注销认证证书,认证机构应当给予注销。
认证证书注销后,认证机构应收回认证证书,并在相关媒体上予以公告。

10 信息沟通机制

获证机构应建立信息通报制度,在发生第 7 章描述的变更和 6.7.1 节触发不定期监督审查的情况时应及时向认证机构通报相关信息。
认证机构应建立信息沟通渠道,及时了解获证机构及检测机构意见,加强对认证要求的宣贯培训。
认证机构应宣传普及认证业务知识,积极拓展认证结果采信和信息传播渠道,如:认证机构应按照要求及时将认证结果信息通报相关政府监管部门。

11 申诉、投诉

11.1 申诉
 
申诉是指认证委托人申请认证机构重新考虑认证决定结果的书面请求。
认证委托人如对认证决定结果有异议,可在收到认证结果通知后 10 个工作日内通过认证机构公布的各种渠道提出
申诉,认证机构自收到申诉之日起,应在 6 个月内进行处理,并将处理结果书面通知认证委托人。

11.2 投诉

投诉指任何组织或个人向认证机构表达的,有别于申诉并希望得到答复的,对认证机构、认证机构各业务部门、审查组、认证审查相关人员及其活动,检测机构、检测机构检测人员及其活动的不满表示。
认证机构自收到投诉之日起,应在 3 个月内进行处理,并将处理结果反馈投诉方。

12 收费

收费由认证机构、检测机构按国家有关规定统一收取。


13 认证责任
 
认证委托人对其系统及文档、认证申请资料及声明等信息的真实性负责。
检测机构对其检测结果及检测报告真实性、完整性和准确性负责。
认证机构对其认证结果的公正性、客观性负责。

★重庆两化融合★重庆CMMI认证★重庆GJB5000A认证★重庆CCRC认证★重庆ISO27001认证★重庆ISO20000认证★重庆ISO22301认证★重庆ISO27701认证★重庆ITSS认证★重庆CS认证★

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8