1、非金融机构支付服务业务系统检测评估准则（修订稿V2.0版）目 录一、问题等级分类3二、检测结果判定5三、问题等级分类判例7第7页一、问题等级分类问题等级分为严重性问题、一般性问题和建议性问题 。
问题等级的分类标准如下：1严重性问题与相关法律法规、标准规范有明显冲突；系统不满足业务需求；主要业务流程不正确；存在安全风险 ， 会对客户利益造成严重的损害 。
2. 一般性问题局部功能无法正常使用 ， 但不影响系统整体流程的实现；存在安全风险 ， 会对客户利益造成直接或潜在的损害 。
3建议性问题功能能够正常使用 ， 但系统易用性差；存在安全风险 ， 但不会对客户利益造成直接或潜在的损害 。
序号等级检测类问题等级的分类标准1严重性问 。

2、题功能检测(1) 系统崩溃、死机、异常退出(2) 功能模块失效(3) 数据发生不可挽救的丢失或损坏(4) 数据处理错误(5) 主要业务流程出现断点(6) 未提供必备的功能 ， 或者必备的功能未正确实现风险监控检测(1) 未提供必备的风险监控措施(2) 必备的风险监控措施未正确实现性能检测(1) 性能未满足业务需求(2) 系统出现异常 ， 且无法自动恢复安全性检测(1) 敏感数据泄漏、丢失或者篡改 。
敏感数据包括但不限于：密钥、密码、身份信息、账户信息、银行卡信息、交易信息等(2) 系统核心配置文件、源代码泄漏、丢失或者篡改(3) 影响交易数据完整性(4) 导致越权访问(5) 影响支付业务连续性 ， 导致系统 。

3、无法恢复外包检测(1) 未与第三方服务机构签订支付服务系统外包合同和安全保密协议(2) 未对外包服务建立风险评估制度(3) 未对第三方服务机构资质建立认定制度(4) 未对外包服务建立控制和监督制度2一般性问题功能检测(1) 必测项功能实现不完善 ， 但不影响业务功能使用 ， 或者有替代方法(2) 存在非必测项功能 ， 但未正确实现(3) 未对关键数据域进行校验 ， 或者校验不严格(4) 提示信息错误(5) 用户界面错误风险监控检测(1) 风险监控功能不完善(2) 必备风险监控项通过人工实现安全性检测(1) 非敏感数据泄漏、丢失或者篡改 (2) 系统一般的配置文件泄漏、丢失或者篡改(3) 影响支付业务连续性 ， 导 。

4、致系统无法及时恢复文档检测(1) 文档缺失(2) 文档自身、文档之间或者文档与实际情况不一致(3) 文档内容不完整外包检测(1) 外包合同内容不完善(2) 未对外包服务进行持续、有效的控制和监督3建议性问题功能检测(1) 系统出现偶发性错误 ， 但不影响正常业务使用(2) 系统操作不方便(3) 人机交互界面不友好安全性检测(1) 影响支付业务连续性 ， 但系统能够及时恢复文档检测(1) 文档格式不统一 ， 不易于浏览 ， 文档内容不容易理解(2) 文档管理不规范对于风险监控、安全审计要求 ， 系统没有功能模块实现 ， 但是线下采用人工补偿方法可以正确实现该功能的 ， 可降低一级问题级别 。
此外 ， 不适用项 ， 检测人员从客户服务 。

5、体验、实现难易程度方面进行分析 ， 可提建议性问题 。
二、检测结果判定（一）检测项结果判定原则l 不符合在检测过程中 ， 发现严重性问题和一般性问题 ， 该检测项的检测结果判定为“不符合” 。
l 符合在检测过程中 ， 未发现问题或仅发现建议性问题 ， 该检测项的检测结果判定为“符合” 。
l 不适用在各检测类检测过程中 ， 根据厂商声明 ， 被检测系统未提供的非必测项可判定为“不适用” ， 必测项不能判定为“不适用” ， 风险监控类、安全类检测项除外 。
在风险监控类、安全类检测过程中 ， 检测要求对抗的威胁在被测系统中不存在 ， 该检测项判定为“不适用” 。
判定为不适用的风险监控类、安全类检测项需说明原因和带来的安全影响 。
（二）检测类结果判定原则 。

6、l 不符合该检测类中存在因严重问题导致的“不符合”检测项 ， 则该检测类的检测结果判定为“不符合” 。
该检测类中存在因一般问题导致的“不符合”检测项 ， 如果“不符合”率为以下情况的 ， 则该检测类的检测结果判定为“不符合”：（1）属于功能类的检测项 ， 其检测结果中“不符合”率大于15% 。
（2）属于风险监控类的检测项 ， 其检测结果中“不符合”率大于15% 。
（3）属于性能类的检测项 ， 其检测结果中“不符合”率大于15% 。
（4）属于安全类的检测项 ， 其检测结果中“不符合”率大于15% 。
（5）属于文档类的检测项 ， 其检测结果中“不符合”率大于15% 。
（6）属于外包类的检测项 ， 其检测结果中“不符合”率大于15% 。
l 符合该检 。

【银行|银行非金融机构支付服务业务系统检测评估准则V2.0】7、测类中检测项的检测结果全部为“符合” ， 则该检测类的检测结果判定为“符合” 。
该检测类中存在因一般问题导致的“不符合”检测项 ， 如果“不符合”率为以下情况的 ， 则该检测类的检测结果判定为“符合”：（1）属于功能类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（2）属于风险监控类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（3）属于性能类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（4）属于安全类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（5）属于文档类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（6）属于外包类的检测项 ， 其检测结果中“不符合”率小于或等于15% 。
（三）检测报告结果判定原则l 不符合检测类的检测结果存在“不符合” ， 检测报告结果判定为“不符合” 。
l 符合 其他情况检测报告结果判定为“符合” 。
三、问题等级分类判例检测问题等级分类判例参见附件非金融机构支付服务业务系统检测问题判例 。

稿源：(未知)

【傻大方】网址：/a/2021/0810/0023572371.html

标题：银行|银行非金融机构支付服务业务系统检测评估准则V2.0