ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0098.6—2012 中国金融移动支付 检测规范 第 6部分：业务系统 China financial mobile payment —Test specifications — Part 6: Business system 2012 - 12 - 12 发布 2012 - 12-12 实施 中国人民银行 发布 JR/T 0098.6—2012 I 目 次 前言 ............................................................ .................... II   引言 ............................................................ ................... III   1 范围 .......................................................... .................... 1   2 规范性引 用文件 ..................................................... ............... 1   3 术语和定义 ....................................................... ................. 1   4 总则 .......................................................... .................... 2   5 检测项列表 ....................................................... ................. 2   6 功能检测内容 ...................................................... ............... 18   7 性能检测内容 ...................................................... ............... 24   8 安全性检 测内容 ..................................................... .............. 24   9 风险监控 检测内容 .................................................... ............. 49   10 文档审核内容 ..................................................... ............... 53   11 外包管 理检测内容 ................................................... ............. 54   12 机构入 网检测内容 ................................................... ............. 55   附录 A（规范性附录） 操作规程 ....................................................... 67   附录 B（规范性附录） 判定准则 ....................................................... 71   JR/T 0098.6—2012 II 前 言 《中国金融移动支付 检测规范》标准由以下 8部分构成： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：客户端软件； ——第4部分：安全单元（ SE）应用管理终端； ——第5部分：安全单元（ SE）嵌入式软件安全； ——第6部分：业务系统； ——第7部分：可信服务管理系统； ——第8部分：个人信息保护。 本部分为该标准的第 6部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC180 ）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：北京银联金卡科技有限公司（银行卡检测中心）、中金国盛认证中心、工业 和信息化部计算机与微电子发展研究中心（中国软件评测中心）、上海市信息安全测评认证中心、信息产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、 李晓、尚可、郭栋、熊文韬、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、李微、陈吉、程恒。 JR/T 0098.6—2012 III 引 言 随着移动支付新业务、新产品、新管理模式的不断涌现，以客户需求为主导的移动支付业务出现了 不断交融和细化的趋势，不同机构、不同部门、不同业务之间的信息交换和信息共享变得越来越频繁。移动支付业务系统检测规范的制定可以有效加强银行、非金融支付服务组织、商户之间的互联、互通及信息共享，降低交易成本，提高市场效率。 本部分对移动支付业务系统的功能、性能、安全性、风险监控、文档审核、外包和机构入网七个检 测类进行了检测规定。对于新增需求，将在标准后续的修订过程中逐步纳入。 JR/T 0098.6—2012 1 中国金融移动支付 检测规范 第6部分：业务系统 1 范围 本部分规定了移动支付业务系统的检测内容和判定准则，包括业务系统的功能、性能、安全性、风 险监控、文档审核、外包管理和机构入网七个检测类的检测要求、操作规程及判定准则。 本部分适用于指导检测机构制定移动支付业务系统和机构入网的技术标准符合性、安全性检测方 案、执行检测以及检测结果符合性判定。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 JR/T 0025.7 中国金融集成电路（ IC）卡规范 第7部分：借记 /贷记应用安全规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 用户 user 通过移动终端发起移动支付的使用者。 3.2 商户 merchant 为用户提供商品或服务内容的主体。 3.3 系统用户数 user counts 系统中所有能够参与远程支付业务的有效用户总数。（单位：个） 3.4 在线用户数 online user counts 系统中的会话用户数。 3.5 并发用户数 concurre nt user c ounts 系统中在正常业务情况下，同一时间发起业务请求的用户数。（单位：个） 3.6 极限检测 limit test JR/T 0098.6—2012 2 系统的最大处理能力的测试过程或者验证过程。 3.7 系统最大并发用户数 maximum conc urrent us er counts 系统中在不出现业务处理失败的情况下，能够支持的最大并发用户数。（单位：个） 3.8 业务吞吐量 transact ion throu ghput 系统单位时间内处理的请求数量。（单位： transaction/s ） 4 总则 4.1 检测目标 检测目标是在系统版本确定的基础上，对移动支付业务系统功能、性能、安全性、风险监控、文档、 外包和联网联合七项检测类进行检测，客观、公正评估系统是否符合中国人民银行对移动支付业务系统的技术标准符合性和安全性要求，保障我国移动支付业务设施的安全稳定运行。 4.2 启动准则 a) 机构提交的业务系统被测版本与生产版本一致； b) 机构业务系统内部测试进行完毕； c) 系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕； d) 检测环境准备完毕，具体包括： 1) 检测环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运 维安全性检测尽量在生产环境下进行； 2) 业务系统被测版本及其他相关外围系统和设备已完成部署并配置正确； 3) 用于功能和性能检测的基础数据准备完毕； 4) 检测用机到位，系统及软件安装完毕； 5) 检测环境网络配置正确，连接通畅，可以满足检测需求。 4.3 检测相关规定 a) 检测相关操作规定见附录 A。 b) 检测相关判定准则见附录 B。 5 检测项列表 5.1 功能检测项 验证