支付服务业务系统技术标准检测与安全规范.docx

非金融机构支付服务业务系统技术原则符合性和安全性检测规范（预付卡部分）中国人民银行科技司2010年12月11日第一部分总则3一、检测根据3二、检测目Inl3三、启动准则4四、术语定义4五、合用范围5第二部分检测内容5一、功能测试5二、风险监控测试7三、性能测试8四、安全性测试8五、文档测试15第三部分外包附加测试16附录一测试过程风险分析18附录二检测评判准则19一、问题等级分类19二、检测成果鉴定20第一部分总则一、检测根据1. ISO9564银行业务个人识别码日勺管理和安全2. GB/T17544-1998信息技术软件包质量规定和测试3. GB/T16260-2023软件工程产品质量4. GB/T18905-2023软件工程产品评价5. GB/T8567-2023计算机软件文档编制规范6. GB/T9385-2023计算机软件需求规格阐明规范7. GB/T9386-2023计算机软件测试文档编制规范8. GB/T14394-2023计算机软件可靠性和可维护性管理9. GB/T15481-2023检测和校准试验室能力的通用规定10. GB/T19584-2023银行卡磁条信息格式和使用规范11. GB/T18336-2023信息技术安全技术信息技术安全性评估准则12. GB17859-1999计算机信息系统安全保护等级划分准则13. JR/T0052-2023银行卡卡片规范14. JR/T0001-2023银行卡销售点（PoS）终端规范15. JR/T0025-2023中国金融集成电路（IC）卡规范16. 非金融机构支付服务管理措施（中国人民银行令2023第2号）二、检测目的检测目的是在系统版本确定的基础上,对非金融机构支付服务（预付卡）系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试,客观、公正评估系统与否符合中国人民银行对支付服务业务系统日勺技术原则符合性和安全性规定，保障我国支付业务设施日勺安全稳定运作。三、启动准则1. 非金融机构提交的支付服务业务系统被测版本与生产版本一致；2. 非金融机构支付服务业务系统内部测试进行完毕；3. 非金融机构已将与检测机构共同制定日勺经双方签字的检测计划报中国人民银行立案；4. 系统需求阐明书、系统设计阐明书、顾客手册、安装手册等有关文档准备完毕；5. 测试环境准备完毕，详细包括：（1）测试环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运维安全性测试尽量在生产环境下进行；（2）支付服务业务系统被测版本及其他有关外围系统和设备已完毕布署并配置对时；(3)用于功能和性能测试日勺基础数据准备完毕；(4)测试用机到位，系统及软件安装完毕；(5)测试环境网络配置对日勺，连接畅通，可以满足测试需求。四、术语定义1 .非金融机构支付服务：是指非金融机构在收付款人之间作为中介机构提供下列部分或所有货币资金转移服务。(1)网络支付；(2)预付卡日勺发行与受理；(3)银行卡收单；(4)中国人民银行确定的其他支付服务。2 .预付卡：是指以营利为目的发行的、在发行机构之外购置商品或服务时预付价值，包括采用磁条、芯片等技术以卡片、密码等形式发行时预付卡。五、合用范围第三方检测机构按照本规范制定非金融机构支付服务业务系统技术原则符合性和安全性检测方案。非金融机构若将支付服务业务系统外包给第三方服务机构，则还应按照本规范规定进行附加测试。第二部分检测内容一、功能测试验证支付服务业务系统日勺业务功能与否对的实现，测试系统业务处理日勺精确性，测试内容如下：编号检测项检测阐明1账户管理客户账户管理（客户可以自行修改密码/个性化登记资料）联机交易类必测项2卡片管理（功能实现、流程及管理制度、贯彻程度）己实现功能提议所有提交测试、未实现功能不做强制测试，部队测试成果导致影响制卡（功能实现、流程及管理制度）必测项卡片发行必测项卡片激活必测项充值卡片有效期延长换卡必测项补卡密码修改/密码重置卡片冻结/解冻卡片挂失/解挂锁卡/解锁退卡销卡3密钥和证书管理提议不申报认证中心公钥管理发卡机构密钥管理IC卡密钥管理脱机交易类必测项发卡机构证书管理IC卡证书管理14交易处理（功能实现、流程及管联机消费联机交易类必测项联机消费撤销必测项（密码卡不合,密码卡：以密码形式发行的预付卡。编号检测项检测阐明理制度、贯彻程度）已实现功能提议所有提交测试、未实现功能不做强制测试，部队测试成果导致影响业务完整性和顾客操作过程是测试重点用）联机余额查询必测项（密码卡不合用）退货必测项（密码卡不合用）冲正交易必测项（密码卡不合用）异常卡交易必测项现金圈存/圈提指定账户圈存指定账户圈存撤销非指定账户圈存非指定账户圈存撤销IC卡脚本告知圈提脱机消费脱机交易类必测项脱机消费文献处理脱机交易类必测项脱机余额查询脱机交易类必测项交易查询必测项5资金结算（功能实现、流程及管理制度、贯彻程度）工作流程设计、管理制度、贯彻程度是测试重点客户结算6对账处理（功能实现、流程及管理制度、贯彻程度）功能实现是测试重点发送对账祈求生成对账文献7差错处理（功能实现、流程及管理制度、贯彻程度）工作流程设计、管理制度、贯彻程度是测试重点长款/短款处理必测项8记录报表（功能实现、流程及管理制度、贯彻程度）顾客分级、报表对管业务类报表必测项运行管理类报表必测项编号检测项检测阐明理需求的满足程度是测试重点二、风险监控测试验证支付服务业务系统的账户及交易风险，测试内容如下:编号检测项检测阐明1联机交易风险管理（功能实现、流程及管理制度、贯彻程度）已实现功能提议所有提交测试、未实现功能不做强制测试，部队测试成果导致影响业务完整性和顾客操作过程是测试重点圈存交易ARQC/ARPC验证联机报文MAC验证卡片状态控制单笔消费限额当日合计消费限额当日合计消费次数限制单笔充值金额最大值账户余额限额必测项大额消费商户交易监控密码错误状况下的交易祈求非法卡号交易必测项卡片有效期检查无磁无密交易2脱机交易风险管理TAC验证脱机交易类必测项MAC验证脱机交易类必测项3终端风险管理（功能实现、流程及管理制度、贯彻程度）POS机申请、参数设置、程序灌装、使用、更换、维护、撤销的!管理POS机密钥和参数的安全管理控制移动POS机的安装终端安全检测汇报密码键盘安全检测汇报工作流程设计、管理制度、贯彻程度是测试重点终端监控三、性能测试对支付服务业务系统性能测试的重要目的是验证系统与否满足未来两年业务运行日勺性能需求。测试内容包括如下三个方面：一是验证系统与否支持业务日勺多顾客并发操作；二是验证在规定日勺硬件环境条件和给定时业务压力下，考核系统与否满足性能需求和压力解除后系统自恢复能力；三是测试系统性能极限。根据以上性能测试内容，并结合经典交易、复杂业务流程、频繁的顾客操作、大数据量处理等原则，选用如下测试业务点：编号检测项检测阐明1联机消费联机交易类必测项2联机余额查询必测项（密码卡不合用）3联机交易明细查询4批量发行5批量充值6批量作废7脱机消费文献处理脱机交易类必测项8日终批处理1-3项是测试重点四、安全性测试1 .网络安全性测试对支付服务业务系统网络环境进行检测，考察经网络系统传播日勺数1据安全性以及网络系统所连接的设备安全性，评估系统网络环境与否可以防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，与否可以保障业务的持续运行和保护信息资产的安全。检测内容如下：编号检测项检测阐明1构造安全关键网络设备、认证设备、也许影响业务0安全设备必须满足冗余布署规定；不一样安全等级规定B¾服务器域必须按照不一样子网划分，重要数据通道具有QOS保障(1)网络冗余和备份(2)网络安全路由器(3)网络安全防火墙(4)网络拓扑构造(5) IP子网划分(6) QoS保证必测项2网络访问控制任何服务器不得直接暴露给远程客户，网络和系统边界具有对应0¾安全控制设备和机制，保证访问来源合法UD网络域安全隔离和限制(2)地址转换和绑定(3)内容过滤(4)访问控制(5)流量控制(6)会话控制(7)远程拨号访问控制和记录必测项3网络安全审计对重要网络、安全控制设备B管理顾客实时分级，并至少进行系统级操作审计；具有独立的设备及工具对网络进行故障分析、预警(1)日志信息(2)网络系统故障分析(3)网络对象操作审计(4)日志权限和保护(5)审计工具必测项4边界完整性检查完整的网络边界、无(1)内外网非法连接阻断和定位必测项计划外的当地终端或主机；远程的终端或主机必须通过网络边界的隔离安全设备控制渠道访问。5网络入侵防备独立的网络入侵防备措施；平常工作流程及贯彻程度(1)网络ARP欺骗袭击(2)信息窃取(3)DOS/DDOS袭击(4)网络入侵防备机制必测项6恶意代码防备同上(1)恶意代码防备措施(2)定期更新必测项7网络设备防护网络设备管理帐户分级；登录审计；管理操作来源限制；安全隐患服务端口关闭；管理措施及贯彻程度(1)设备登录设置(2)设备登录口令安全性(3)登录地址限制(4)远程管理安全(5)设备顾客设置方略(6)权限分离(7)最小化服务必测项8网络安全管理管理措施及贯彻程度(1)网络设备运维手册(2)定期补丁安装(3)漏洞扫描(4)网络数据传播加密必测项9网络有关人员安全管理管理措施及贯彻程度(1)网络安全管理人员配置(2)网络安全管理人员责任划分规则(3)网络安全关键岗位人员管理必测项2 .主机安全性测试对支付服务业务系统主机安全防护进行检测，考察主机日勺安全控制能力。检测内容如下:编号检测项必测项1身份鉴别服务器管理帐户分级；管理操作来源限制及认证(1)系统与应用管理员顾客设置(2)系统与应用管理员口令安全性(3)登录方略必测项2访问控制对非本安全域(同一功能子系统)之间的主机访问来源限制及认证(1)访问控制范围(2)主机信任关系(3)默认过期顾客3安全审计统一、完整的日志管理；管理顾客系统级操作审计(1)日志信息(2)日志权限和保护(3)系统信息分析(4)顾客操作审计4系统保护定期的系统配置、日志备份管理及贯彻程度；系统基本资源监控及预警；主机系统配置定制原则及其优化贯彻（1）系统备份（2）故障恢复方略（3）磁盘空间安全（4）主机安全加固测必项5剩余信息保护日志备份管理及删除机制（1）过期信息、文档处理测必项6入侵防备系统优化（1）入侵防备记录（2）关闭服务和端口（3）最小安装原则必测项7恶意代码防备反病毒软件布署（1）防备软件安装布署（2）病毒库定期更新（3）防备软件统一管理r8资源控制不重点考核（1）连接控制（2）资源监控和预警测必项9主机安全管理管理制度及贯彻程度（1）主机运维手册（2）漏洞扫描（3）系统补丁（4）操作日志管理10主机有关人员安全管理管理制度及贯彻程度（1）主机安全管理人员配置（2）主机安全管理人员责任划分规则（3）主机安全关键岗位人员管理H3 .应用安全性测试对支付服务业务系统应用安全性检测，重要检测应用系统对非法访问及操作的控制能力。检测内容如下:编号检测项检测阐明1身份鉴别管理帐户分级；访问来源控制；强顾客认证机制（1）系统与一般顾客设置（2）系统与一般顾客口令安全性（3）登录访问安全方略（4）非法访问警示和记录（5）客户端鉴别信息安全（6）口令有效期限制（7）限制认证会话时间（8）身份标识唯一性（9）及时清除鉴别信息必测项2WEB页面安全仅限于顾客查询及信息维护；不得加入支付业务功能。（1）图片验证码（2）安全控件（3）使用数字证书（4）独立的支付密码必测项编号检测项检测阐明强制使用1、2、3、4项安全机制；假如放弃网上客户信息服务可不测试本部分。（5）网站页面SQL注入防备（6）网站页面跨站脚本袭击防备（7）网站页面源代码暴露防备（8）网站页面黑客挂马防备（9）网站页面防篡改措施（10）网站页面防钓鱼（11）工商局ICP立案3访问控制非本安全域内的访问必须通过对应的安全控制设备进行管理；完备的系统及日志记录；关键数据必须有足够的保护机制（1）访问权限设置（2）自主访问控制范围（3）业务操作日志（4）关键数据寄存（5）异常中断防护（6）数据库安全配置必测项4安全审计至少管理帐户0登入登出需要进行统一的日志记录和分级权限审计（1）日志信息（2）日志权限和保护（3）系统信息查询与分析（4）对象操作审计（5）审计工具（6）事件报警必测项5剩余信息保护日志备份及删除机制（1）过期信息、文档处理必测项6资源控制不重点考核（1）连接控制（2）会话控制（3）进程资源分派（4）资源检测预警必测项7应用容错对的的错误信息提醒及流程（1）数据有效性校验（2）容错机制（3）故障机制（4）回退机制必测项8报文完整性与否有对应的措施并贯彻（1）通信报文有效性必测项9报文保密性与否有对应的措施并贯彻（1）报文或会话加密必测项10抗抵赖交易来源强认证；交易过程日志完备（1）原发和接受证据必测项11编码安全源代码管理机制及其贯彻程度（1）源代码审查（2）插件安全性审查（3）编码规范约束（4）源代码管理必测项编号检测项检测阐明(5)版本管理12电子认证应用系统与顾客端的交易数据传播必须具有专门的认证手段(PSAM卡物理认证、第三方证书、密码机、动态口令卡等)(1)第三方电子认证机构(2)关键业务电子认证技术应用(3)电子签名有效性(4)服务器证书私钥保护必测项13脱机数据认证(1)密钥和证书(2)静态数据认证(3)动态数据认证脱机交易类必测项14应用密文和发卡机构认证管理手段及贯彻程度(1)应用密文产生(2)发卡机构认证(3)密钥管理脱机交易类必测项15安全报文管理手段及贯彻程度(1)报文格式(2)报文完整性验证(3)报文私密性(4)密钥管理脱机交易类必测项16卡片安全管理手段及贯彻程度(1)共存应用(2)密钥0独立性(3)卡片内部安全体系(4)卡片中密钥的种类脱机交易类必测项17终端安全任理手段及贯彻程度(1)终端数据安全性规定(2)终端设备安全性规定(3)终端密钥管理规定脱机交易类必测项18密钥管理体系管理手段及贯彻程度(1)认证中心公钥管理(2)发卡机构公钥管理(3)发卡机构对称密钥管理脱机交易类必测项19安全机制(1)对称加密机制(2)非对称加密机制脱机交易类必测项20承认的算法(1)对称加密算法(2)非对称加密算法(3)哈希算法脱机交易类必测项4 .数据安全性测试对支付服务业务系统数据安全防护进行检测，重要考察数据的传播、存储、备份与恢复安全性。检测内容如下:编号检测项检测项目1数据保护客户个性化信息加密传播(1)客户身份信息保护(2)支付业务信息保护必测项编号检测项检测项目存储；业务数据、会计数据备份、保管机制及贯彻程度（3）会计档案信息保护2数据完整性数据库管理安全保障机制及其贯彻；数据备份、（1）重要数据更改机制（2）数据备份记录（3）保障传播过程中的数据完整性（4）备份数据定期恢复必测项3交易数据以及客户数据的J安全性（1）数据物理存储安全（2）客户身份认证信息存储安全（3）终端信息采集设备硬加密措施或其他防伪手段（4）同一安全级别和可信赖的系统之间信息传播（5）加密传播（6）加密存储（7）数据访问控制（8）在线的存储备份（9）数据备份机制（10）当地备份（11）异地备份（12）备份数据的恢复（13）数据销毁制度和记录（14）关键链路冗余设计必测项5 .运维安全性测试对支付服务业务系统运维安全进行检测，重要考察运维安全管理制度及运维安全执行状况。检测内容如下:编号检测项检测项目1环境管理（1）机房基础设施定期维护（2）机房的出入管理制度化和文档化（3）办公环境B¾保密性措施（4）机房安全管理制度（5）机房进出登记表必测项2介质管理（1）介质0寄存环境保护措施（2）介质的使用管理文档化（3）维修或销毁介质之前清除敏感数据（4）介质管理记录必测项编号检测项检测项目（5）介质的分类与标识3设备管理（1）设备管理0负责人员或部门（2）设施、设备定期维护（3）设备选型、采购、发放等的审批控制（4）设备配置原则化（5）设备B¾操作规程（6）设备的操作日志（7）设备使用管理文档（8）设备标识必测项4人员管理（1）人员录取（2）人员转岗、离岗（3）人员考核（4）安全意识教育和培训（5）外部人员访问管理（6）职责分离必测项5监控管理（1）重要网络设备0¾各项指标监控状况（2）重要服务器0¾各项指标监控状况（3）应用运行各项指标监控状况（4）异常处理机制必测项6变更管理（1）变更方案（2）变更制度化管理（3）重要系统变更B¾同意（4）重要系统变更时告知必测项7安全事件处置（1）安全事件汇报和处置（2）安全事件0分类和分级（3）安全事件记录和采用的措施必测项8应急预案管理（1）制定不一样事件的应急预案（2）有关人员应急预案培训（3）定期演习必测项6 .业务持续性测试对支付服务业务系统业务持续性进行检测，重要考察系统与否具有业务持续性管理并到达设计目日勺。检测内容如下：编号检测项检测阐明1业务持续性需求分析（1）业务中断影响分析（2）劫难恢复时间目日勺和恢复点目日勺必测项2业务持续性技术环境（1）备份机房（2）网络双链路（3）网络设备和服务器备份（4）高可靠B磁盘阵列（5）远程数据库备份必测项编号检测项检测阐明3业务持续性管理（1）业务持续性管理制度（2）应急响应流程（3）恢复预案（4）数据备份和恢复制度必测项4备份与恢复管理（1）备份数据范围和备份频率（2）数据备份和恢复手册（3）备份记录和定期恢复测试记录（4）定期数据备份恢复性测试必测项5平常维护（1）每年业务持续性演习（2）定期业务持续性培训必测项五、文档测试对支付服务业务系统的顾客文档、开发文档、管理文档的完备性、一致性、对的性、规范性，以及与否符合行业原则，与否遵从更新控制和配置管理的规定等方面进行检测。检测内容如下:编号检测项检测阐明顾客文档1顾客手册（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项2操作手册（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项开发文档3需求阐明书（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述的J精确性、一致性必测项4需求分析文档（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述的精确性、一致性必测项5总体设计方案（1）文档密级管理必测项编号检测项检测阐明（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性6数据库设计文档（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项7概要设计文档（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项8详细设计文档（1）文档密级管理（2）文档登记和保管（3）文档内容：文档完整性、可操作性、文字描述aJ精确性、一致性必测项9工程实行方案文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述的精确性、一致性必测项管理文档10测试汇报文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项11系统运维手册文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项12系统应急手册文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述日勺精确性、一致性必测项13运维管理制度文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述的精确性、一致性必测项14安全管理制度文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述的精确性、一致性必测项15安全审计汇报文档密级管理文档登记和保管文档内容：文档完整性、可操作性、文字描述的精确性、一致性必测项第三部分外包附加测试对于非金融机构将支付服务业务系统有关开发、集成、运维等外包给第三方服务机构日勺状况,还应进行外包附加测试,重要测试如下几种方面:编号检测项检测阐明1外包服务B外包内容外包程度及详细内容必测项2安全保密协议签订外包安全保密协议必测项保障托管数据的安全、可靠必测项明确双方责任必测项3风险评估评估业务外包有关风险必测项外包商的J协议义务和规定必测项控制和汇报程序必测项外包协议日勺持续评估必测项符合监管规定和准则必测项外包服务应急计划必测项4外包商资质外包商提供支付服务日勺经验和能力评估必测项外包商硬件资源评估必测项外包商日勺财务状况评估必测项外包商的资金构成、人员构成以及主管部门日勺审批必测项外包商的J运维管理制度评估必测项外包模式调查及风险评估必测项5外包协议明确规定有关各方的权利和义务必测项明确外包商最低日勺服务水平必测项规定保守信息资源机密必测项规定争议处理措施必测项6控制和监督对外包业务的管理和监督必测项定期评估外包商的财务状况必测项定期审查协议条款的履行必测项编号检测项检测阐明7外包交付制定详细B系统交付清单必测项技术人员B业务培训必测项附录一测试过程风险分析为保证检测实行日勺顺利进行，必须在检测方案中分析非金融机构支付服务行业系统在检测过程中出现日勺风险，并提出对应日勺应对措施:风险编号风险描述风险发生也许性风险对测试或项目B影响负责人规避措施1应用服务器或数据库服务器在测试中出现无法预料0未知错误，导致测试失败高高被检测方对应用服务器、数据库服务器进行性能的预先评估，调整测试计划，预留调优时间直至延长测试时间。2被检测方技术支持人员不到位。中高被检测方充足的沟通与协调人力资源，保证检测活动日勺顺利进行。3测试环境受到干扰，例如数据库服务器或应用服务器被临时征用，不能专职为本测试服务低高被检测方暂停测试，等待测试环境恢复正常，推迟测试计划。4测试数据准备不成功低高被检测方由支付服务业务系统开发人员协助处理。5性能测试方面0疲劳度局限性，长时间运行状况不确定中中检测方保证测试进程B顺利进行，合适时候能延长测试周期。6在对服务器加压方面有欠缺低中检测方加深对系统aJ理解，尽量全面地覆盖系统业务功能点。7工具缺陷，测试工具和监控工具无法所有支持的所有IT系统的测试和监控中ift检测方尽量在测试前可以准备充足，能提高使用系统以便对测试工具调试8测试环境及条件制约，环境复杂多变，导致真正的测试加压时间缩短中中被检测方保证测试环境日勺正常稳定运行9评审系统与投产系统的不一致性，测试环境和生产环境的系统配置差异较大高高被检测方尽量可以采用和生产环境配置性能相近日勺设备附录二检测评判准则一、问题等级分类问题等级分为严重性问题、一般性问题和提议性问题。问题等级的分类原则如下：1、严重性问题与有关法律法规、原则规范有明显冲突；系统不满足业务需求；重要业务流程不对的；存在安全风险，会对客户利益导致严重的损害。2、一般性问题局部功能无法正常使用，但不影响系统整体流程的实现；存在安全风险，会对客人利益导致直接或潜在日勺损害。3、提议性问题功能可以正常使用，但系统易用性差；存在安全风险，但不会对客户利益导致直接或潜在的I损害。序号等级检测类问题严重程度划分原则1严重性问题功能测试 系统瓦解、死机、异常退出 功能模块失效 数据发生不可挽救的丢失或损坏序号等级检测类数据处理错误问题严重程度划分原则重未要做愚短推林渊断卷失或者篡改。敏感数据部布强豳务的功能，或者必备的功能未对的实现L括但不i息、交W未人必成娥惊险楼毓、账户信息、银TJ卡卡南悯矗捺措施未时的并现性能测试性能未满足业务需求系统出现异常，且无法自动恢复统关键配置文献、源代码泄漏、丢失或者篡改影响交易数据完整性导致越权访问影响支付业务持续性、导致系统无法恢复23一般性问题提议性问题外包测试未与第三方服务机构签订支付服务业务系统外包协议和安全保密协议 未对外包服务建立风险评估制度 未对外包商资质建立认定制度 未对外包业务建立控制和监督制度 必备功能实现不完善，但不影响业务功能使用，或者有替代措施 可选功能未对的实现 必填项数据未进行校验，或者校验不严格 提醒信息错误 顾客界面错误功能测试风险监控测试风险监控功能不完善安全性测试非敏感数据泄漏、丢失或者篡改系统一般的配置文献泄漏、丢失或者篡改影响支付业务持续性，导致系统无法及时恢复文档测试文档缺失文档自身、文档之间或者文档与实际状况不一致文档内容不完整外包测试外包协议内容不完善未对外包业务进行持续、有效的控制和监督功能测试系统出现偶发性错误，但不影响正常业务使用系统操作不以便人机交互界面不友好安全性测试影响支付业务持续性，但系统可以及时恢复文档测试文档格式不统一，不易于浏览，文档内容不轻易理解文档管理不规范二、检测成果鉴定检测汇报成果分为“符合”和“不符合”。检测成果鉴定原则如下:1、检测项成果鉴定原则不符合在检测过程中，发现严重性问题，该检测项的检测成果鉴定为“不符合二基本符合在检测过程中，发现一般性问题，该检测项日勺检测成果鉴定为“基本符合”。符合在检测过程中，未发现问题或仅发现提议性问题，该检测项的检测成果判为“符合”。2、检测类成果鉴定原则不符合检测项的检测成果存在“不符合”，该检测类的检测成果鉴定为“不符合二检测项的检测成果“基本符合”率为如下状况的，该检测类的检测成果鉴定为“不符合”：属于功能类的检测项，其检测成果为“基本符合”率不小于15%0属于风险监控类的检测项，其检测成果中“基本符合”率不小于15%o(3)属于性能类的!检测项，其检测成果中“基本符合”率不小于15%0(4)属于安全类的检测项，其检测成果中“基本符合”率不小于15%0属于文档类的检测项，其检测成果中“基本符合”率不小于15%o(6)属于外包类的检测项，其检测成果中“基本符合”率不小于15%o基本符合检测项日勺检测成果“基本符合”率为如下状况的，该检测类的检测成果鉴定为“基本符合”：属于功能类的检测项，其检测成果中“基本符合”率不不小于等于15%o属于风险监控类的检测项，其检测成果中“基本符合”率不不小于等于I5%o属于性能类日勺检测项，其检测成果中“基本符合”率不不小于等于15%o(4)属于安全类区!检测项，其检测成果中“基本符合”率不不小于等于15%o属于文档类的检测项，其检测成果中“基本符合”率不不小于等于15%o(6)属于外包类日勺检测项，其检测成果中“基本符合”率不不小于等于15%o符合检测项日勺检测成果所有为“符合”，该检测类的检测成果鉴定为“符合”。3、检测汇报成果鉴定原则不符合检测类的检测成果存在“不符合”，检测汇报成果鉴定为“不符合”。符合其他状况检测汇报成果鉴定为“符合”。