2019年10月,爲(wéi / wèi)貫徹國(guó)務院《關于(yú)加強質量認證體系建設促進全面質量管理的(de)意見》(國(guó)發〔2018〕3 号)精神,中國(guó)人(rén)民銀行、國(guó)家市場監督管理總局聯合發布公告,将金融科技産品納入國(guó)家統一(yī / yì /yí)推行的(de)認證體系,并确定了(le/liǎo)《金融科技産品認證目錄(第一(yī / yì /yí)批)》。2022年1月,在(zài)第一(yī / yì /yí)批認證目錄的(de)基礎上(shàng),人(rén)民銀行、市場監管總局發布《金融科技産品認證目錄(第二批)》。
金融科技産品認證目錄前兩批共包含14個(gè)産品種類,均爲(wéi / wèi)認證中心受理業務,産品範圍、認證依據及檢查内容如下。
産品範圍:支持支付業務(包括處理訂單)的(de)移動終端客戶端軟件,包括:移動終端客戶端程序、支付控件、軟件開發工具包(SDK)等。
認證依據:《JR/T 0092 移動金融客戶端應用軟件安全管理規範》、《JR/T 0098.3 中國(guó)金融移動支付 檢測規範 第3部分:客戶端軟件》、《JR/T 0171 個(gè)人(rén)金融信息保護技術規範》等。
檢查内容:依據金融行業标準,對客戶端軟件的(de)安全防護、條碼支付客戶端安全、條碼支付客戶端交易安全、條碼支付客戶端兼容性、個(gè)人(rén)信息收集使用、開發管理進行評估。
産品範圍:支持移動支付業務開展的(de)安全芯片,是(shì)指構成金融行業安全載體的(de)具有中央處理器的(de)集成電路芯片。
認證依據:《JR/T 0089.1 中國(guó)金融移動支付 安全單元 第1部分:通用技術要(yào / yāo)求》、《JR/T 0089.2 中國(guó)金融移動支付 安全單元 第2部分:多應用管理規範》、《JR/T 0098.2 中國(guó)金融移動支付 檢測規範 第2部分:安全芯片》等。
檢查内容:依據金融行業标準,對安全芯片的(de)安全功能、抗攻擊能力,以(yǐ)及安全及質量保證能力進行評估。
産品範圍:支持移動支付業務開展的(de)基于(yú)安全芯片運行的(de)安全單元以(yǐ)及承載安全單元的(de)介質,例如SIM卡、SD卡、eSE、inSE等。
認證依據:《JR/T 0089.1 中國(guó)金融移動支付 安全單元 第1部分:通用技術要(yào / yāo)求》、《JR/T 0089.2 中國(guó)金融移動支付 安全單元 第2部分:多應用管理規範》、《JR/T 0098.5 中國(guó)金融移動支付 檢測規範 第5部分:安全單元(SE)嵌入式軟件安全》等。
檢查内容:依據金融行業标準,對安全載體的(de)物理特性、電氣特性和(hé / huò)通信協議、嵌入式系統軟件功能、嵌入式系統軟件安全,以(yǐ)及安全及質量保證能力進行評估。
産品範圍:支持移動支付業務開展的(de),運行于(yú)安全單元(SE)内嵌入式系統軟件之(zhī)上(shàng)的(de)嵌入式應用軟件。
認證依據:《JR/T 0095 中國(guó)金融移動支付 應用安全規範》、《JR/T 0098.5 中國(guó)金融移動支付 檢測規範 第5部分:安全單元(SE)嵌入式軟件安全》等。
檢查内容:依據金融行業标準,對嵌入式應用軟件的(de)交易功能、性能、安全性,以(yǐ)及安全及質量保證能力進行評估。
産品範圍:一(yī / yì /yí)種組合了(le/liǎo)多種不(bù)同金融業務功能的(de)自助服務設備,持卡人(rén)可利用該設備所提供的(de)功能完成存款、取款等金融服務。
認證依據:《JR/T 0002 銀行卡自動櫃員機(ATM)終端技術規範》、《JR/T 0120.3 銀行卡受理終端安全規範 第3部分 自助終端》、《JR/T 0120.5 銀行卡受理終端安全規範 第5部分 PIN輸入設備》等。
檢查内容:依據金融行業标準,對銀行卡自動櫃員機(ATM)的(de)終端硬件、終端軟件、終端安全,以(yǐ)及安全與質量保障能力進行評估。
産品範圍:基于(yú)圖像識别、近場通信、集成電路卡、磁條等技術,支持支付交易數據讀取與處理,具備信息加密保護功能的(de)商戶端專用機具。
認證依據:《JR/T 0001 銀行卡銷售點(POS)終端技術規範》、《JR/T 0120.1 銀行卡受理終端安全規範 第1部分 銷售點(POS)終端》、《JR/T 0120.5 銀行卡受理終端安全規範 第5部分 PIN輸入設備》等。
檢查内容:依據金融行業标準,對支付銷售點(POS)的(de)終端硬件、終端軟件、終端安全、mPOS受理終端安全,以(yǐ)及安全與質量保障能力進行評估。
産品範圍:基于(yú)硬件和(hé / huò)軟件結合的(de)移動終端可信環境(TEE),包括與TEE安全功能應用相關的(de)硬件(SoC平台及相關硬件資源)、固件及相關軟件(可信執行環境操作系統、可信虛拟化層等)和(hé / huò)安全使用指引,不(bù)包括可信應用(TA)、客戶端應用(CA)和(hé / huò)富執行環境(REE)。
認證依據:《JR/T 0156 移動終端支付可信環境技術規範》等。
檢查内容:依據金融行業标準,對移動終端可信執行環境(TEE)的(de)功能(包括CA與TA數據交互功能、數據的(de)存儲、加解密算法實現等方面)、安全(包括硬件層安全、系統軟件層安全、TA安全等方面),以(yǐ)及安全與質量保障能力進行評估。
産品範圍:基于(yú)TEE的(de)實現特定金融應用的(de)可信應用程序。
認證依據:《JR/T 0156 移動終端支付可信環境技術規範》等。
檢查内容:依據金融行業标準,對可信應用程序(TA)的(de)安全(包括安全審計、啓動流程、内存清除、邏輯異常等方面),以(yǐ)及安全與質量保障能力進行評估。
産品範圍:具有條碼展示或識讀等功能,參與條碼支付的(de)商戶端專用機具,包括顯碼設備和(hé / huò)掃碼設備。其中,顯碼設備是(shì)指具有條碼展示功能的(de)專用設備;掃碼設備是(shì)指識讀條碼并且向後台系統發起支付指令的(de)專用設備,包括但不(bù)限于(yú)帶掃碼裝置的(de)收銀機、POS終端、自助終端等。
認證依據:《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242号)、《條碼支付受理終端技術規範(試行)》(銀辦發〔2017〕242号)、《T/PCAC 0005 條碼支付受理終端檢測規範》等。
檢查内容:依據金融行業标準,對條碼支付受理終端的(de)顯碼設備技術、掃碼設備技術、邏輯安全、交易安全、适應性技術、可靠性技術,以(yǐ)及安全與質量保障能力進行評估。
産品範圍:提供聲紋識别服務的(de)服務器端系統(可包含移動終端客戶端可執行文件或組件等)。
認證依據:《JR/T 0164移動金融基于(yú)聲紋識别的(de)安全應用技術規範》等。
檢查内容:依據金融行業标準,對聲紋識别系統的(de)客戶端、服務端的(de)功能、安全、性能,以(yǐ)及安全保障能力進行評估。
産品範圍:雲計算平台包括金融業各機構自建、自用、自運行的(de)私有雲和(hé / huò)供金融業各機構共享使用的(de)團體雲。
認證依據:《JR/T 0166 雲計算技術金融應用規範 技術架構》、《JR/T 0167 雲計算技術金融應用規範 安全技術要(yào / yāo)求》、《JR/T 0168 雲計算技術金融應用規範 容災》等。
檢查内容:依據金融行業标準,對雲計算平台的(de)技術架構、安全技術要(yào / yāo)求、容災進行評估。
産品範圍:基于(yú)密碼算法、共識機制、點對點通訊協議、分布式存儲等多種核心技術體系高度融合形成的(de)一(yī / yì /yí)種分布式基礎架構與計算方式的(de)技術産品。
認證依據:《JR/T 0184 金融分布式賬本技術安全規範》、《JR/T 0193 區塊鏈技術金融應用 評估規則》、《JR/T 0171 個(gè)人(rén)金融信息保護技術規範》等。
檢查内容:依據金融行業标準,對區塊鏈技術産品的(de)基本要(yào / yāo)求(包括賬本技術、共識協議、智能合約等)、性能(包括交易吞吐率、查詢吞吐率、交易同步等)、安全(包括基礎硬件、基礎軟件、密碼算法等)、個(gè)人(rén)信息保護進行評估。
産品範圍:一(yī / yì /yí)組商業銀行預先定義好的(de)技術連接接口産品,開發者可通過該接口産品(或産品組合)便捷的(de)訪問相關服務,而(ér)無需關注服務的(de)設計與實現。
認證依據:《JR/T 0185 商業銀行應用程序接口安全管理規範》、《T/PCAC 0008 商業銀行應用程序接口安全管理檢測規範》等。
檢查内容:依據金融行業标準,對商業銀行應用程序接口的(de)安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理進行評估。
産品範圍:基于(yú)多方數據協同完成計算目标,實現除計算結果及其可推導出(chū)的(de)信息之(zhī)外不(bù)洩漏各方隐私數據的(de)技術産品。
認證依據:《JR/T 0196 多方安全計算金融應用技術規範》、《T/PCAC 0009 多方安全計算金融應用評估規範》等。
檢查内容:依據金融行業标準,對多方安全計算金融應用的(de)技術(包括參與方與工作時(shí)序、數據輸入、算法輸入、協同計算等方面)、安全(包括協議安全、隐私數據安全、認證授權密碼安全等方面)、性能(包括資金實時(shí)類計算性能、非資金實時(shí)類計算性能浮點數等方面),以(yǐ)及安全與質量保障能力進行評估。
上(shàng)一(yī / yì /yí)篇: 暫無上(shàng)一(yī / yì /yí)篇
下一(yī / yì /yí)篇: 金融服務認證
姓名*
單位*
電話*
郵箱
留言
驗證碼
