企业管理咨询|LA劳安认证咨询|CMA认证咨询|CNAS认证咨询|生产许可证证咨询-恩湛咨询
电话/传真:020-38849876
手机:13066329278
QQ:120478621
邮箱:120478621@qq.com
公司地址:上海市青浦区振盈路四维尔时代广场87号502室
本规则适用于金融科技产品,包括以下产品种类:客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机(ATM)终端、支付销售点(POS)终端、移动终端可信执行环境(TEE)、可信应用程序(TA)、条码支付受理终端(含显码设备、扫码设备)、声纹识别系统、云计算平台、区块链技术产品、商业银行应用程序接口和多方安全计算金融应用。
金融科技产品认证依据的标准见下表。
序号 |
产品种类 |
认证依据 |
1 |
客户端软件 |
JR/T 0092 JR/T 0098.3 JR/T 0171 T/PCAC 0006(适用时) T/PCAC 0007 |
2 |
安全芯片 |
JR/T 0089.1 JR/T 0089.2 JR/T 0098.2 |
3 |
安全载体 |
JR/T 0089.1 JR/T 0089.2 JR/T 0098.5 |
4 |
嵌入式应用软件 |
JR/T 0095 JR/T 0098.5 |
5 |
银行卡自动柜员机(ATM)终端 |
JR/T 0002 JR/T 0120.3 JR/T 0120.5 T/PCAC 0004 |
6 |
支付销售点(POS)终端 |
JR/T 0001 JR/T 0120.1 JR/T 0120.5 T/PCAC 0003 |
7 |
移动终端可信执行环境(TEE) |
JR/T 0156 |
8 |
可信应用程序(TA) |
JR/T 0156 |
9 |
条码支付受理终端(含显码设备、扫码设备) |
《条码支付安全技术规范(试行)》(银办发〔2017〕242号) 《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号) T/PCAC 0005 |
10 |
声纹识别系统 |
JR/T 0164 T/PCAC 0010 |
11 |
云计算平台 |
JR/T 0166 JR/T 0167 JR/T 0168 |
12 |
区块链技术产品 |
JR/T 0184 JR/T 0193 JR/T0171 |
13 |
商业银行应用程序接口 |
JR/T 0185 T/PCAC 0008 |
14 |
多方安全计算金融应用 |
JR/T 0196 T/PCAC 0009 |
上述标准原则上应执行最新版本,当需要使用标准的其他版本时,按认监委发布的有关文件要求执行。
3认证模式
金融科技产品认证的基本认证模式为:
型式试验+获证后监督
上述获证后监督是指获证后的跟踪检查、生产现场收取样品检测、市场抽样检测三种方式之一或组合。
认证机构可根据实际情况确定认证委托方所能适用的认证模式。
4认证单元划分
原则上应按产品型号、规格、版本的不同划分认证单元,当以多个型号、规格、版本的产品作为一个认证单元时,认证委托方应提交各型号、规格、版本产品间的差异说明。
5认证委托
认证委托方向认证机构提出金融科技产品认证委托,认证机构对认证委托进行处理,并按照认证细则中的时限要求反馈受理或不予受理的信息。不符合国家法律法规及相关产业政策要求时,认证机构不得受理相关认证委托。
认证机构应根据法律法规、标准及认证实施的需要在认证细则中明确申请资料清单(应至少包括认证申请书、合同或认证委托方/生产者/生产企业的注册证明等)。
认证委托方应按认证细则中申请资料清单的要求提供所需资料。认证机构负责审核、管理、保存、保密有关资料,并将资料审核结果告知认证委托方。
认证机构按照本规则及认证细则的要求,确定认证实施的具体方案并告知认证委托方。
认证机构应在认证细则中明确认证产品抽样/送样的相关要求。通常,型式试验的样品由认证委托方按认证机构的要求选送代表性样品;必要时,认证机构也可采取现场抽样/封样方式获得样品。
认证委托方应保证其所提供的样品与实际生产产品一致。检测机构对样品真实性有疑议时,应向认证机构说明,认证机构应作出相应处理。
型式试验应在签约的检测机构完成。检测机构对样品进行型式试验,对检测全过程作出完整记录并归档留存,并应在认证周期内留存样品或关键件,保证检测结果可追溯和可复现。
认证机构应规定统一的型式试验报告格式。型式试验结束后,检测机构应及时向认证机构和认证委托方出具型式试验报告。认证委托方应确保在获证后监督时能够向认证机构提供完整有效的型式试验报告。必要时,认证机构可委托签约的检测机构进行补充检测。
认证机构依照认证规则及认证细则,对申请材料及型式试验报告的符合性进行审查,获取样品是否符合认证依据的证据。
根据申请认证产品的具体情况,认证机构确定是否需要进行现场检查。认证机构进行现场检查的内容包括认证委托方/生产企业的安全保证能力、质量保证能力、产品一致性检查和文件审查问题等方面的核查。
认证机构对文件审查、现场检查和型式试验结果进行综合评价,作出认证决定,对符合认证要求的,颁发认证证书。
认证决定过程中如发现不符合认证要求项,允许认证委托方限期(通常情况下不超过3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,对符合认证要求的,颁发认证证书;对仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
认证机构应对认证各环节的时限作出明确规定,并确保相关工作按时限完成。检测机构、认证委托方均应对认证活动予以积极配合。
为保证产品持续符合标准要求,在认证有效期内,认证机构持续进行获证后监督审查。获证方如出现以下情形之一,认证机构可视情增加证后监督审查的频次:
(1)获证产品出现严重质量问题,或者用户提出投诉并经查实为获证方责任时;
(2)认证机构有足够理由,对获证产品与本规则中规定的标准要求的符合性提出质疑时;
(3)有足够信息表明获证方因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
获证后监督可采用现场审查或文件审查的方式。认证机构也可采取事先不通知的方式对获证方实施监督,必要时可委托检测机构对产品进行抽样和补充检测。需要进行抽样检测时,抽样检测的样品应在获证方的产品中(包括生产线、仓库、市场)随机抽取。型式试验的检测项均可以作为监督时的检测项,认证机构可根据具体情况进行部分或全部的检测。
对于获证后监督审查合格的获证方,认证机构应作出保持其认证资格的决定;
对于获证后监督审查不合格的获证方,允许其限期(通常情况下不超过3个月)采取措施进行纠正,如逾期仍未纠正,应撤销其认证资格。
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督确保认证证书的有效性。期满后进行监督审查,合格即可续期。
产品获证后,如果在认证细则中定义的产品关键件或其他事项发生变更,认证委托方应向认证机构提出变更申请,认证机构根据具体情况开展相应的变更审查活动。
认证机构应在认证细则中明确认证变更的具体要求,包括认证变更的范围和程序。
认证机构根据变更的内容,对委托方提供的资料进行评价,确定是否可以批准变更,如需进行样品测试或现场检查,应在测试或检查合格后,方可批准变更,换发认证证书。
认证委托方需要扩展已经获得的认证证书覆盖的产品范围时,应向认证机构提出扩展产品的认证委托。
认证机构根据认证委托方提供的扩展产品有关技术资料,核查扩展产品与原认证产品的差异,确认原认证结果对扩展产品的有效性,并针对差异进行补充实验或对生产现场产品进行检查。核查通过的,由认证机构根据认证委托方的要求单独颁发或换发认证证书。
原则上,应以最初进行全项型式试验的代表性型号样品作为扩展评价的基础。
认证证书的注销、暂停和撤销依据认证机构的有关规定执行。认证机构应确定不符合认证要求的产品类别和范围,并采取适当方式对外公告被注销、暂停、撤销的产品认证证书。
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证,宣传认证结果时不应损害认证机构的声誉。
认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证方应妥善保管证书,以免丢失、损坏。如发生证书丢失、损坏,获证方可申请补发。
获证方应建立认证证书使用和管理制度,对认证证书的使用情况如实记录存档。
金融科技产品认证实行统一的认证标志管理,标志的图案如下图。
标志的样式和使用应符合《金融科技产品认证标志管理要求》(见附)。
认证机构对其做出的认证结论负责。
检验检测机构对检测结果和检测报告负责。
认证机构及其所委派的现场检查员对现场检查结论负责。
认证委托方对其所提交的委托资料及样品的真实性、合法性负责。
认证机构应依据本规则的原则和要求,制定科学、合理、可操作的认证细则。认证细则应向认监委备案后,对外公布实施。认证细则应至少包括以下内容:
(1)认证流程及时限要求;
(2)认证单元划分的细则及相关要求;
(3)认证委托申请资料及相关要求;
(4)现场审查内容;
(5)样品备案要求;
(6)认证变更的要求;
(7)产品关键件。
附
金融科技产品认证标志管理要求
一、标志样式
(一)金融科技产品认证标志的式样由基本图案和认证机构名称缩写组成,见下图。
金融科技产品认证英文名称是 Certification of FinTech Product,基本图案为CFP变化构成的图形。基本图案正下方的文字信息为认证机构名称缩写,可为中文或英文,位置相对上方基本图案居中对齐。
(二)认证标志的颜色为白色底版,基本图案为红色(CMYK 0/100/100/0,Pantone 1795C/U),认证机构名称缩写颜色与基本图案相同或为黑色(CMYK 0/60/0/100,Pantone Process Black)。在背景色与标识冲突时,底版和基本图案颜色可根据产品外观总体设计情况适当调整,但应确保认证标志清晰可辨。
(三)认证标志的尺寸应成线性比例放大或缩小,放大或缩小后的标志应清晰可辨,标志必须完整,不得将其变形使用。
二、标志使用要求
(一)标志的制作
认证标志的制作、发放由签发证书的认证机构(以下简称发证机构)承担;或由获证企业或其代理人制定设计、制作方案,向发证机构提出申请,按发证机构要求提交相关文件资料,经发证机构审核后自行制作。
(二)标志的使用
1.认证标志应加施在铭牌或产品外体的明显位置上;获证产品本体上不能加施认证标志的,其认证标志必须加施在最小的产品外包装上及随附文件中。
2.获证产品的外包装上可以加施认证标志。
3.获证企业应建立认证标志使用管理制度,对认证标志的使用情况如实记录和存档。
4.应符合认证标志有关法规和规定的相关要求。
(三)监督管理与罚则
按认证标志有关法规和规定执行。