央行發布首批金融科技産品認證目錄 含支付App等11項

2019-10-30 10:56:14

來源:移動支付網

10月28日下(xià)午消息,國家市場監管總局、中(zhōng)國人民銀行發布《金融科技産品認證目錄(第一(yī)批)》《金融科技産品認證規則》的公告。

第一(yī)批金融科技産品認證目錄包括客戶端軟件、安全芯片、安全載體(tǐ)、嵌入式應用軟件、銀行卡自動櫃員(yuán)機(ATM)終端、支付銷售點(POS)終端、移動終端可信執行環境(TEE)、可信應用程序(TA)、條碼支付受理終端(含顯碼設 備、掃碼設備)、聲紋識别系統、雲計算平台等11個産品總類。

 

以下(xià)爲《金融科技産品認證規則》全文:

 

1 、适用範圍

本規則适用于金融科技産品,包括以下(xià)産品種類:客戶端軟件、安全芯片、安全載體(tǐ)、嵌入式應用軟件、銀行卡自動櫃員(yuán)機(ATM)終端、支付銷售點(POS)終端、移動終端可信執行環境(TEE)、可信應用程序(TA)、條碼支付受理終端(含顯碼設備、掃碼設備)、聲紋識别系統和雲計算平台。

2、 認證依據

金融科技産品認證依據的标準見下(xià)表。

上述标準原則上應執行最新版本,當需要使用标準的其他版本時,按認監委發布的有關文件要求執行。

3 、認證模式

金融科技産品認證的基本認證模式爲:型式試驗+獲證後監督;

上述獲證後監督是指獲證後的跟蹤檢查、生(shēng)産現場抽取樣品檢測、市場抽樣檢測三種方式之一(yī)或組合。

認證機構可根據實際情況确定認證委托方所能适用的認證模式。

 

4 、認證單元劃分(fēn)

原則上應按産品型号、規格、版本的不同劃分(fēn)認證單元,當以多個型号、規格、版本的産品作爲一(yī)個認證單元時,認證委托方應提交各型号、規格、版本産品間的差異說明。

 

5 、認證委托

5.1  申請與受理

認證委托方向認證機構提出金融科技産品認證委托,認證機構對認證委托進行處理,并按照認證細則中(zhōng)的時限要求反饋受理或不予受理的信息。不符合國家法律法規及相關産業政策要求時,認證機構不得受理相關認證委托。

5.2  申請資(zī)料

認證機構應根據法律法規、标準及認證實施的需要在認證細則中(zhōng)明确申請資(zī)料清單(應至少包括認證申請書(shū)、合同或認證委托方/生(shēng)産者/生(shēng)産企業的注冊證明等)。

認證委托方應按認證細則中(zhōng)申請資(zī)料清單的要求提供所需資(zī)料。認證機構負責審核、管理、保存、保密有關資(zī)料,并将資(zī)料審核結果告知(zhī)認證委托方。

5.3  實施安排

認證機構與認證委托方簽署認證合同或協議,約定雙方在認證實施各環節中(zhōng)的相關責任和安排。按照本規則及認證細則的要求,确定認證實施的具體(tǐ)方案并告知(zhī)認證委托方。

6 、認證實施

6.1  型式試驗

6.1.1 制定型式試驗方案

認證機構在進行資(zī)料審核後受理認證委托,制定型式試驗方案并告知(zhī)認證委托方。

型式試驗方案包括型式試驗的全部樣品要求和數量、檢測标準項目、可選擇的檢測機構等。

6.1.2 型式試驗樣品要求

認證機構應在認證細則中(zhōng)明确認證産品抽樣/送樣的相關要求。通常,型式試驗的樣品由認證委托方按認證機構的要求選送代表性樣品;必要時,認證機構也可采取現場抽樣/封樣方式獲得樣品。

認證委托方應保證其所提供的樣品與實際生(shēng)産産品一(yī)緻。檢測機構對樣品真實性有疑議時,應向認證機構說明,認證機構應做出相應處理。

6.1.3 型式試驗實施

型式試驗應在簽約的檢測機構完成。檢測機構對樣品進行型式試驗,對檢測全過程作出完整記錄并歸檔留存,檢測機構應在認證周期内留存樣品或關鍵件,保證檢測結果可追溯和可複現。

6.1.4 型式試驗報告

認證機構應規定統一(yī)的型式試驗報告格式。型式試驗結束後,檢測機構應及時向認證機構和認證委托方出具型式試驗報告。認證委托方應确保在獲證後監督時能夠向認證機構提供完整有效的型式試驗報告。

6.2  文件審查

認證機構依照認證規則及認證細則,對申請材料及型式試驗報告的符合性進行審查,獲取樣品是否符合認證依據的證據。

6.3  現場檢查

根據申請認證産品的具體(tǐ)情況,認證機構确定是否需要進行現場檢查。認證機構進行現場檢查的内容包括認證委托方/生(shēng)産企業的安全保證能力、質量保證能力、産品一(yī)緻性檢查和文件審查問題的核查。

6.4  認證結果評價與決定

認證機構對文件審查、現場檢查和型式試驗結果進行綜合評價,作出認證決定,對符合認證要求的,頒發認證證書(shū)。

認證決定過程中(zhōng)如發現不符合認證要求項,允許認證委托方限期(通常情況下(xià)不超過 3 個月)整改,如期完成整改後,認證機構采取适當方式對整改結果進行确認,對符合認證要求的,頒發認證證書(shū);對仍然不符合認證要求的,認證機構不予批準認證委托,認證終止。

6.5  認證時限

認證機構應對認證各環節的時限作出明确規定,并确保相關工(gōng)作按時限完成。檢測機構、認證委托方均應對認證活動予以積極配合。

6.6  獲證後監督

6.6.1 獲證後監督頻(pín)次和方式

爲保證産品持續符合标準要求,在認證有效期内,認證機構持續進行獲證後監督審查。獲證後監督可采用現場審查或文件審查的方式。認證機構可采取事先不通知(zhī)的方式對獲證方實施監督。

獲證方如出現以下(xià)情形之一(yī),認證機構可視情況增加獲證後監督審查的頻(pín)次:

(1)獲證産品出現嚴重質量問題,或者用戶提出投訴并經查實爲獲證方責任時;

(2)認證機構有足夠理由,對獲證産品與本規則中(zhōng)規定的标準要求的符合性提出質疑時;

(3)有足夠信息表明獲證方因組織機構、生(shēng)産條件、質量管理體(tǐ)系等發生(shēng)變更,從而可能影響産品質量時。

6.6.2 獲證後監督審查的内容

獲證後監督可采用現場審查或文件審查的方式,必要時可委托檢測機構對産品進行抽樣檢測。需要進行抽樣檢測時,抽樣檢測的樣品應在獲證方的産品中(zhōng)(包括生(shēng)産線、倉庫、市場)随機抽取。型式試驗的檢測項均可以作爲監督時的檢測項,認證機構可根據具體(tǐ)情況進行部分(fēn)或全部的檢測。

6.6.3 獲證後監督結果評價

對于獲證後監督審查合格的獲證方,認證機構應做出保持其認證資(zī)格的決定;

對于獲證後監督審查不合格的獲證方,允許其限期(通常情況下(xià)不超過 3 個月)采取措施進行糾正,如逾期仍未糾正,應撤銷其認證資(zī)格。

7 、認證證書(shū)

7.1  認證證書(shū)的保持

認證證書(shū)有效期爲 3 年。在有效期内,通過認證機構的獲證後監督确保認證證書(shū)的有效性。期滿後進行監督審查,合格即可續期。

7.2  認證證書(shū)覆蓋産品的變更

産品獲證後,如果在認證細則中(zhōng)定義的産品關鍵件或其他事項發生(shēng)變更時,認證委托方應向認證機構提出變更申請,認證機構根據具體(tǐ)情況開(kāi)展相應的變更審查活動。

7.2.1 變更申請和要求

認證機構應在認證細則中(zhōng)明确認證變更的具體(tǐ)要求,包括認證變更的範圍和程序。

7.2.2 變更評價與批準

認證機構根據變更的内容,對委托方提供的資(zī)料進行評價,确定是否可以批準變更,如需進行樣品測試或現場檢查,應在測試或檢查合格後,方可批準變更,換發認證證書(shū)。

7.3 認證證書(shū)覆蓋産品的擴展

認證委托方需要擴展已經獲得的認證證書(shū)覆蓋的産品範圍時,應向認證機構提出擴展産品的認證委托。

認證機構根據認證委托方提供的擴展産品有關技術資(zī)料,核查擴展産品與原認證産品的差異,确認原認證結果對擴展産品的有效性,并針對差異做補充實驗或對生(shēng)産現場産品進行檢查。核查通過的,由認證機構根據認證委托方的要求單獨頒發或換發認證證書(shū)。

原則上,應以最初進行全項型式試驗的代表性型号樣品作爲擴展評價的基礎。

7.4  認證證書(shū)的注銷、暫停和撤銷

認證證書(shū)的注銷、暫停和撤銷依據認證機構的有關規定執行。認證機構應确定不符合認證要求的産品類别和範圍,并采取适當方式對外(wài)公告被注銷、暫停、撤銷的産品認證證書(shū)。

7.5  認證證書(shū)的使用

認證證書(shū)可以展示在文件、網站、通過認證的工(gōng)作場所、銷售場所、廣告和宣傳資(zī)料或廣告宣傳等商(shāng)業活動中(zhōng),但不得利用認證證書(shū)和相關文字、符号,誤導公衆認爲認證證書(shū)覆蓋範圍外(wài)的産品、服務、管理體(tǐ)系獲得認證,宣傳認證結果時不應損害認證機構的聲譽。

認證證書(shū)不準僞造、塗改、出借、出租、轉讓、倒賣、部分(fēn)出示、部分(fēn)複印。獲證方應妥善保管證書(shū),以免丢失、損壞。如發生(shēng)證書(shū)丢失、損壞的,獲證方可申請補發。

獲證方應建立認證證書(shū)使用和管理制度,對認證證書(shū)的使用情況如實記錄存檔。

8 、認證标志(zhì)

金融科技産品認證實行統一(yī)的認證标志(zhì)管理,标志(zhì)的圖案如下(xià)圖。

标志(zhì)的樣式和使用應符合《金融科技産品認證标志(zhì)管理要求》(見11附件)。

9 、認證責任

認證機構對其作出的認證結論負責。

檢測機構對檢測結果和檢測報告負責。

認證機構及其所委派的現場檢查員(yuán)對現場檢查結論負責。

認證委托方對其所提交的委托資(zī)料及樣品的真實性、合法性負責。

10 、 認證細則

認證機構應依據本規則的原則和要求,制定科學、合理、可操作的認證細則。認證細則應向認監委備案後,對外(wài)公布實施。認證細則應至少包括以下(xià)内容:

(1)認證流程及時限要求;

(2)認證單元劃分(fēn)的細則及相關要求;

(3)認證委托申請資(zī)料及相關要求;

(4)現場審查内容;

(5)樣品備案要求;

(6)認證變更的要求;

(7)産品關鍵件。

11 、附件

金融科技産品認證标志(zhì)管理要求

一(yī)、标志(zhì)樣式

(一(yī))金融科技産品認證标志(zhì)的式樣由基本圖案和認證機構名稱縮寫組成,見下(xià)圖。

金融科技産品認證英文名稱是 Certification of FinTech Product,基本圖案爲 CFP 變化構成的圖形。基本圖案正下(xià)方的文字信息爲認證機構名稱縮寫,可爲中(zhōng)文或英文,位置相對上方基本圖案居中(zhōng)對齊。

(二)認證标志(zhì)的顔色爲白(bái)色底版,基本圖案爲紅色(CMYK 0/100/100/0,Pantone 1795C/U),認證機構名稱縮寫顔色與基本圖案相同或爲黑色(CMYK 0/60/0/100,Pantone Process Black)。

(三)認證标志(zhì)的尺寸應成線性比例放(fàng)大(dà)或縮小(xiǎo),放(fàng)大(dà)或縮小(xiǎo)後的标志(zhì)應清晰可辨,标志(zhì)必須完整,不得将其變形使用。

二、标志(zhì)使用要求

(一(yī))标志(zhì)的制作

認證标志(zhì)的制作、發放(fàng)由簽發證書(shū)的認證機構(以下(xià)簡稱發證機構)承擔;或由獲證企業或其代理人制定設計、制作方案,向發證機構提出申請,按發證機構要求提交相關文件資(zī)料,經發證機構審核後自行制作。

(二)标志(zhì)的使用

1.認證标志(zhì)應加施在銘牌或産品外(wài)體(tǐ)的明顯位置上;獲證産品本體(tǐ)上不能加施認證标志(zhì)的,其認證标志(zhì)必須加施在最小(xiǎo)的産品外(wài)包裝上及随附文件中(zhōng)。

2.獲證産品的外(wài)包裝上可以加施認證标志(zhì)。

3.獲證企業應建立認證标志(zhì)使用管理制度,對認證标志(zhì)的使用情況如實記錄和存檔。

4.應符合認證标志(zhì)有關法規和規定的相關要求。

(三)監督管理與罰則

按認證标志(zhì)有關法規和規定執行。