为贯彻落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》(国认证联〔〕91号)和《关于加强支付技术产品标准实施与安全管理的通知》(银发〔〕号)要求,中国网络安全审查技术与认证中心依据《市场监管总局人民银行关于发布金融科技产品认证目录(第一批)金融科技产品认证规则的公告》,对目录内的金融科技产品实施认证。
一、适用范围
支持支付业务(包括处理订单)的移动终端客户端软件,包括:移动终端客户端程序、支付控件、软件开发工具包(SDK)等。
二、申请资料
申请基本信息
1.认证申请书
2.认证委托方、生产者(制造商)、生产企业营业执照复印件
3.质量体系相关文件
4.认证委托方关于生产产品与被认证产品的一致性声明
5.被认证产品符合认证依据的适用性声明
技术文档
6.指导性文件(用户手册等)
7.设计开发制度文档
8.发布管理制度文档
9.软件维护管理制度文档
外包管理材料
适用于将产品开发、运维和安全管理等外包给第三方机构的认证委托方,提交纸质或电子版1份,至少包括以下材料:外包合同、外包安全保密协议。
10.外包合同
11.外包安全保密协议
三、检测委托及实施
1、送样原则
依照认证委托方认证单元中确定的软件名称/版本,送该功能/版本的样品,若样品运行在专用移动终端硬件设备环境下时,需提供可运行该样品的所有不同型号的移动终端硬件设备(每型号1部)。
2、送样要求
提供载有可安装运行送检软件的光盘或其它介质。介质和其外包装上应有软件名称、版本号、软件生产单位和联系方式等标识。
若采用专用移动终端硬件设备时,应提供专用移动终端硬件设备清单,清单内容包括:硬件设备型号、硬件配置、不同型号的设备数量、操作系统环境和基本软件配置等。
软件产品的用户文档一份,用户文档包括电子文档,文档内容包括封面、目录、页码等,封面内容包含软件名称、版本号、软件生产单位和联系方式等标识,纸质文档应装订成册。文档至少应包括以下内容:
环境要求:软件运行要求的软件、硬件、网络等最低配置说明等;
(1)软件应用范围和对象的说明软件安装过程指南;
(2)软件操作使用说明;
(3)使用软件的具体操作和步骤,并用例图加以说明等。
(4)检测的样品由认证委托方负责选送,并对选送样品负责。
四、文件审查
1.认证机构在收到检测机构出具的检测报告及相关材料后,安排审查员进行文件审查。文件审查的范围包括所有申请材料及检测报告。
2.文件审查依据金融科技产品相关标准规范、适用的法律法规及其他要求,对认证申请范围内的被认证对象的标准符合性进行审查,获取认证委托方所提供的被认证对象是否符合认证规范的证据。如有与申请认证业务范围相关的投诉记录,应分析对认证要求符合性的影响。
五、现场检查
认证机构依据金融科技产品相关标准规范、适用的法律法规及其他要求,对认证委托方申请范围内的客户端软件的设计开发情况、发布管理情况、更新维护情况及管理文档的落实情况,获取认证委托方持续满足认证要求的证据。
六、认证决定
认证机构对文件审查、型式试验、现场检查的结果进行综合评价,向评价合格方颁发认证证书,并在认证机构网站上予以公告。如认证决定过程中发现不符合认证要求项,允许限期(通常情况下不超过3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。对于不授予认证资格的认证委托方,认证机构应向其以书面形式明示不能获得认证资格的原因。
七、认证的基本环节
认证申请及受理→型式试验→文件审查→现场检查→认证决定→获证后监督
八、证书有效期
认证证书有效期为3年。在有效期内,通过每年对获证产品进行监督,确保认证证书的有效性。证书有效期届满前,认证委托方可向认证机构提出证书续期申请,认证机构对获证机构实施监督审查,合格即可续期。
图片来源于网络,侵删。