2019年10月�����,為貫徹國務(wù)院《關(guān)于加強(qiáng)質(zhì)量認(rèn)證體系建設(shè)促進(jìn)全面質(zhì)量管理的意見》(國發(fā)〔2018〕3 號)精神,中國人民銀行�、國家市場監(jiān)督管理總局聯(lián)合發(fā)布公告�,將金融科技產(chǎn)品納入國家統(tǒng)一推行的認(rèn)證體系�,并確定了《金融科技產(chǎn)品認(rèn)證目錄(第一批)》。2022年1月,在第一批認(rèn)證目錄的基礎(chǔ)上�,人民銀行�、市場監(jiān)管總局發(fā)布《金融科技產(chǎn)品認(rèn)證目錄(第二批)》��。
金融科技產(chǎn)品認(rèn)證目錄前兩批共包含14個(gè)產(chǎn)品種類�����,均為認(rèn)證中心受理業(yè)務(wù),產(chǎn)品范圍、認(rèn)證依據(jù)及檢查內(nèi)容如下�����。
客戶端軟件
產(chǎn)品范圍:支持支付業(yè)務(wù)(包括處理訂單)的移動終端客戶端軟件�,包括:移動終端客戶端程序、支付控件、軟件開發(fā)工具包(SDK)等���。
認(rèn)證依據(jù):《JR/T 0092 移動金融客戶端應(yīng)用軟件安全管理規(guī)范》、《JR/T 0098.3 中國金融移動支付 檢測規(guī)范 第3部分:客戶端軟件》、《JR/T 0171 個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等����。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對客戶端軟件的安全防護(hù)�、條碼支付客戶端安全、條碼支付客戶端交易安全、條碼支付客戶端兼容性、個(gè)人信息收集使用�、開發(fā)管理進(jìn)行評估����。
安全芯片
產(chǎn)品范圍:支持移動支付業(yè)務(wù)開展的安全芯片,是指構(gòu)成金融行業(yè)安全載體的具有中央處理器的集成電路芯片��。
認(rèn)證依據(jù):《JR/T 0089.1 中國金融移動支付 安全單元 第1部分:通用技術(shù)要求》���、《JR/T 0089.2 中國金融移動支付 安全單元 第2部分:多應(yīng)用管理規(guī)范》��、《JR/T 0098.2 中國金融移動支付 檢測規(guī)范 第2部分:安全芯片》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)����,對安全芯片的安全功能�����、抗攻擊能力,以及安全及質(zhì)量保證能力進(jìn)行評估��。
安全載體
產(chǎn)品范圍:支持移動支付業(yè)務(wù)開展的基于安全芯片運(yùn)行的安全單元以及承載安全單元的介質(zhì)�����,例如SIM卡�����、SD卡���、eSE�����、inSE等�。
認(rèn)證依據(jù):《JR/T 0089.1 中國金融移動支付 安全單元 第1部分:通用技術(shù)要求》、《JR/T 0089.2 中國金融移動支付 安全單元 第2部分:多應(yīng)用管理規(guī)范》���、《JR/T 0098.5 中國金融移動支付 檢測規(guī)范 第5部分:安全單元(SE)嵌入式軟件安全》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�,對安全載體的物理特性��、電氣特性和通信協(xié)議、嵌入式系統(tǒng)軟件功能�、嵌入式系統(tǒng)軟件安全����,以及安全及質(zhì)量保證能力進(jìn)行評估����。
嵌入式應(yīng)用軟件
產(chǎn)品范圍:支持移動支付業(yè)務(wù)開展的,運(yùn)行于安全單元(SE)內(nèi)嵌入式系統(tǒng)軟件之上的嵌入式應(yīng)用軟件�。
認(rèn)證依據(jù):《JR/T 0095 中國金融移動支付 應(yīng)用安全規(guī)范》�、《JR/T 0098.5 中國金融移動支付 檢測規(guī)范 第5部分:安全單元(SE)嵌入式軟件安全》等�����。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對嵌入式應(yīng)用軟件的交易功能、性能��、安全性���,以及安全及質(zhì)量保證能力進(jìn)行評估�。
銀行卡自動柜員機(jī)(ATM)終端
產(chǎn)品范圍:一種組合了多種不同金融業(yè)務(wù)功能的自助服務(wù)設(shè)備,持卡人可利用該設(shè)備所提供的功能完成存款����、取款等金融服務(wù)。
認(rèn)證依據(jù):《JR/T 0002 銀行卡自動柜員機(jī)(ATM)終端技術(shù)規(guī)范》����、《JR/T 0120.3 銀行卡受理終端安全規(guī)范 第3部分 自助終端》��、《JR/T 0120.5 銀行卡受理終端安全規(guī)范 第5部分 PIN輸入設(shè)備》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)����,對銀行卡自動柜員機(jī)(ATM)的終端硬件��、終端軟件、終端安全,以及安全與質(zhì)量保障能力進(jìn)行評估。
支付銷售點(diǎn)(POS)終端
產(chǎn)品范圍:基于圖像識別��、近場通信�����、集成電路卡����、磁條等技術(shù)���,支持支付交易數(shù)據(jù)讀取與處理�����,具備信息加密保護(hù)功能的商戶端專用機(jī)具��。
認(rèn)證依據(jù):《JR/T 0001 銀行卡銷售點(diǎn)(POS)終端技術(shù)規(guī)范》、《JR/T 0120.1 銀行卡受理終端安全規(guī)范 第1部分 銷售點(diǎn)(POS)終端》�、《JR/T 0120.5 銀行卡受理終端安全規(guī)范 第5部分 PIN輸入設(shè)備》等����。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對支付銷售點(diǎn)(POS)的終端硬件����、終端軟件��、終端安全��、mPOS受理終端安全,以及安全與質(zhì)量保障能力進(jìn)行評估。
移動終端可信執(zhí)行環(huán)境(TEE)
產(chǎn)品范圍:基于硬件和軟件結(jié)合的移動終端可信環(huán)境(TEE),包括與TEE安全功能應(yīng)用相關(guān)的硬件(SoC平臺及相關(guān)硬件資源)��、固件及相關(guān)軟件(可信執(zhí)行環(huán)境操作系統(tǒng)����、可信虛擬化層等)和安全使用指引,不包括可信應(yīng)用(TA)、客戶端應(yīng)用(CA)和富執(zhí)行環(huán)境(REE)���。
認(rèn)證依據(jù):《JR/T 0156 移動終端支付可信環(huán)境技術(shù)規(guī)范》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)����,對移動終端可信執(zhí)行環(huán)境(TEE)的功能(包括CA與TA數(shù)據(jù)交互功能�����、數(shù)據(jù)的存儲、加解密算法實(shí)現(xiàn)等方面)、安全(包括硬件層安全��、系統(tǒng)軟件層安全��、TA安全等方面)�,以及安全與質(zhì)量保障能力進(jìn)行評估����。
可信應(yīng)用程序(TA)
產(chǎn)品范圍:基于TEE的實(shí)現(xiàn)特定金融應(yīng)用的可信應(yīng)用程序���。
認(rèn)證依據(jù):《JR/T 0156 移動終端支付可信環(huán)境技術(shù)規(guī)范》等��。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)���,對可信應(yīng)用程序(TA)的安全(包括安全審計(jì)��、啟動流程、內(nèi)存清除����、邏輯異常等方面),以及安全與質(zhì)量保障能力進(jìn)行評估��。
條碼支付受理終端(含顯碼設(shè)備、掃碼設(shè)備)
產(chǎn)品范圍:具有條碼展示或識讀等功能��,參與條碼支付的商戶端專用機(jī)具�����,包括顯碼設(shè)備和掃碼設(shè)備���。其中�,顯碼設(shè)備是指具有條碼展示功能的專用設(shè)備�;掃碼設(shè)備是指識讀條碼并且向后臺系統(tǒng)發(fā)起支付指令的專用設(shè)備,包括但不限于帶掃碼裝置的收銀機(jī)����、POS終端��、自助終端等。
認(rèn)證依據(jù):《條碼支付安全技術(shù)規(guī)范(試行)》(銀辦發(fā)〔2017〕242號)�、《條碼支付受理終端技術(shù)規(guī)范(試行)》(銀辦發(fā)〔2017〕242號)����、《T/PCAC 0005 條碼支付受理終端檢測規(guī)范》等��。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn),對條碼支付受理終端的顯碼設(shè)備技術(shù)���、掃碼設(shè)備技術(shù)、邏輯安全、交易安全、適應(yīng)性技術(shù)�、可靠性技術(shù)�����,以及安全與質(zhì)量保障能力進(jìn)行評估��。
聲紋識別系統(tǒng)
產(chǎn)品范圍:提供聲紋識別服務(wù)的服務(wù)器端系統(tǒng)(可包含移動終端客戶端可執(zhí)行文件或組件等)。
認(rèn)證依據(jù):《JR/T 0164移動金融基于聲紋識別的安全應(yīng)用技術(shù)規(guī)范》等�。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)��,對聲紋識別系統(tǒng)的客戶端、服務(wù)端的功能�����、安全�����、性能��,以及安全保障能力進(jìn)行評估。
云計(jì)算平臺
產(chǎn)品范圍:云計(jì)算平臺包括金融業(yè)各機(jī)構(gòu)自建���、自用、自運(yùn)行的私有云和供金融業(yè)各機(jī)構(gòu)共享使用的團(tuán)體云����。
認(rèn)證依據(jù):《JR/T 0166 云計(jì)算技術(shù)金融應(yīng)用規(guī)范 技術(shù)架構(gòu)》��、《JR/T 0167 云計(jì)算技術(shù)金融應(yīng)用規(guī)范 安全技術(shù)要求》���、《JR/T 0168 云計(jì)算技術(shù)金融應(yīng)用規(guī)范 容災(zāi)》等��。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�,對云計(jì)算平臺的技術(shù)架構(gòu)�����、安全技術(shù)要求�����、容災(zāi)進(jìn)行評估。
區(qū)塊鏈技術(shù)產(chǎn)品
產(chǎn)品范圍:基于密碼算法���、共識機(jī)制、點(diǎn)對點(diǎn)通訊協(xié)議����、分布式存儲等多種核心技術(shù)體系高度融合形成的一種分布式基礎(chǔ)架構(gòu)與計(jì)算方式的技術(shù)產(chǎn)品�����。
認(rèn)證依據(jù):《JR/T 0184 金融分布式賬本技術(shù)安全規(guī)范》、《JR/T 0193 區(qū)塊鏈技術(shù)金融應(yīng)用 評估規(guī)則》、《JR/T 0171 個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等��。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對區(qū)塊鏈技術(shù)產(chǎn)品的基本要求(包括賬本技術(shù)����、共識協(xié)議�����、智能合約等)、性能(包括交易吞吐率��、查詢吞吐率�����、交易同步等)�����、安全(包括基礎(chǔ)硬件��、基礎(chǔ)軟件、密碼算法等)、個(gè)人信息保護(hù)進(jìn)行評估。
商業(yè)銀行應(yīng)用程序接口
產(chǎn)品范圍:一組商業(yè)銀行預(yù)先定義好的技術(shù)連接接口產(chǎn)品����,開發(fā)者可通過該接口產(chǎn)品(或產(chǎn)品組合)便捷的訪問相關(guān)服務(wù)���,而無需關(guān)注服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)�����。
認(rèn)證依據(jù):《JR/T 0185 商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》、《T/PCAC 0008 商業(yè)銀行應(yīng)用程序接口安全管理檢測規(guī)范》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對商業(yè)銀行應(yīng)用程序接口的安全設(shè)計(jì)�、安全部署、安全集成、安全運(yùn)維��、服務(wù)終止與系統(tǒng)下線�����、安全管理進(jìn)行評估。
多方安全計(jì)算金融應(yīng)用
產(chǎn)品范圍:基于多方數(shù)據(jù)協(xié)同完成計(jì)算目標(biāo)���,實(shí)現(xiàn)除計(jì)算結(jié)果及其可推導(dǎo)出的信息之外不泄漏各方隱私數(shù)據(jù)的技術(shù)產(chǎn)品。
認(rèn)證依據(jù):《JR/T 0196 多方安全計(jì)算金融應(yīng)用技術(shù)規(guī)范》���、《T/PCAC 0009 多方安全計(jì)算金融應(yīng)用評估規(guī)范》等。
檢查內(nèi)容:依據(jù)金融行業(yè)標(biāo)準(zhǔn)�����,對多方安全計(jì)算金融應(yīng)用的技術(shù)(包括參與方與工作時(shí)序��、數(shù)據(jù)輸入���、算法輸入��、協(xié)同計(jì)算等方面)、安全(包括協(xié)議安全�����、隱私數(shù)據(jù)安全�����、認(rèn)證授權(quán)密碼安全等方面)��、性能(包括資金實(shí)時(shí)類計(jì)算性能、非資金實(shí)時(shí)類計(jì)算性能浮點(diǎn)數(shù)等方面)��,以及安全與質(zhì)量保障能力進(jìn)行評估�。
