0月28日,记者从国家市场监管总局获悉,市场监管总局、央行于10月25日对外发布了《金融科技产品认证目录(第一批)》、《金融科技产品认证规则》的公告,公布了11款首批被纳入金融科技产品认证目录的产品和金融科技产品认证的基本认证模式。在分析人士看来,此次是一次全面规范,对把好安全和合规会有进一步提升,对持牌金融机构预留充足创新发展空间。
附件 2编号:CNCA-CFP-001
国家认证认可监督管理委员会发布
目 录
1 适用范围 .- 1 –
2 认证依据…………………………………………………………………………………………………………………..- 1 –
3 认证模式…………………………………………………………………………………………………………………..- 2 –
4 认证单元划分……………………………………………………………………………………………………………- 2 –
5 认证委托…………………………………………………………………………………………………………………..- 2 –
5.1 申请与受理…………………………………………………………………………………………………….- 2 –
5.2 申请资料………………………………………………………………………………………………………..- 3 –
5.3 实施安排………………………………………………………………………………………………………..- 3 –
6 认证实施…………………………………………………………………………………………………………………..- 3 –
6.1 型式试验………………………………………………………………………………………………………..- 3 –
6.1.1 制定型式试验方案……………………………………………………………………………….. – 3 –
6.1.2 型式试验样品要求……………………………………………………………………………….. – 3 –
6.1.3 型式试验实施………………………………………………………………………………………. – 4 –
6.1.4 型式试验报告………………………………………………………………………………………. – 4 –
6.2 文件审查………………………………………………………………………………………………………..- 4 –
6.3 现场检查………………………………………………………………………………………………………..- 4 –
6.4 认证结果评价与决定………………………………………………………………………………………- 5 –
6.5 认证时限………………………………………………………………………………………………………..- 5 –
6.6 获证后监督…………………………………………………………………………………………………….- 5 –
6.6.1 获证后监督频次和方式………………………………………………………………………… – 5 –
6.6.2 获证后监督审查的内容………………………………………………………………………… – 6 –
6.6.3 获证后监督结果评价……………………………………………………………………………. – 6 –
7 认证证书…………………………………………………………………………………………………………………..- 6 –
7.1 认证证书的保持……………………………………………………………………………………………..- 6 –
7.2 认证证书覆盖产品的变更……………………………………………………………………………….- 6 –
7.2.1 变更申请和要求…………………………………………………………………………………… – 7 –
7.2.2 变更评价与批准…………………………………………………………………………………… – 7 –
7.3 认证证书覆盖产品的扩展……………………………………………………………………………….- 7 –
7.4 认证证书的注销、暂停和撤销………………………………………………………………………..- 7 –
7.5 认证证书的使用……………………………………………………………………………………………..- 8 –
8 认证标志…………………………………………………………………………………………………………………..- 8 –
9 认证责任…………………………………………………………………………………………………………………..- 8 –
10 认证细则…………………………………………………………………………………………………………………- 9 –
11 附件………………………………………………………………………………………………………………………- 10 –
1 适用范围
本规则适用于金融科技产品,包括以下产品种类:客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机(ATM)终端、支付销售点(POS)终端、移动终端 可信执行环境(TEE)、可信应用程序(TA)、条码支付受理终端(含显码设备、扫码设备)、声纹识别系统和云计算平台。
2 认证依据
金融科技产品认证依据的标准见下表。
2 认证依据
金融科技产品认证依据的标准见下表。
| 序号 | 产品种类 | 认证依据 |
|
1 |
客户端软件 |
JR/T 0092; JR/T 0098.3; T/PCAC 0006(适用时) |
|
2 |
安全芯片 |
JR/T 0089.1; JR/T 0089.2; JR/T 0098.2 |
|
3 |
安全载体 |
JR/T 0089.1; JR/T 0089.2; JR/T 0098.5 |
|
4 |
嵌入式应用软件 |
JR/T 0095; JR/T 0098.5 |
|
5 |
银行卡自动柜员机(ATM)终端 |
JR/T 0002; JR/T 0120.3; JR/T 0120.5; T/PCAC 0004 |
|
6 |
支付销售点(POS)终端 |
JR/T 0001; JR/T 0120.1; JR/T 0120.5; T/PCAC 0003 |
|
7 |
移动终端可信执行环境 (TEE) |
JR/T 0156 |
| 8 | 可信应用程序(TA) | JR/T 0156 |
|
9 |
条码支付受理终端(含显码设 备、扫码设备) |
《条码支付安全技术规范(试行)》 (银办发〔2017〕242 号); 《条码支付受理终端技术规范(试 |
|
行)》(银办发〔2017〕242 号); T/PCAC 0005 |
||
| 10 | 声纹识别系统 | JR/T 0164 |
|
11 |
云计算平台 |
JR/T 0166; JR/T 0167; JR/T 0168 |
上述标准原则上应执行最新版本,当需要使用标准的其他版本时,按认监委发布的有关文件要求执行。
3 认证模式
金融科技产品认证的基本认证模式为: 型式试验+获证后监督;
上述获证后监督是指获证后的跟踪检查、生产现场抽取样品检测、市场抽样检测三种方式之一或组合。
认证机构可根据实际情况确定认证委托方所能适用的 认证模式。
4 认证单元划分
原则上应按产品型号、规格、版本的不同划分认证单元, 当以多个型号、规格、版本的产品作为一个认证单元时,认证委托方应提交各型号、规格、版本产品间的差异说明。
5 认证委托
5.1 申请与受理
认证委托方向认证机构提出金融科技产品认证委托,认证机构对认证委托进行处理,并按照认证细则中的时限要求反馈受理或不予受理的信息。不符合国家法律法规及相关产业政策要求时,认证机构不得受理相关认证委托。
5.2 申请资料
认证机构应根据法律法规、标准及认证实施的需要在认证细则中明确申请资料清单(应至少包括认证申请书、合同或认证委托方/生产者/生产企业的注册证明等)。
认证委托方应按认证细则中申请资料清单的要求提供 所需资料。认证机构负责审核、管理、保存、保密有关资料, 并将资料审核结果告知认证委托方。
5.3 实施安排
认证机构与认证委托方签署认证合同或协议,约定双方在认证实施各环节中的相关责任和安排。按照本规则及认证细则的要求,确定认证实施的具体方案并告知认证委托方。
6 认证实施
6.1 型式试验
6.1.1 制定型式试验方案
认证机构在进行资料审核后受理认证委托,制定型式试验方案并告知认证委托方。
型式试验方案包括型式试验的全部样品要求和数量、检测标准项目、可选择的检测机构等。
6.1.2 型式试验样品要求
认证机构应在认证细则中明确认证产品抽样/送样的相 关要求。通常,型式试验的样品由认证委托方按认证机构的要求选送代表性样品;必要时,认证机构也可采取现场抽样
/封样方式获得样品。
认证机构应根据法律法规、标准及认证实施的需要在认证细则中明确申请资料清单(应至少包括认证申请书、合同或认证委托方/生产者/生产企业的注册证明等)。
认证委托方应按认证细则中申请资料清单的要求提供 所需资料。认证机构负责审核、管理、保存、保密有关资料, 并将资料审核结果告知认证委托方。
5.3 实施安排
认证机构与认证委托方签署认证合同或协议,约定双方在认证实施各环节中的相关责任和安排。按照本规则及认证细则的要求,确定认证实施的具体方案并告知认证委托方。
6 认证实施
6.1 型式试验
6.1.1 制定型式试验方案
认证机构在进行资料审核后受理认证委托,制定型式试验方案并告知认证委托方。
型式试验方案包括型式试验的全部样品要求和数量、检测标准项目、可选择的检测机构等。
6.1.2 型式试验样品要求
认证机构应在认证细则中明确认证产品抽样/送样的相 关要求。通常,型式试验的样品由认证委托方按认证机构的要求选送代表性样品;必要时,认证机构也可采取现场抽样
/封样方式获得样品。
认证委托方应保证其所提供的样品与实际生产产品一致。检测机构对样品真实性有疑议时,应向认证机构说明, 认证机构应做出相应处理。
6.1.3 型式试验实施
型式试验应在签约的检测机构完成。检测机构对样品进行型式试验,对检测全过程作出完整记录并归档留存,检测机构应在认证周期内留存样品或关键件,保证检测结果可追溯和可复现。
6.1.4 型式试验报告
认证机构应规定统一的型式试验报告格式。型式试验结束后,检测机构应及时向认证机构和认证委托方出具型式试验报告。认证委托方应确保在获证后监督时能够向认证机构提供完整有效的型式试验报告。
6.2 文件审查
认证机构依照认证规则及认证细则,对申请材料及型式试验报告的符合性进行审查,获取样品是否符合认证依据的证据。
6.3 现场检查
根据申请认证产品的具体情况,认证机构确定是否需要进行现场检查。认证机构进行现场检查的内容包括认证委托方/生产企业的安全保证能力、质量保证能力、产品一致性检查和文件审查问题的核查。
6.1.3 型式试验实施
型式试验应在签约的检测机构完成。检测机构对样品进行型式试验,对检测全过程作出完整记录并归档留存,检测机构应在认证周期内留存样品或关键件,保证检测结果可追溯和可复现。
6.1.4 型式试验报告
认证机构应规定统一的型式试验报告格式。型式试验结束后,检测机构应及时向认证机构和认证委托方出具型式试验报告。认证委托方应确保在获证后监督时能够向认证机构提供完整有效的型式试验报告。
6.2 文件审查
认证机构依照认证规则及认证细则,对申请材料及型式试验报告的符合性进行审查,获取样品是否符合认证依据的证据。
6.3 现场检查
根据申请认证产品的具体情况,认证机构确定是否需要进行现场检查。认证机构进行现场检查的内容包括认证委托方/生产企业的安全保证能力、质量保证能力、产品一致性检查和文件审查问题的核查。
6.4 认证结果评价与决定
认证机构对文件审查、现场检查和型式试验结果进行综 合评价,作出认证决定,对符合认证要求的,颁发认证证书。 认证决定过程中如发现不符合认证要求项,允许认证委
托方限期(通常情况下不超过 3 个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,对符合认证要求的,颁发认证证书;对仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
6.5 认证时限
认证机构应对认证各环节的时限作出明确规定,并确保相关工作按时限完成。检测机构、认证委托方均应对认证活动予以积极配合。
6.6 获证后监督
6.6.1 获证后监督频次和方式
为保证产品持续符合标准要求,在认证有效期内,认证机构持续进行获证后监督审查。获证后监督可采用现场审查或文件审查的方式。认证机构可采取事先不通知的方式对获证方实施监督。
获证方如出现以下情形之一,认证机构可视情况增加获证后监督审查的频次:
(1) 获证产品出现严重质量问题,或者用户提出投诉并 经查实为获证方责任时;
(2) 认证机构有足够理由,对获证产品与本规则中规定
认证机构对文件审查、现场检查和型式试验结果进行综 合评价,作出认证决定,对符合认证要求的,颁发认证证书。 认证决定过程中如发现不符合认证要求项,允许认证委
托方限期(通常情况下不超过 3 个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,对符合认证要求的,颁发认证证书;对仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
6.5 认证时限
认证机构应对认证各环节的时限作出明确规定,并确保相关工作按时限完成。检测机构、认证委托方均应对认证活动予以积极配合。
6.6 获证后监督
6.6.1 获证后监督频次和方式
为保证产品持续符合标准要求,在认证有效期内,认证机构持续进行获证后监督审查。获证后监督可采用现场审查或文件审查的方式。认证机构可采取事先不通知的方式对获证方实施监督。
获证方如出现以下情形之一,认证机构可视情况增加获证后监督审查的频次:
(1) 获证产品出现严重质量问题,或者用户提出投诉并 经查实为获证方责任时;
(2) 认证机构有足够理由,对获证产品与本规则中规定
的标准要求的符合性提出质疑时;
(3) 有足够信息表明获证方因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
6.6.2 获证后监督审查的内容
获证后监督可采用现场审查或文件审查的方式,必要时 可委托检测机构对产品进行抽样检测。需要进行抽样检测时, 抽样检测的样品应在获证方的产品中(包括生产线、仓库、市场)随机抽取。型式试验的检测项均可以作为监督时的检 测项,认证机构可根据具体情况进行部分或全部的检测。
6.6.3 获证后监督结果评价
对于获证后监督审查合格的获证方,认证机构应做出保持其认证资格的决定;
对于获证后监督审查不合格的获证方,允许其限期(通常情况下不超过 3 个月)采取措施进行纠正,如逾期仍未纠正,应撤销其认证资格。
7 认证证书
7.1 认证证书的保持
认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督确保认证证书的有效性。期满后进行监督审查, 合格即可续期。
7.2 认证证书覆盖产品的变更
产品获证后,如果在认证细则中定义的产品关键件或其 他事项发生变更时,认证委托方应向认证机构提出变更申请,
(3) 有足够信息表明获证方因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
6.6.2 获证后监督审查的内容
获证后监督可采用现场审查或文件审查的方式,必要时 可委托检测机构对产品进行抽样检测。需要进行抽样检测时, 抽样检测的样品应在获证方的产品中(包括生产线、仓库、市场)随机抽取。型式试验的检测项均可以作为监督时的检 测项,认证机构可根据具体情况进行部分或全部的检测。
6.6.3 获证后监督结果评价
对于获证后监督审查合格的获证方,认证机构应做出保持其认证资格的决定;
对于获证后监督审查不合格的获证方,允许其限期(通常情况下不超过 3 个月)采取措施进行纠正,如逾期仍未纠正,应撤销其认证资格。
7 认证证书
7.1 认证证书的保持
认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督确保认证证书的有效性。期满后进行监督审查, 合格即可续期。
7.2 认证证书覆盖产品的变更
产品获证后,如果在认证细则中定义的产品关键件或其 他事项发生变更时,认证委托方应向认证机构提出变更申请,
认证机构根据具体情况开展相应的变更审查活动。
7.2.1 变更申请和要求
认证机构应在认证细则中明确认证变更的具体要求,包括认证变更的范围和程序。
7.2.2 变更评价与批准
认证机构根据变更的内容,对委托方提供的资料进行评价,确定是否可以批准变更,如需进行样品测试或现场检查, 应在测试或检查合格后,方可批准变更,换发认证证书。
7.3 认证证书覆盖产品的扩展
认证委托方需要扩展已经获得的认证证书覆盖的产品范 围时,应向认证机构提出扩展产品的认证委托。
认证机构根据认证委托方提供的扩展产品有关技术资料, 核查扩展产品与原认证产品的差异,确认原认证结果对扩展 产品的有效性,并针对差异做补充实验或对生产现场产品进 行检查。核查通过的,由认证机构根据认证委托方的要求单 独颁发或换发认证证书。
原则上,应以最初进行全项型式试验的代表性型号样品作为扩展评价的基础。
7.4 认证证书的注销、暂停和撤销
认证证书的注销、暂停和撤销依据认证机构的有关规定执行。认证机构应确定不符合认证要求的产品类别和范围, 并采取适当方式对外公告被注销、暂停、撤销的产品认证证书。
7.2.1 变更申请和要求
认证机构应在认证细则中明确认证变更的具体要求,包括认证变更的范围和程序。
7.2.2 变更评价与批准
认证机构根据变更的内容,对委托方提供的资料进行评价,确定是否可以批准变更,如需进行样品测试或现场检查, 应在测试或检查合格后,方可批准变更,换发认证证书。
7.3 认证证书覆盖产品的扩展
认证委托方需要扩展已经获得的认证证书覆盖的产品范 围时,应向认证机构提出扩展产品的认证委托。
认证机构根据认证委托方提供的扩展产品有关技术资料, 核查扩展产品与原认证产品的差异,确认原认证结果对扩展 产品的有效性,并针对差异做补充实验或对生产现场产品进 行检查。核查通过的,由认证机构根据认证委托方的要求单 独颁发或换发认证证书。
原则上,应以最初进行全项型式试验的代表性型号样品作为扩展评价的基础。
7.4 认证证书的注销、暂停和撤销
认证证书的注销、暂停和撤销依据认证机构的有关规定执行。认证机构应确定不符合认证要求的产品类别和范围, 并采取适当方式对外公告被注销、暂停、撤销的产品认证证书。
7.5 认证证书的使用
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证,宣传认证结果时不应损害认证机构的声誉。
认证证书不准伪造、涂改、出借、出租、转让、倒卖、 部分出示、部分复印。获证方应妥善保管证书,以免丢失、 损坏。如发生证书丢失、损坏的,获证方可申请补发。
获证方应建立认证证书使用和管理制度,对认证证书的使用情况如实记录存档。
8 认证标志
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证,宣传认证结果时不应损害认证机构的声誉。
认证证书不准伪造、涂改、出借、出租、转让、倒卖、 部分出示、部分复印。获证方应妥善保管证书,以免丢失、 损坏。如发生证书丢失、损坏的,获证方可申请补发。
获证方应建立认证证书使用和管理制度,对认证证书的使用情况如实记录存档。
8 认证标志
 |
金融科技产品认证实行统一的认证标志管理,标志的图 案如下图。
标志的样式和使用应符合《金融科技产品认证标志管理 要求》(见附件)。
9 认证责任
认证机构对其作出的认证结论负责。
检测机构对检测结果和检测报告负责。
认证机构及其所委派的现场检查员对现场检查结论负责。认证委托方对其所提交的委托资料及样品的真实性、合
法性负责。
10 认证细则
认证机构应依据本规则的原则和要求,制定科学、合理、可操作的认证细则。认证细则应向认监委备案后,对外公布实施。认证细则应至少包括以下内容:
(1) 认证流程及时限要求;
(2) 认证单元划分的细则及相关要求;
(3) 认证委托申请资料及相关要求;
(4) 现场审查内容;
(5) 样品备案要求;
(6) 认证变更的要求;
(7) 产品关键件。
认证机构及其所委派的现场检查员对现场检查结论负责。认证委托方对其所提交的委托资料及样品的真实性、合
法性负责。
10 认证细则
认证机构应依据本规则的原则和要求,制定科学、合理、可操作的认证细则。认证细则应向认监委备案后,对外公布实施。认证细则应至少包括以下内容:
(1) 认证流程及时限要求;
(2) 认证单元划分的细则及相关要求;
(3) 认证委托申请资料及相关要求;
(4) 现场审查内容;
(5) 样品备案要求;
(6) 认证变更的要求;
(7) 产品关键件。
11 附件
一、标志样式
(一)金融科技产品认证标志的式样由基本图案和认证 机构名称缩写组成,见下图。
金融科技产品认证英文名称是 Certification of FinTech Product,基本图案为 CFP 变化构成的图形。基本图案正下方的文字信息为认证机构名称缩写,可为中文或英文, 位置相对上方基本图案居中对齐。
(二)认证标志的颜色为白色底版,基本图案为红色
(CMYK 0/100/100/0,Pantone 1795C/U),认证机构名称缩写颜色与基本图案相同或为黑色(CMYK 0/60/0/100,Pantone Process Black)。
一、标志样式
(一)金融科技产品认证标志的式样由基本图案和认证 机构名称缩写组成,见下图。
金融科技产品认证英文名称是 Certification of FinTech Product,基本图案为 CFP 变化构成的图形。基本图案正下方的文字信息为认证机构名称缩写,可为中文或英文, 位置相对上方基本图案居中对齐。
(二)认证标志的颜色为白色底版,基本图案为红色
(CMYK 0/100/100/0,Pantone 1795C/U),认证机构名称缩写颜色与基本图案相同或为黑色(CMYK 0/60/0/100,Pantone Process Black)。
(三)认证标志的尺寸应成线性比例放大或缩小,放大或缩小后的标志应清晰可辨,标志必须完整,不得将其变形使用。
二、标志使用要求
(一)标志的制作
认证标志的制作、发放由签发证书的认证机构(以下简称发证机构)承担;或由获证企业或其代理人制定设计、制作方案,向发证机构提出申请,按发证机构要求提交相关文件资料,经发证机构审核后自行制作。
(二)标志的使用
1. 认证标志应加施在铭牌或产品外体的明显位置上;获证产品本体上不能加施认证标志的,其认证标志必须加施在最小的产品外包装上及随附文件中。
2. 获证产品的外包装上可以加施认证标志。
3. 获证企业应建立认证标志使用管理制度,对认证标志的使用情况如实记录和存档。
4. 应符合认证标志有关法规和规定的相关要求。
(三)监督管理与罚则
按认证标志有关法规和规定执行。
