2019年10月,为贯彻国务院《关于加强质量认证体系建设促进全面质量管理的意见》(国发〔2018〕3 号)精神,中国人民银行、国家市场监督管理总局联合发布公告,将金融科技产品纳入国家统一推行的认证体系,并确定了《金融科技产品认证目录(第一批)》。2022年1月,在第一批认证目录的基础上,人民银行、市场监管总局发布《金融科技产品认证目录(第二批)》。
金融科技产品认证目录前两批共包含 14个产品种类,均为认证中心受理业务,产品范围、认证依据及检查内容如下。
产品范围: 支持支付业务(包括处理订单)的移动终端客户端软件,包括:移动终端客户端程序、支付控件、软件开发工具包(SDK)等。
认证依据: 《JR/T 0092 移动金融客户端应用软件安全管理规范》、《JR/T 0098.3 中国金融移动支付 检测规范 第3部分:客户端软件》、《JR/T 0171 个人金融信息保护技术规范》等。
检查内容: 依据金融行业标准,对客户端软件的安全防护、条码支付客户端安全、条码支付客户端交易安全、条码支付客户端兼容性、个人信息收集使用、开发管理进行评估。
产品范围: 支持移动支付业务开展的安全芯片,是指构成金融行业安全载体的具有中央处理器的集成电路芯片。
认证依据: 《JR/T 0089.1 中国金融移动支付 安全单元 第1部分:通用技术要求》、《JR/T 0089.2 中国金融移动支付 安全单元 第2部分:多应用管理规范》、《JR/T 0098.2 中国金融移动支付 检测规范 第2部分:安全芯片》等。
检查内容: 依据金融行业标准,对安全芯片的安全功能、抗攻击能力,以及安全及质量保证能力进行评估。
产品范围: 支持移动支付业务开展的基于安全芯片运行的安全单元以及承载安全单元的介质,例如SIM卡、SD卡、eSE、inSE等。
认证依据: 《JR/T 0089.1 中国金融移动支付 安全单元 第1部分:通用技术要求》、《JR/T 0089.2 中国金融移动支付 安全单元 第2部分:多应用管理规范》、《JR/T 0098.5 中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全》等。
检查内容: 依据金融行业标准,对安全载体的物理特性、电气特性和通信协议、嵌入式系统软件功能、嵌入式系统软件安全,以及安全及质量保证能力进行评估。
产品范围: 支持移动支付业务开展的,运行于安全单元(SE)内嵌入式系统软件之上的嵌入式应用软件。
认证依据: 《JR/T 0095 中国金融移动支付 应用安全规范》、《JR/T 0098.5 中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全》等。
检查内容: 依据金融行业标准,对嵌入式应用软件的交易功能、性能、安全性,以及安全及质量保证能力进行评估。
产品范围: 一种组合了多种不同金融业务功能的自助服务设备,持卡人可利用该设备所提供的功能完成存款、取款等金融服务。
认证依据: 《JR/T 0002 银行卡自动柜员机(ATM)终端技术规范》、《JR/T 0120.3 银行卡受理终端安全规范 第3部分 自助终端》、《JR/T 0120.5 银行卡受理终端安全规范 第5部分 PIN输入设备》等。
检查内容: 依据金融行业标准,对银行卡自动柜员机(ATM)的终端硬件、终端软件、终端安全,以及安全与质量保障能力进行评估。
产品范围: 基于图像识别、近场通信、集成电路卡、磁条等技术,支持支付交易数据读取与处理,具备信息加密保护功能的商户端专用机具。
认证依据: 《JR/T 0001 银行卡销售点(POS)终端技术规范》、《JR/T 0120.1 银行卡受理终端安全规范 第1部分 销售点(POS)终端》、《JR/T 0120.5 银行卡受理终端安全规范 第5部分 PIN输入设备》等。
检查内容: 依据金融行业标准,对支付销售点(POS)的终端硬件、终端软件、终端安全、mPOS受理终端安全,以及安全与质量保障能力进行评估。
产品范围: 基于硬件和软件结合的移动终端可信环境(TEE),包括与TEE安全功能应用相关的硬件(SoC平台及相关硬件资源)、固件及相关软件(可信执行环境操作系统、可信虚拟化层等)和安全使用指引,不包括可信应用(TA)、客户端应用(CA)和富执行环境(REE)。
认证依据: 《JR/T 0156 移动终端支付可信环境技术规范》等。
检查内容: 依据金融行业标准,对移动终端可信执行环境(TEE)的功能(包括CA与TA数据交互功能、数据的存储、加解密算法实现等方面)、安全(包括硬件层安全、系统软件层安全、TA安全等方面),以及安全与质量保障能力进行评估。
产品范围: 基于TEE的实现特定金融应用的可信应用程序。
认证依据: 《JR/T 0156 移动终端支付可信环境技术规范》等。
检查内容: 依据金融行业标准,对可信应用程序(TA)的安全(包括安全审计、启动流程、内存清除、逻辑异常等方面),以及安全与质量保障能力进行评估。
产品范围: 具有条码展示或识读等功能,参与条码支付的商户端专用机具,包括显码设备和扫码设备。其中,显码设备是指具有条码展示功能的专用设备;扫码设备是指识读条码并且向后台系统发起支付指令的专用设备,包括但不限于带扫码装置的收银机、POS终端、自助终端等。
认证依据: 《条码支付安全技术规范(试行)》(银办发〔2017〕242号)、《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号)、《T/PCAC 0005 条码支付受理终端检测规范》等。
检查内容: 依据金融行业标准,对条码支付受理终端的显码设备技术、扫码设备技术、逻辑安全、交易安全、适应性技术、可靠性技术,以及安全与质量保障能力进行评估。
产品范围: 提供声纹识别服务的服务器端系统(可包含移动终端客户端可执行文件或组件等)。
认证依据: 《JR/T 0164移动金融基于声纹识别的安全应用技术规范》等。
检查内容: 依据金融行业标准,对声纹识别系统的客户端、服务端的功能、安全、性能,以及安全保障能力进行评估。
产品范围: 云计算平台包括金融业各机构自建、自用、自运行的私有云和供金融业各机构共享使用的团体云。
认证依据: 《JR/T 0166 云计算技术金融应用规范 技术架构》、《JR/T 0167 云计算技术金融应用规范 安全技术要求》、《JR/T 0168 云计算技术金融应用规范 容灾》等。
检查内容: 依据金融行业标准,对云计算平台的技术架构、安全技术要求、容灾进行评估。
产品范围: 基于密码算法、共识机制、点对点通讯协议、分布式存储等多种核心技术体系高度融合形成的一种分布式基础架构与计算方式的技术产品。
认证依据: 《JR/T 0184 金融分布式账本技术安全规范》、《JR/T 0193 区块链技术金融应用 评估规则》、《JR/T 0171 个人金融信息保护技术规范》等。
检查内容: 依据金融行业标准,对区块链技术产品的基本要求(包括账本技术、共识协议、智能合约等)、性能(包括交易吞吐率、查询吞吐率、交易同步等)、安全(包括基础硬件、基础软件、密码算法等)、个人信息保护进行评估。
产品范围: 一组商业银行预先定义好的技术连接接口产品,开发者可通过该接口产品(或产品组合)便捷的访问相关服务,而无需关注服务的设计与实现。
认证依据: 《JR/T 0185 商业银行应用程序接口安全管理规范》、《T/PCAC 0008 商业银行应用程序接口安全管理检测规范》等。
检查内容: 依据金融行业标准,对商业银行应用程序接口的安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理进行评估。
产品范围: 基于多方数据协同完成计算目标,实现除计算结果及其可推导出的信息之外不泄漏各方隐私数据的技术产品。
认证依据: 《JR/T 0196 多方安全计算金融应用技术规范》、《T/PCAC 0009 多方安全计算金融应用评估规范》等。
检查内容: 依据金融行业标准,对多方安全计算金融应用的技术(包括参与方与工作时序、数据输入、算法输入、协同计算等方面)、安全(包括协议安全、隐私数据安全、认证授权密码安全等方面)、性能(包括资金实时类计算性能、非资金实时类计算性能浮点数等方面),以及安全与质量保障能力进行评估。
姓名*
单位*
电话*
邮箱
留言
验证码
