金融科技产品认证规则.doc

PAGE 10 附件2 编号：CNCA-CPTP-001 金融科技产品认证规则 目 录 TOC \o 1-3 \h \z \u 11127 1 适用范围 1 308 2 认证依据 1 16036 3 认证模式 2 31888 4 认证单元划分 2 2440 5 认证委托 3 21016 5.1 申请与受理 3 7919 5.2 申请资料 3 9735 5.3 实施安排 3 25689 6 认证实施 3 6467 6.1 型式试验 3 10966 6.1.1 型式试验样品要求 3 9558 6.1.2 型式试验实施 4 10138 6.1.3 型式试验报告 4 3378 6.2 文件审查 4 4660 6.3 现场检查 4 12543 6.4 认证结果评价与决定 5 7576 6.5 认证时限 5 17807 6.6 获证后监督 5 27224 6.6.1 获证后监督频次 5 13347 6.6.2 获证后监督审查的方式和内容 6 17342 6.6.3 获证后监督结果评价 6 19879 7 认证证书 6 18091 7.1 认证证书的保持 6 5271 7.2 认证证书覆盖产品的变更 6 18524 7.2.1 变更申请和要求 7 15134 7.2.2 变更评价与批准 7 17554 7.3 认证证书覆盖产品的扩展 7 7994 7.4 认证证书的注销、暂停和撤销 7 5544 7.5 认证证书的使用 8 7393 8 认证标志 8 3734 9 认证责任 8 3717 10 认证细则 9 适用范围 本规则适用于金融科技产品，包括以下产品种类：客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机（ATM）终端、支付销售点（POS）终端、移动终端可信执行环境（TEE）、可信应用程序（TA）、条码支付受理终端（含显码设备、扫码设备）、声纹识别系统、云计算平台、区块链技术产品、商业银行应用程序接口和多方安全计算金融应用。 认证依据 金融科技产品认证依据的标准见下表。 序号 产品种类 认证依据 1 客户端软件 JR/T 0092 JR/T 0098.3 JR/T 0171 T/PCAC 0006（适用时） T/PCAC 0007 2 安全芯片 JR/T 0089.1 JR/T 0089.2 JR/T 0098.2 3 安全载体 JR/T 0089.1 JR/T 0089.2 JR/T 0098.5 4 嵌入式应用软件 JR/T 0095 JR/T 0098.5 5 银行卡自动柜员机（ATM）终端 JR/T 0002 JR/T 0120.3 JR/T 0120.5 T/PCAC 0004 6 支付销售点（POS）终端 JR/T 0001 JR/T 0120.1 JR/T 0120.5 T/PCAC 0003 7 移动终端可信执行环境（TEE） JR/T 0156 8 可信应用程序（TA） JR/T 0156 9 条码支付受理终端（含显码设备、扫码设备） 《条码支付安全技术规范（试行）》（银办发〔2017〕242号） 《条码支付受理终端技术规范（试行）》（银办发〔2017〕242号） T/PCAC 0005 10 声纹识别系统 JR/T 0164 T/PCAC 0010 11 云计算平台 JR/T 0166 JR/T 0167 JR/T 0168 12 区块链技术产品 JR/T 0184 JR/T 0193 JR/T0171 13 商业银行应用程序接口 JR/T 0185 T/PCAC 0008 14 多方安全计算金融应用 JR/T 0196 T/PCAC 0009 上述标准原则上应执行最新版本，当需要使用标准的其他版本时，按认监委发布的有关文件要求执行。 认证模式 金融科技产品认证的基本认证模式为： 型式试验+获证后监督 上述获证后监督是指获证后的跟踪检查、生产现场收取样品检测、市场抽样检测三种方式之一或组合。 认证机构可根据实际情况确定认证委托方所能适用的认证模式。 认证单元划分 原则上应按产品型号、规格、版本的不同划分认证单元，当以多个型号、规格、版本的产品作为一个认证单元时，认证委托方应提交各型号、规格、版本产品间的差异说明。 认证委托 申请与受理 认证委托方向认证机构提出金融科技产品认证委托，认证机构对认证委托进行处理，并按照认证细则中的时限要求反馈受理或不予受理的信息。不符合国家法律法规及相关产业政策要求时，认证机构不得受理相关认证委托。 申请资料 认证机构应根据法律法规、标准及认证实施的需要在认证细则中明确申请资料清单（应至少包括认证申请书、合同或认