1、《金融科技产品认证》发文背景
为贯彻国务院《关于加强质量认证体系建设促进全面质量管理的意见》(国发〔2018〕3号)精神,落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》(国认证联〔2017〕91号)和《关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号)要求,更好满足金融行业发展与监管需要,市场监管总局、人民银行决定将支付技术产品认证扩展为金融科技产品认证
2、原文要求及解读
市场监管总局、人民银行近日发布文件《金融科技产品认证目录(第一批)》
(一)内容:明确了“金融科技产品”的定义,并将客户端软件、安全芯片、安全载体、嵌入式应用软件、ATM机、POS机、移动终端可信环境、可信应用程序、扫码支付、声纹识别、云计算平台11类产品纳入第一批认证目录。
(二)客户端软件面向的对象:支持支付业务(包括处理订单)的移动终端客户端软件,包括移动终端客户端程序、支付控件、软件开发工具包(SDK)等。
(三)客户端软件认证要点:主要参考中国人民银行发布金融行业标准237号文《移动金融客户端应用软件安全管理规范》中三方面工作,提升安全防护能力、加强个人金融信息保护、提高风险监测能力
3、企业是否应该做认证,通过认证对企业的意义
这个问题是个前提,目前从各个办法及规范解读来看,都无强制性要求去做什么事。我个人的观点是应该做认证的
一是把认证做为一个官方的途径和工具来帮助我们到自己的应用和真正的官方标准、技术规范的差距,查缺补漏,不断完善安全体系。(认证不通过会反馈修改建议,3个月整改期限内无限次提交)
二是也能提升我们自己对于这些办法及规范解读能力,再结合行业解决方案提供商的解读,整合在一起将更加精准把握监管意图。
三是为我们之后如果有支付动帐类APP打好前面安全的基础
中国人民银行安全控件下载安装对外:满足监管要求防止金融科技风险发生、树立市场认证的品牌
对内:按照监管标准、技术法规完善自身安全体系建设
4、认证范围包括哪些
认证机构范围:此次认证针对所有受市场监管总局和人民银行监管的银行及非银金融机构
认证应用范围:符合《金融科技产品认证目录(第一批)》中描述的11类金融产品都需要做认证
5、为了通过认证我们自身需要做哪几方面工作
三款APP符合237号文中信息采集类、咨询查询类移动应用,认证要点如下:
(一)提升安全防护能力,安全方面:身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全;管理方面:需求、开发、发布、维护全生命周期管理
(二)加强个人金融信息保护,根据《信息安全技术个人信息安全规范》,构建企业级个人隐私合规体系框架
(三)提高风险监测能力,实现监测预警、攻击阻断、响应溯源、事后总结,建立风险信息共享机制
6、认证的机构是什么,做认证需要准备哪些材料、流程是什么?
认证机构:中金国盛认证中心、中国网络安全审查技术与认证中心
流程:填写申请书及基本信息---认证申请受理---型式试验---文件审查---现场检查---认证结果评价及决定---颁发证书---获证后监督
7、认证什么时候开启,做认证的频率是什么
时间:2020年一季度开启认证工作,认证证书有效期为3年。
在有效期内,通过认证机构的获证后监督确保认证证书的有效性,在遇到大版本变更,涉及流程整体改变,开发框架变化等操作需要重新提交认证。
另外如无以上情况期满后进行监督审查,合格即可续期。
8、目前进展情况
目前来自银行、证券、基金、保险、支付等领域的23家试点机构作为第一批人行点名机构进行金融科技产品认证工作
相关文档
1、《信息安全技术 个人信息安全规范》
2、《金融科技产品认证规则》
3、《移动金融客户端应用软件安全管理规范》
4、《移动金融客户端应用软件安全管理规范》落地建议.pdf
5、《金融科技产品认证目录(第一批)》
6、《人行237监管要求分析及落地最佳实践》
7、《金融行业信息系统信息安全等级保护实施指引》
8、《云计算技术金融应用规范安全技术要求》
9、《云计算技术金融应用规范技术架构》
10、《中国金融移动支付客户端技术规范》
11、《中国金融移动支付检测规范第3部分:客户端软件》
12、《移动金融客户端应用软件安全管理规范》
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论