附件2编号:CNCA-CPTP-001金融科技产品认证规则2022-1-30 发布2022-1-30 实施国家认证认可监督管理委员会发布7.5 认证证书的使用认证证书可以展示在文件、网站、通过认证的工作场所、 销售场所、广告和宣传资料或广告宣传等商业活动中,但不 得利用认证证书和相关文字、符号,误导公众认为认证证书 覆盖范围外的产品、服务、管理体系获得认证,宣传认证结 果时不应损害认证机构的声誉认证证书不准伪造、涂改、出借、出租、转让、倒卖、 部分出示、部分复印获证方应妥善保管证书,以免丢失、 损坏如发生证书丢失、损坏,获证方可申请补发获证方应建立认证证书使用和管理制度,对认证证书的 使用情况如实记录存档8认证标志金融科技产品认证实行统一的认证标志管理,标志的图 案如下图标志的样式和使用应符合《金融科技产品认证标志管理 要求》(见附)9认证责任认证机构对其做出的认证结论负责检验检测机构对检测结果和检测报告负责认证机构及其所委派的现场检查员对现场检查结论 负责认证委托方对其所提交的委托资料及样品的真实性、合 法性负责10认证细则认证机构应依据本规则的原则和要求,制定科学、合理、 可操作的认证细则。
认证细则应向认监委备案后,对外公布 实施认证细则应至少包括以下内容:(1)认证流程及时限要求;(2)认证单元划分的细则及相关要求;(3)认证委托申请资料及相关要求;(4)现场审查内容;(5)样品备案要求;(6)认证变更的要求;(7)产品关键件金融科技产品认证标志管理要求—、标志样式(一) 金融科技产品认证标志的式样由基本图案和认证机构名称缩写组成,见下图金融科技产品认证英文名称是Certification of FinTech Product,基本图案为CFP变化构成的图形基本图案正下方 的文字信息为认证机构名称缩写,可为中文或英文,位置相 对上方基本图案居中对齐二) 认证标志的颜色为白色底版,基本图案为红色 (CMYK 0/100/100/0, Pantone 1795C/U),认证机构名称缩 写颜色与基本图案相同或为黑色(CMYK 0/60/0/100, Pantone Process Black) o在背景色与标识冲突时,底版和基本图案 颜色可根据产品外观总体设计情况适当调整,但应确保认证 标志清晰可辨三)认证标志的尺寸应成线性比例放大或缩小,放大 或缩小后的标志应清晰可辨,标志必须完整,不得将其变形 使用。
二、标志使用要求(一)标志的制作认证标志的制作、发放由签发证书的认证机构(以下简 称发证机构)承担;或由获证企业或其代理人制定设计、制 作方案,向发证机构提出申请,按发证机构要求提交相关文 件资料,经发证机构审核后自行制作二)标志的使用1 .认证标志应加施在铭牌或产品外体的明显位置上;获 证产品本体上不能加施认证标志的,其认证标志必须加施在 最小的产品外包装上及随附文件中2 .获证产品的外包装上可以加施认证标志3.获证企业应建立认证标志使用管理制度,对认证标志 的使用情况如实记录和存档4 .应符合认证标志有关法规和规定的相关要求三)监督管理与罚则按认证标志有关法规和规定执行1适用范围12认证依据13认证模式24认证单元划分25认证委托35. 1申请与受理35.2申请资料35.3实施安排36认证实施36. 1型式试验36. 1. 1型式试验样品要求36. 1.2型式试验实施46. 1.3型式试验报告46.2文件审查46.3现场检查46.4认证结果评价与决定56.5认证时限56. 6获证后监督56. 6. 1获证后监督频次56. 6.2获证后监督审查的方式和内容66. 6.3获证后监督结果评价67认证证书67. 1认证证书的保持67.2认证证书覆盖产品的变更67.2. 1变更申请和要求77. 2.2变更评价与批准77.3认证证书覆盖产品的扩展77.4认证证书的注销、暂停和撤销77.5认证证书的使用88认证标志89认证责任810认证细则91适用范围本规则适用于金融科技产品,包括以下产品种类:客户 端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自 动柜员机(ATM)终端、支付销售点(POS)终端、移动终 端可信执行环境(TEE)、可信应用程序(TA)、条码支付 受理终端(含显码设备、扫码设备)、声纹识别系统、云计 算平台、区块链技术产品、商业银行应用程序接口和多方安 全计算金融应用。
2认证依据金融科技产品认证依据的标准见下表序号产品种类认证依据1客户端软件JR/T0092JR/T 0098.3JR/T0171T/PCAC 0006 (适用时)T/PCAC 00072安全芯片JR/T 0089.1JR/T 0089.2JR/T 0098.23安全载体JR/T 0089.1JR/T 0089.2JR/T 0098.54嵌入式应用软件JR/T0095JR/T 0098.55银行卡自动柜员机(ATM)终端JR/T 0002JR/T 0120.3JR/T 0120.5T/PCAC 00046支付销售点(POS)终端JR/T0001JR/T 0120.1JR/T 0120.5T/PCAC 00037移动终端可信执行环境(TEE)JR/T01568可信应用程序(TA)JR/T01569条码支付受理终端(含显码设 备、扫码设备)《条码支付安全技术规范(试行)》(银办发〔2017) 242号)《条码支付受理终端技术规范(试 行)》(银办发(2017) 242号) T/PCAC 000510声纹识别系统JR/T0164 T/PCAC 001011云计算平台JR/T0166JR/T0167JR/T016812区块链技术产品JR/T0184JR/T0193JR/T017113商业银行应用程序接口JR/T0185T/PCAC 000814多方安全计算金融应用JR/T0196 T/PCAC 0009上述标准原则上应执行最新版本,当需要使用标准的其 他版本时,按认监委发布的有关文件要求执行。
3认证模式金融科技产品认证的基本认证模式为:型式试验+获证后监督上述获证后监督是指获证后的跟踪检查、生产现场收取 样品检测、市场抽样检测三种方式之一或组合认证机构可根据实际情况确定认证委托方所能适用的 认证模式4认证单元划分原则上应按产品型号、规格、版本的不同划分认证单元, 当以多个型号、规格、版本的产品作为一个认证单元时,认 证委托方应提交各型号、规格、版本产品间的差异说明5认证委托5.1申请与受理认证委托方向认证机构提出金融科技产品认证委托,认 证机构对认证委托进行处理,并按照认证细则中的时限要求 反馈受理或不予受理的信息不符合国家法律法规及相关产 业政策要求时,认证机构不得受理相关认证委托5.2申请资料认证机构应根据法律法规、标准及认证实施的需要在认 证细则中明确申请资料清单(应至少包括认证申请书、合同 或认证委托方/生产者/生产企业的注册证明等)认证委托方应按认证细则中申请资料清单的要求提供 所需资料认证机构负责审核、管理、保存、保密有关资料, 并将资料审核结果告知认证委托方5.3 实施安排认证机构按照本规则及认证细则的要求,确定认证实施 的具体方案并告知认证委托方6认证实施6.1 型式试验型式试验样品要求认证机构应在认证细则中明确认证产品抽样/送样的相 关要求。
通常,型式试验的样品由认证委托方按认证机构的 要求选送代表性样品;必要时,认证机构也可采取现场抽样 /封样方式获得样品认证委托方应保证其所提供的样品与实际生产产品一 致检测机构对样品真实性有疑议时,应向认证机构说明, 认证机构应作出相应处理型式试验实施型式试验应在签约的检测机构完成检测机构对样品进 行型式试验,对检测全过程作出完整记录并归档留存,并应 在认证周期内留存样品或关键件,保证检测结果可追溯和可 复现型式试验报告认证机构应规定统一的型式试验报告格式型式试验结 束后,检测机构应及时向认证机构和认证委托方出具型式试 验报告认证委托方应确保在获证后监督时能够向认证机构 提供完整有效的型式试验报告必要时,认证机构可委托签 约的检测机构进行补充检测6.2 文件审查认证机构依照认证规则及认证细则,对申请材料及型式 试验报告的符合性进行审查,获取样品是否符合认证依据的 证据6.3 现场检查根据申请认证产品的具体情况,认证机构确定是否需要 进行现场检查认证机构进行现场检查的内容包括认证委托 方/生产企业的安全保证能力、质量保证能力、产品一致性 检查和文件审查问题等方面的核查6.4认证结果评价与决定认证机构对文件审查、现场检查和型式试验结果进行综 合评价,作出认证决定,对符合认证要求的,颁发认证证书。
认证决定过程中如发现不符合认证要求项,允许认证委 托方限期(通常情况下不超过3个月)整改,如期完成整改 后,认证机构采取适当方式对整改结果进行确认,对符合认 证要求的,颁发认证证书;对仍然不符合认证要求的,认证 机构不予批准认证委托,认证终止6.5 认证时限认证机构应对认证各环节的时限作出明确规定,并确保 相关工作按时限完成检测机构、认证委托方均应对认证活 动予以积极配合6.6 获证后监督获证后监督频次为保证产品持续符合标准要求,在认证有效期内,认证 机构持续进行获证后监督审查获证方如出现以下情形之 一,认证机构可视情增加证后监督审查的频次:(1)获证产品出现严重质量问题,或者用户提出投诉 并经查实为获证方责任时;(2)认证机构有足够理由,对获证产品与本规则中规 定的标准要求的符合性提出质疑时;(3)有足够信息表明获证方因组织机构、生产条件、 质量管理体系等发生变更,从而可能影响产品质量时获证后监督审查的方式和内容获证后监督可采用现场审查或文件审查的方式认证机 构也可采取事先不通知的方式对获证方实施监督,必要时可 委托检测机构对产品进行抽样和补充检测需要进行抽样 检测时,抽样检测的样品应在获证方的产品中(包括生产 线、仓库、市场)随机抽取。
型式试验的检测项均可以作 为监督时的检测项,认证机构可根据具体情况进行部分或 全部的检测获证后监督结果评价对于获证后监督审查合格的获证方,认证机构应作出保 持其认证资格的决定;对于获证后监督审查不合格的获证方,允许其限期(通 常情况下不超过3个月)采取措施进行纠正,如逾期仍未纠 正,应撤销其认证资格7认证证书认证证书的保持认证证书有效期为3年在有效期内,通过认证机构的 获证后监督确保认证证书的有效性期满后进行监督审查, 合格即可续期7.1 认证证书覆盖产品的变更产品获证后,如果在认证细则中定义的产品关键件或其 他事项发生变更,认证委托方应向认证机构提出变更申请, 认证机构根据具体情况开展相应的变更审查活动6变更申请和要求认证机构应在认证细则中明确认证变更的具体要求,包 括认证变更的范围和程序变更评价与批准认证机构根据变更的内容,对委托方提供的资料进行评 价,确定是否可以批准变更,如需进行样品测试或现场检查, 应在测试或检查合格后,方可批准变更,换发认证证书 7.3认证证书覆盖产品的。