支付业务设施技术安全认证实施规则中金国盛

CFNR-IR-02-01移动金融技术服务认证实施规则移动金融技术服务认证实施规则可信服务管理系统可信服务管理系统V2.02016-12-15 发布 2016-12-15 实施北京中金国盛认证有限公司 发布目目 录录1 1适用范围适用范围 .1 12 2认证依据认证依据 .1 13 3认证模式认证模式 .1 14 4认证的基本环节认证的基本环节 .1 15 5认证实施认证实施 .2 25.1认证程序 .25.2认证申请及受理 .25.2.1申请资料要求.25.2.2受理.45.3检测委托及实施 .45.3.1检测环境.45.3.2检测依据及实施.45.3.3检测报告的提交.55.3.4MTPS 模拟入网测试（适用时） .55.4文件审查 .55.5现场检查 .65.5.1检查内容.65.5.2现场检查时间.65.6审查结论判定 .65.7认证决定 .75.8认证时限 .75.9获证后监督 .85.9.1证后监督频次和方式.85.9.2证后监督审查的内容.95.9.3获证后监督结果评价.95.10再认证 .96 6认证证书认证证书 .10106.1认证证书有效期 .106.2认证证书的使用 .106.3认证证书的管理 .116.3.1变更认证证书.116.3.2暂停认证证书.126.3.3撤销认证证书.136.3.4注销认证证书.137 7认证标志的使用认证标志的使用 .14147.1认证标志的样式 .147.2认证标志的使用 .147.3加施方式 .147.4标志位置 .148 8收费收费 .151501 适用范围适用范围本规则所指的可信服务管理系统（TSM 系统）是指由可信第三方提供安全载体生命周期管理、应用生命周期管理和应用管理等服务的系统。本规则适用的范围：（1）应用提供方 TSM 系统；（2）SE 发行方 TSM 系统。2 认证认证依据依据JR/T 0097-2012 中国金融移动支付 可信服务管理技术规范3 认证模式认证模式检测+文件审查+现场检查+获证后监督4 认证的基本环节认证的基本环节认证基本环节包括：（1）认证申请及受理（2）检测（3）文件审查（4）现场检查（5）认证决定 （6）获证后监督5 认证实施认证实施5.15.1 认证程序认证程序申请方向指定的认证机构申请认证，认证机构对申请材料进行初审，确认合格后向检测机构（由申请方自主从指定检测机构名单中选取）安排检测任务。检测机构应依据相关标准和技术规范进行检测，完成后向认证机构提交检测报告。随后，认证机构针对检测报告及其他技术材料进行文件审查，审查后组织进行现场检查。认证机构对检测、文件审查、现场检查的结果进行综合评价，向评价合格方颁发认证证书。认证机构组织对获证后的系统进行定期的监督。5.25.2 认证申请及受理认证申请及受理5.2.1申请资料要求申请方在申请认证时，应提交的申请材料包括但不限于：（1）申请基本信息（纸质和电子各 1 份，须加盖公章） 认证申请书； 工商营业执照复印件、组织机构代码证复印件； 数据生产中心、备份中心位置及产权归属； 系统软件知识产权归属及运行维护单位； 申请方关于生产系统与被认证系统的一致性声明； 被认证系统符合认证依据的适用性声明。（2）技术文档（电子 1 份） 开发文档：需求说明书、需求分析文档、总体设计方案、数据库设计方案、概要设计方案、详细设计方案、工程实施方案； 用户文档：被认证系统用户手册、操作手册。（3）管理文档（电子 1 份） 测试报告； 系统运维手册； 系统应急手册； 运维管理制度； 安全管理制度； 安全审计报告；（4）外包管理材料（适用于将系统基础设施运维服务、应用系统运维服务和安全管理服务等外包给第三方机构的申请方，提交纸质或电子版 1 份） ，至少包括以下材料： 外包合同； 外包安全保密协议；5.2.2受理认证机构应在接收到认证申请方的申请基本信息相关材料后确定是否受理。5.35.3 检测委托及实施检测委托及实施认证机构应与符合移动金融技术服务认证检测资格要求的检测机构签署移动金融技术服务认证检测认证合作协议书 ，并将检测机构名单进行公布。申请方从认证机构发布的授权检测机构列表中选择检测机构，检测机构与申请方签订检测合同并具体实施检测。检测工作结束后，检测机构根据要求向认证机构提交检测工作材料。5.3.1检测环境检测环境由申请方负责提供，被检测的 TSM 系统应与申请认证的系统版本、环境配置相同。申请方如果有特殊要求，需提供相应的说明及辅助设备。 5.3.2检测依据及实施检测机构应在不迟于检测实施之前 2 个工作日，向认证机构提交移动金融技术服务认证检测项目实施计划安排告知单 。检测机构依据移动金融相关标准规范（详见本文第 2 部分：认证依据） ，对申请方 TSM 系统的标准符合性进行检测。检测机构应在出具检测报告或合同异常终止后，将检测项目合同履行情况按照移动金融技术服务认证检测项目备案登记簿填写，并于当月 25 日前批量向认证机构备案。5.3.3检测报告的提交检测机构应于检测完成后 10 个工作日向认证机构、认证申请方提交检测报告（电子、纸质各一份） 。其他相关资料由申请方和检测机构妥善处置。5.3.4MTPS模拟入网测试（适用时）检测结束后，申请方向中国金融电子化公司申请实施MTPS 模拟入网测试。5.45.4 文件审查文件审查认证机构依据移动金融相关标准规范（详见本文第 2 部分：认证依据，下同） ，对申请方申请范围内的 TSM 系统的申请材料符合性进行审查，获取申请方为申请认证所提供的TSM 系统是否符合移动金融相关标准的证据。文件审查一般为 4 至 8 个人日（因申请材料不符而补充材料的时间不计算在内） 。5.55.5 现场检查现场检查5.5.1检查内容现场审查的内容主要包括但不限于：（1）文件审查或检测中发现的问题；（2）认证依据所要求相关管理制度的执行情况；（3）系统一致性检查（重点核实系统名称及版本号、系统所用的软硬件和网络环境与检测报告所标明的内容是否一致，非认证的系统是否违规使用认证标志） ；（4）系统运行场所；（5）见证现场服务。5.5.2现场检查时间现场检查原则上应在检测完成后进行。现场检查时间、工作量根据被认证对象的规模、文件审查问题的数量及严重程度等因素确定。现场检查通常为 4 至 8 个人日。5.65.6 审查结论判定审查结论判定审查结论分为推荐通过和推荐不通过两种。（1）推荐不通过若审查过程中发现材料不足，或提供的材料不能充分证明其符合性，则认证机构要求检测机构或申请方在一定期限内（通常情况下不超过 3 个月）提供补充材料，如不能提供补充材料或材料不充分，则审查报告审查结果为“推荐不通过” 。若文件审查或现场审查结果证明申请方提供的证据不符合移动金融相关标准的要求，则审查结论判定为“推荐不通过” 。（2）推荐通过若审查结果证明申请方提供的证据符合移动金融相关标准的要求，则审查结论判定为“推荐通过” 。5.75.7 认证认证决定决定认证机构对文件审查、检测、现场检查的结果进行综合评价，向评价合格方颁发认证证书，并在认证机构网站上予以公告。如认证决定过程中发现不符合认证要求项，允许限期（通常情况下不超过 3 个月）整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重新执行认证决定过程。对于不授予认证证书的申请方，认证机构应向其以书面形式明示不能获得认证证书的原因。5.85.8 认证时限认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 90 个工作日内，最长不超过 150 个工作日。各认证环节整改时间及补充材料时间不计算在内。5.95.9 获证后监督获证后监督5.9.1证后监督频次和方式从获证之日起至证书有效期止，每 12 个月为一个监督审查期，进行一次证后监督。证后监督可采用文件审查或现场检查的方式。每次证后监督原则上由认证机构提前 1 个月通知获证机构（必要情况下，认证机构可采取事先不通知的方式对获证机构实施监督） ，要求获证机构向认证机构提交认证申请书及相关材料（皆须盖公章） ，提交的材料包括但不限于：（1）本监督审查期间系统变更情况的声明；（2）本监督审查期间的风险评估报告、安全管理制度；（3）系统当前的需求说明书、需求分析文档、总体方案。认证机构应根据 TSM 系统信息安全的特点以及所承担的认证风险，合理确定证后监督审查的时间间隔和方式。获证机构如出现以下情况之一，认证机构可视情况增加证后监督审查的频次：（1）获证机构出现重大安全事故；（2）获证系统架构变更、重要版本变更；（3）获证系统数据生产中心场地迁移；（4）国家认证认可监督管理部门或行业管理部门要求的情况。5.9.2证后监督审查的内容证后监督审查根据本认证所依据的相关标准的各项要求对以下内容进行审查：（1）系统风险控制能力及安全管理能力审查；（2）在本监督审查期间的系统变更情况的审查，必要时可委托检测机构对系统变更内容进行检测；（3）在本监督审查期间，出现以下变更内容时，应重新对系统进行检测。包括但不限于：a) 出现重大安全事故；b) 系统架构变更、重要版本变更；c) 数据生产中心场地迁移；d) 国家认证认可监督管理部门或行业管理部门要求的情况。证后监督时间、工作量根据被认证对象的规模、遗留问题的数量等因素确定。证后监督通常为 4 至 8 个人日。5.9.3获证后监督结果评价对于证后监督审查合格的获证机构，认证机构应做出保持其认证资格的决定；否则，应暂停、撤销其认证资格。5.105.10 再认证再认证在认证证书有效期满的前 3 个月内，获证机构可申请再认证。再认证程序与初次认证程序相同。6 认证证书认证证书6.16.1认证证书有效期认证证书有效期认证证书有效期为 3 年。在有效期内，通过每年对获证后的系统进行监督，确保认证证书的有效性。6.26.2认证证书的使用认证证书的使用认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中，但不得利用认证证书和相关文字、符号，误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证，宣传认证结果时不应损害认证机构的声誉。认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证机构应妥善保管好证书，以免丢失、损坏。如发生证书丢失、损坏的，获证机构可申请补发。获证机构应建立认证证书、审核报告使用和管理制度，对认证证书的使用情况如实记录存档。6.36.3 认证证书的管理认证证书的管理6.3.1变更认证证书认证证书有效期内，若发生下列情况之一，获证机构应向认证机构提出变更申请，并提交相关材料。认证机构策划并实施适宜的审查活动，并按照要求做出认证决定。审查活动可与证后监督或再认证同时进行。（1）证书持有者变更；（2）扩大或缩小认证范围；（3）获证机构所在地变更；（4）认证所依据标准的改变。如果获证机构需要扩大/缩小认证范围时，应向认证机构同时提交扩大/缩小范围的理由、事实的说明，对扩大/缩小认证范围对其他已获证的认证范围影响的说明，以及扩大的系统服务与已获证系统服务之间的差异性说明。认证机构应按照核查扩大/缩小认证范围与原认证范围的一致性和差异，确认原认证结果对扩展服务的有效性，需要时应针对扩大/缩小认证范围和其对原认证范围的影响进行检测和现场审查，并根据获证机构的要求单独颁发认证证书或换发认证证书。如果认证变更只涉及到注册名称、注册地址的变更，获证机构须递交变更申请，经书面审查批准后，认证机构仅对证书更新并收回原证书。认证所依据标准发生变更时，认证机构应通知相关获证机构，并要求其在规定的时间内申请再认证。6.3.2暂停认证证书获证机构有下列情形之一的，认证机构应当暂停认证证书。（1）未按照规定及时接受证后监督审查或申请再认证；（2）获证机构未按规定使用认证证书和认证标志；（3）监督结果证明获证机构不符合认证要求，但不需要立即撤销认证证书；（4）获证机构未履行与认证机构签署的认证合同中规定的责任和义务，如未按时支付认证费用等；（5）获证机构主动请求暂停；（6）在特定时期国家或行业管理部门有要求予以暂停的；（7）获证机构出现严重问题或获证机构发生重大安全事故。暂停期限一般为 3 个月。在 3 个月内，获证机构可提出恢复证书的申请，认证机构经审查、批准后，方可使用该证书。在认证证书暂停期间，获证机构不得继续使用证书。6.3.3撤销认证证书获证机构有下列情形之一，认证机构应当撤销其认证证书。（1）获证机构出现严重问题，在短期内无法恢复符合性的或获证机构在认证范围内无法满足适用的最新法律法规、认证标准规范的要求，并在短期内无法采取措施或采取措施无效的；（2）获证机构发生重大安全事故，造成客户资金安全受到威胁或损失，造成社会不良影响，或潜在风险短期内无法消除的；（3）获证机构不接受认证机构对其实施的证后监督审查或未申请再认证的；（4）认证证书暂停使用期间，获证机构未采取有效纠正措施；（5）认证证书暂停使用期满，获证机构未申请恢复证书。6.3.4注销认证证书获证机构因为自身原因申请注销认证证书，认证机构应当给予注销。认证证书注销和撤销后，认证机构应收回认证证书，并在认证机构官方网站上予以公告。7 认证标志的使用认证标志的使用7.17.1 认证标志的样式认证标志的样式7.27.2 认证标志的使用认证标志的使用认证标志只能由获证机构在获准认证范围内使用，不得以任何方式转让、转送、出售、借用、冒用。认证标志在使用时，应与获证机构单位名称和系统名称放在一起。在使用标志图案时，应根据认证机构提供的图样按比例放大或缩小，但是不允许变形或变色。7.37.3 加施方式加施方式采用认证机构印制的标准规格标志。7.47.4 标志位置标志位置应在 TSM 系统的使用手册、宣传材料、互联网网站首页等的显著位置，明确该系统已经获得认证机构的认证。8 收费收费收费由认证机构、检测机构按国家有关规定统一收取。