中金国盛付小康:金融行业认证体系及支付可信环境政策规范
北京移动金融产业联盟 | 2018-08-09 17:30

7月26日,2018第三届支付安全与创新暨严监管下的金融科技创新研讨会(成都)在成都召开,会议解读央行政策、研讨金融科技工作、开展移动金融产业交流。会议由北京移动金融产业联盟和四川省计算机学会主办。中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司,中国人民银行成都分行等机构近200余人参加会议。中金国盛认证主管付小康与会,并做《金融行业认证体系及支付可信环境政策规范》主题演讲。

中金国盛认证主管付小康

付小康介绍了金融行业认证体系及支付可信环境政策规范。付小康表示,认证对于金融领域来说具有积极意义:可以提供商品或服务的质量安全信息,可以指导或引导消费;可以扶优限劣,增强竞争力;是贯彻标准和技术规范的有效手段;也是政府用来规范市场的手段,完善闭环监管机制。随后,付小康介绍了热门的TEE+SE相关标准和认证要求。

2011年,中金国盛认证中心在中国人民银行指导下开展非金融机构支付业务设施技术认证,金融行业认证体系建立运行。随后相继拓展了移动金融技术服务认证、金融密码应用服务认证、金融安全载体个人化生产企业服务能力认证、银行营业网点服务认证、银行卡清算组织业务设施技术认证、金融业信息系统机房动力系统认证等,已覆盖产品、服务和管理体系认证领域。

认证的价值如何体现?认证是拉近服务方和采信方的关系,服务方是产品和服务的提供者,采信方是服务和产品的使用者或者接收者。双方共同作为认证的参与方,服务企业发展、推动标准落地、辅助社会管理,同时聚焦社会关注和节约社会成本。市场化的采信是多方面的,重点是认证要保证专业性和与时俱进,同时还要进一步的深入挖掘各方的自愿性需求,这样来保证整体发展,进一步体现它的价值。

2017年,中国人民银行发布《关于加强支付技术产品标准实施的通知》,其核心主要是四个方面,一是加强支付技术产品标准落地实施,二是健全支付技术风险管理机制,三是夯实支付产业健康发展基础,四是防范因支付技术产品质量缺陷引发的风险向支付领域传导。随着,支付产品形态不断推陈出新,新问题也不断涌现,问题来源主要是使用的产品没有经过标准符合性测试或达不到金融行业要求,甚至是实际使用的产品与送检样品不一致。

那么支付技术产品包括哪些呢?人民银行在文件中对支付性产品进行了定义,如传统的POS机、扫码设备、显码设备、移动终端可信执行环境、ATM、客户端软件等。这些产品原则上应该通过支付产品认证才能对外销售,其移动终端支付可信执行环境在金融行业是一个比较新的概念,由于我们的指纹、人脸等生物特征,正在成为支付环节的一个验证因子,所以人民银行对可信执行环境进行标准化要求。

2017年底,在北京移动金融产业联盟的组织下,《移动终端支付可信环境规范》金融行业标准正式发布。标准规定了移动终端支付领域可信环境的整体框架、可信执行环境、通信安全、数据安全、客户端支付应用等主要内容,适用于开展移动支付相关业务时对移动终端可信环境提出相关技术要求,也适用于移动终端支付可信设计、开发、测试以及相关产品的评价,智能POS终端可参照执行。可信环境是包括REE、TEE、SE。REE和SE具体要求可参考中国金融移动支付技术标准,而TEE要求是新的内容,包括TEE OS以及TA应用涉及的八方面安全目标和相应的测试规范。同时标准为了后续指导金融业务发展,依据REE、TEE、SE不同的组合,创新提出了一个分类分级的安全能力级别。

近年,产业各方在TEE+SE的尝试有目共睹,2012年在人民银行发布了技术标准后华为、苹果、三星等推出手机PAY应用,有机结合TEE+SE+生物识别技术,2017年北京移动金融产业联盟发布《移动终端安全金融盾规范》,并推动落地实施,TEE+SE的方案在金融应用中的趋势还是比较明显的,随着eSE、inSE更广泛在智能手机中部署,满足了当前金融发展要求,提供高安全硬件基础,为敏感信息、账户、数字证书等信息提供安全数字存储。

相关阅读
PC版  |  关于我们  |  联系我们
Copyright © 2011-2018 移动支付网
粤ICP备11061396号-5