4月27日,银行卡检测中心在深圳举办“2017年支付系列培训——银行卡终端产品功能与安全专题培训班”,银联相关人士以《银联卡受理终端产品生命周期安全与质量管理指南及实施要求》为主题发表演讲,其中对企业的资质认证备受关注。
在2016年,银联一共抽检了超过1000台POS终端、mPOS和个人支付终端,涉及178款终端型号,基本覆盖市场主要收单机构和主流终端产品。有些终端产品存在不同的安全问题,存在风险问题,严重者取消了20款终端证书。
取消的原因最严重是将安全芯片替换成非安全芯片和安全机制失效,其次是减少或者修改部分安全功能配置,降低了终端安全等级。厂商为了提升使用体验,对POS的修改都可以理解,但前提是确保安全,并且及时告知相关机构。如果改动涉及终端安全,必然会取消终端证书。
也正是在这一严峻安全形势之下,银联在2017年1月份发布了《银联卡受理终端产品生命周期安全与质量管理指南》(以下简称“指南”),对终端产品的设计与生产过程提出管理要求,即日起发布实施。相关要求:
1、 首次申请银联卡受理终端产品认证的企业,在通过材料审核之后,应先通过银联认证办公室组织的现场测评,再进行样品检测;已有产品通过银联认证的企业,应根据本指南进行自查和改进,认证办公室将于2017年5月起陆续组织开展现场测评。
2、 现场测评将由第三方测评机构开展,测评结果以评分方式展现,满分为100分(百分制),首次测评必须达到80分以上,否则认证办公室一年内不再受理该企业的认证申请。第三方测评机构名单以及评分要求将另行通知。
会议详细的介绍了指南的主要内容,其中包括企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应、终端唯一性管理等方面。
在整个指南8个检查内容中,共69个检查点,每个检查点3分,总计207分。其中必过项分值72分,占比35%。百分制,80分里面就有这35分。
必过项内容概要:
企业资质:
- 经营范围与实际认证产品一致、
- 注册资金2000万以上、
- 办公面积300平以上、
- 生产厂1000平以上、
- 有自主注册商标或许可、
- 不少于10件专利。
人员管理:
- 有专职认证管理或安全管理组织,有质量管理、工艺,软硬件研发20名,应用开发技术支持5名,售后5名,以及具体工位定义和职责要求。
环境访问与控制安全:
- 设置三级安全区域;
- 安全设计与开发人员独立区域办公,网络隔离;
- 密钥注入,终端激活工作双重控制管理。
产品生命周期管理:
- 开发过程、产品元器件实施配置管理;
- 对关键件具有认定和测试的具体实施要求;
- 对关键件采购过程实施质量控制的具体要求;
- 密钥注入过程应为双人操作,密钥分量符合知识分割管理要求;
质量审核:
- 有内审以不断改进质量的实施要求和记录;
- 对外协工厂每年至少一次实施质量审核。
安全事件应急响应:明确安全事件分级、定义及相应处理流程与记录。
终端唯一性管理:终端硬件序列号需储存在主机安全区域,只可以读取,不可以擦写。
在厂商资质测评的时间上,银联也有所要求:
- 从2017年1月起,新厂商申请终端认证,必须通过现场测评。
- 从2017年5月起,对已过认证的存量终端厂商陆续开展现场测评。
由于第三方测评机构尚没有公布,目前是由银联直接进行POS厂商现场测评。另外现场测评有一次整改机会,整改之后应达到评分要求(要还是没达到,呵呵,你懂得)。在会议中,银行卡检测中心也表示可以为企业提供咨询和预评估服务,协助提高管理水平。
编后语:银联本次强度如此大,如此严格的POS厂商生产要求,应该是希望产业良性发展,不希望“赚快钱”的企业进入,避免“劣币逐良币”的情况发生。目前,POS市场因为智能POS的火热,而开始有一些曾经拥有安卓终端生产经验的企业转型进入,并且拥有一定的资本注入,指南的推出,一定程度上防止资本注入导致行业的恶性竞争。
展开全文
- 移动支付网 | 2022/8/30 9:55:26
- 移动支付网 | 2022/8/26 15:17:04
- 移动支付网 | 2022/8/25 14:34:32
- 移动支付网 | 2022/8/24 16:32:54
- 移动支付网 | 2022/8/16 17:15:00
- 移动支付网 | 2022/8/4 10:36:51
- 移动支付网 | 2022/7/29 14:16:27
- 移动支付网 | 2022/7/25 17:06:08
- 移动支付网 | 2022/7/4 18:07:12
- 移动支付网 | 2022/7/4 17:13:05
- 移动支付网 | 2020/4/24 8:57:09
- 移动支付网 | 2019/5/29 18:18:41
- 移动支付网 | 2019/1/10 18:55:33
- 移动支付网 | 2018/9/22 18:08:00