银联发布最新POS厂商资质测评要求,必过项占35%
移动支付网 2017/4/27 17:51:54

4月27日,银行卡检测中心在深圳举办“2017年支付系列培训——银行卡终端产品功能与安全专题培训班”,银联相关人士以《银联卡受理终端产品生命周期安全与质量管理指南及实施要求》为主题发表演讲,其中对企业的资质认证备受关注。

在2016年,银联一共抽检了超过1000台POS终端、mPOS和个人支付终端,涉及178款终端型号,基本覆盖市场主要收单机构和主流终端产品。有些终端产品存在不同的安全问题,存在风险问题,严重者取消了20款终端证书。

取消的原因最严重是将安全芯片替换成非安全芯片和安全机制失效,其次是减少或者修改部分安全功能配置,降低了终端安全等级。厂商为了提升使用体验,对POS的修改都可以理解,但前提是确保安全,并且及时告知相关机构。如果改动涉及终端安全,必然会取消终端证书。

也正是在这一严峻安全形势之下,银联在2017年1月份发布了《银联卡受理终端产品生命周期安全与质量管理指南》(以下简称“指南”),对终端产品的设计与生产过程提出管理要求,即日起发布实施。相关要求:

    1、 首次申请银联卡受理终端产品认证的企业,在通过材料审核之后,应先通过银联认证办公室组织的现场测评,再进行样品检测;已有产品通过银联认证的企业,应根据本指南进行自查和改进,认证办公室将于2017年5月起陆续组织开展现场测评。

    2、 现场测评将由第三方测评机构开展,测评结果以评分方式展现,满分为100分(百分制),首次测评必须达到80分以上,否则认证办公室一年内不再受理该企业的认证申请。第三方测评机构名单以及评分要求将另行通知。

会议详细的介绍了指南的主要内容,其中包括企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应、终端唯一性管理等方面。

在整个指南8个检查内容中,共69个检查点,每个检查点3分,总计207分。其中必过项分值72分,占比35%。百分制,80分里面就有这35分。

必过项内容概要:

企业资质:

  • 经营范围与实际认证产品一致、
  • 注册资金2000万以上、
  • 办公面积300平以上、
  • 生产厂1000平以上、
  • 有自主注册商标或许可、
  • 不少于10件专利。

人员管理:

  • 有专职认证管理或安全管理组织,有质量管理、工艺,软硬件研发20名,应用开发技术支持5名,售后5名,以及具体工位定义和职责要求。

环境访问与控制安全:

  • 设置三级安全区域;
  • 安全设计与开发人员独立区域办公,网络隔离;
  • 密钥注入,终端激活工作双重控制管理。

产品生命周期管理:

  • 开发过程、产品元器件实施配置管理;
  • 对关键件具有认定和测试的具体实施要求;
  • 对关键件采购过程实施质量控制的具体要求;
  • 密钥注入过程应为双人操作,密钥分量符合知识分割管理要求;

质量审核:

  • 有内审以不断改进质量的实施要求和记录;
  • 对外协工厂每年至少一次实施质量审核。

安全事件应急响应:明确安全事件分级、定义及相应处理流程与记录。

终端唯一性管理:终端硬件序列号需储存在主机安全区域,只可以读取,不可以擦写。

在厂商资质测评的时间上,银联也有所要求:

  • 从2017年1月起,新厂商申请终端认证,必须通过现场测评。
  • 从2017年5月起,对已过认证的存量终端厂商陆续开展现场测评。

由于第三方测评机构尚没有公布,目前是由银联直接进行POS厂商现场测评。另外现场测评有一次整改机会,整改之后应达到评分要求(要还是没达到,呵呵,你懂得)。在会议中,银行卡检测中心也表示可以为企业提供咨询和预评估服务,协助提高管理水平。

编后语:银联本次强度如此大,如此严格的POS厂商生产要求,应该是希望产业良性发展,不希望“赚快钱”的企业进入,避免“劣币逐良币”的情况发生。目前,POS市场因为智能POS的火热,而开始有一些曾经拥有安卓终端生产经验的企业转型进入,并且拥有一定的资本注入,指南的推出,一定程度上防止资本注入导致行业的恶性竞争。


展开全文
相关阅读
资讯查询取消