4月27日，银行卡检测中心在深圳举办“2017年支付系列培训——银行卡终端产品功能与安全专题培训班”，银联相关人士以《银联卡受理终端产品生命周期安全与质量管理指南及实施要求》为主题发表演讲，其中对企业的资质认证备受关注。

在2016年，银联一共抽检了超过1000台POS终端、mPOS和个人支付终端，涉及178款终端型号，基本覆盖市场主要收单机构和主流终端产品。有些终端产品存在不同的安全问题，存在风险问题，严重者取消了20款终端证书。

取消的原因最严重是将安全芯片替换成非安全芯片和安全机制失效，其次是减少或者修改部分安全功能配置，降低了终端安全等级。厂商为了提升使用体验，对POS的修改都可以理解，但前提是确保安全，并且及时告知相关机构。如果改动涉及终端安全，必然会取消终端证书。

也正是在这一严峻安全形势之下，银联在2017年1月份发布了《银联卡受理终端产品生命周期安全与质量管理指南》(以下简称“指南”)，对终端产品的设计与生产过程提出管理要求，即日起发布实施。相关要求：

    1、 首次申请银联卡受理终端产品认证的企业，在通过材料审核之后，应先通过银联认证办公室组织的现场测评，再进行样品检测;已有产品通过银联认证的企业，应根据本指南进行自查和改进，认证办公室将于2017年5月起陆续组织开展现场测评。

    2、 现场测评将由第三方测评机构开展，测评结果以评分方式展现，满分为100分(百分制)，首次测评必须达到80分以上，否则认证办公室一年内不再受理该企业的认证申请。第三方测评机构名单以及评分要求将另行通知。

会议详细的介绍了指南的主要内容，其中包括企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应、终端唯一性管理等方面。

在整个指南8个检查内容中，共69个检查点，每个检查点3分，总计207分。其中必过项分值72分，占比35%。百分制，80分里面就有这35分。

必过项内容概要：

企业资质：

• 经营范围与实际认证产品一致、
• 注册资金2000万以上、
• 办公面积300平以上、
• 生产厂1000平以上、
• 有自主注册商标或许可、
• 不少于10件专利。

人员管理：

• 有专职认证管理或安全管理组织，有质量管理、工艺，软硬件研发20名，应用开发技术支持5名，售后5名，以及具体工位定义和职责要求。

环境访问与控制安全：

• 设置三级安全区域;
• 安全设计与开发人员独立区域办公，网络隔离;
• 密钥注入，终端激活工作双重控制管理。

产品生命周期管理：

• 开发过程、产品元器件实施配置管理;
• 对关键件具有认定和测试的具体实施要求;
• 对关键件采购过程实施质量控制的具体要求;
• 密钥注入过程应为双人操作，密钥分量符合知识分割管理要求;

质量审核：

• 有内审以不断改进质量的实施要求和记录;
• 对外协工厂每年至少一次实施质量审核。

安全事件应急响应：明确安全事件分级、定义及相应处理流程与记录。

终端唯一性管理：终端硬件序列号需储存在主机安全区域，只可以读取，不可以擦写。

在厂商资质测评的时间上，银联也有所要求：

• 从2017年1月起，新厂商申请终端认证，必须通过现场测评。
• 从2017年5月起，对已过认证的存量终端厂商陆续开展现场测评。

由于第三方测评机构尚没有公布，目前是由银联直接进行POS厂商现场测评。另外现场测评有一次整改机会，整改之后应达到评分要求(要还是没达到，呵呵，你懂得)。在会议中，银行卡检测中心也表示可以为企业提供咨询和预评估服务，协助提高管理水平。

编后语：银联本次强度如此大，如此严格的POS厂商生产要求，应该是希望产业良性发展，不希望“赚快钱”的企业进入，避免“劣币逐良币”的情况发生。目前，POS市场因为智能POS的火热，而开始有一些曾经拥有安卓终端生产经验的企业转型进入，并且拥有一定的资本注入，指南的推出，一定程度上防止资本注入导致行业的恶性竞争。