中金国盛认证中心聂丽琴:支付受理终端安全认证解析
北京移动金融产业联盟2017/7/11 11:15:31

7月7日,由北京移动金融产业联盟、中国人民银行宁波市中心支行联合承办的“支付安全研讨会”在宁波顺利召开。中金国盛认证中心认证部总经理聂丽琴与会介绍了中金国盛在落实银行卡风险管理和受理终端安全管理的政策要求、研究制定支付受理终端安全认证制度的相关情况。

中金国盛认证中心认证部总经理聂丽琴

聂丽琴认为,人民银行印发《关于强化银行卡磁条交易安全管理的通知》(银办发〔2017〕120号)、《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)文件,系统构建银行卡受理终端安全风险管理体系,主要是针对现有银行卡支付受理终端管理的以下4个方面难点问题:

第一,交易发起的终端难追溯;

第二,终端产品质量难保证;

第三,终端合法身份难验证;

第四,终端违规行为难发现、难禁止。

落实170号文和21号文,中金国盛的主要职责是针对以上4个难点的第二和第三个难点,在人民银行科技司指导下开展了检测规范制修订、支付受理终端认证制度建立、支付受理终端检测认证试点演练等三方面工作,并对其中内容进行了简要。

一是制定修订技术检测规范。在科技司的领导下,召集相关单位,根据21号文和170号文中有关政策要求,以及JR/T0001、JR/T0002,JR/T0120等金融行业技术规范标准要求,以及GB/T18789的要求,制定银行卡销售点POS终端检测规范和ATM终端检测规范。检测规范从物理安全、逻辑安全、联机终端、脱机终端、网络开放协议、集成安全等五个方面全面覆盖了受理终端从硬件到软件,从底层到应用,从内到外的安全要求。

二是建立支付受理终端认证制度。通过确定受理终端产品认证单元、关键件清单、检测内容和方法、安全及质量保障审查内容、一致性检查方案、抽样方案、研发和生产质量及安全管理等;制定了受理终端的认证实施规则、认证审查技术文档和申请受理技术材料要求等近40个制度文件及模板;通过技术交流、标准学习、培训考试等方式对相关检查认证人员进行培训,培养产品认证检查员并通过CCAA的注册。

三是开展检测认证试点演练。中金国盛联合相应的检测机构和相关厂商,选取三款POS和一款ATM进行演练,根据新制定的检测规范,梳理检测方案,编写检测案例,确认检测能力,并按照认证实施规则要求,桌面模拟认证整个流程,最终出具检测报告和评估报告。

聂丽琴表示,经过以上努力后,中金国盛向国家认监委申请并成功备案了该项认证制度,具备了开展认证工作的资质以及能力,做好了开展认证工作的准备,将通过该项认证在支付受理终端的产品质量和终端合法身份验证方面做基础性保障工作,做好支付受理终端产品与支付服务之间的防火墙。


展开全文
相关阅读
资讯查询取消