CFNR-IR-02-05移动金融技术服务认证实施规则客户端-中金国盛.DOC

CFNR-IR-02-05 移动金融技术服务认证实施规则 客户端软件 V2.0 2016-12-15发布 2016-12-15实施 北京中金国盛认证有限公司 发布 目 录 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证的基本环节 1 5 认证实施 2 5.1 认证程序 2 5.2 认证申请及受理 2 5.2.1 认证的单元划分 2 5.2.2 申请资料要求 2 5.2.3 受理 4 5.3 检测委托及实施 4 5.3.1 检测送样 5 5.3.2 检测实施 6 5.3.3 检测报告的提交 7 5.4 文件审查 7 5.5 现场检查 7 5.6 审查结论判定 8 5.7 认证决定 8 5.8 认证时限 9 5.9 获证后监督 9 5.9.1 证后监督频次和方式 9 5.9.2 证后监督审查的内容 10 5.9.3 获证后监督结果评价 10 5.10 再认证 10 6 认证证书 10 6.1 认证证书有效期 10 6.2 认证证书的使用 11 6.3 认证证书的管理 11 6.3.1 变更认证证书 11 6.3.2 暂停认证证书 12 6.3.3 撤销认证证书 13 6.3.4 注销认证证书 14 7 认证标志的使用 15 7.1 认证标志的样式 15 7.2 认证标志的使用 15 8 收费 15 适用范围 本规则所指的客户端软件是指支持支付业务（包括处理订单）的移动终端客户端软件，包括：移动终端客户端程序、支付控件等。 认证依据 JR/T 0092-2012 中国金融移动支付 客户端技术要求 JR/T 0098.3-2012 中国金融移动支付 检测规范 第三部分：客户端软件； 认证模式 检测+文件审查+现场检查+获证后监督。 认证的基本环节 认证基本环节包括： （1）认证申请及受理 （2）检测 （3）文件审查 （4）现场检查 （5）认证决定 （6）获证后监督 认证实施 认证程序 申请方向指定的认证机构申请认证，认证机构对申请材料进行初审，确认合格后向检测机构（由申请方自主从指定检测机构名单中选取）安排检测任务。检测机构应依据相关标准和技术规范进行检测，完成后向认证机构提交检测报告。随后，认证机构针对检测报告及其他技术材料进行文件审查，审查后组织进行现场检查。认证机构对检测、文件审查、现场检查的结果进行综合评价，向评价合格方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 认证申请及受理 认证的单元划分 原则上按软件名称/功能/版本申请认证。 申请资料要求 申请方在申请认证时，应提交的申请材料包括但不限于： （1）申请基本信息（纸质和电子各1份，须加盖公章） 认证申请书； 工商营业执照复印件、组织机构代码证复印件； 质量体系相关文件； 申请方关于生产产品与被认证产品的一致性声明； 被认证产品符合认证依据的适用性声明。 （2）送检样品及其说明文档 （3）技术文档（电子1份） 被认证对象中文版产品简介、用户手册、操作手册、常见问题； 开发环境工具清单； 需求说明书文档； 需求分析文档； 概要设计文档； 详细设计文档； 数据模型设计文档； 源码归档； 配置管理文档； 工程实施文档； 项目管理文档； 测试用例； 开发者测试报告； 变更控制文档； 系统运维管理制度； 监控与应急管理制度； 安全管理制度； 安全审计报告受理 证后监督检查时间根据获证产品的单元数量确定，并适当考虑获证机构的生产规模。证后监督通常为1至2个人日。 获证后监督结果评价 对于证后监督审查合格的获证机构，认证机构应做出保持其认证资格的决定；否则，应暂停、撤销其认证资格。 再认证 在认证证书有效期满的前3个月内，获证机构可申请再认证。再认证申请及受理程序与初次认证相同。 认证证书 认证证书有效期 认证证书有效期为 3 年。在有效期内，通过每年对获证产品进行监督，确保认证证书的有效性。 认证证书的使用 认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中，但不得利用认证证书和相关文字、符号，误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证，宣传认证结果时不应损害认证机构的声誉。 认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证机构应妥善保管好证书，以免丢失、损坏。如发生证书丢失、损坏的，获证机构可申请补发。 获证机构应建立认证证书、审核报告使用和管理制度，对认证证书的使用情况如实记录存档。 认证证书的管理 变更认证证书 认证证书有效期内，若发生下列情况之一，获证机构应向认证机构提出变更申请。认证机构策划并实施适宜的审查活动，并按照要求做出认证决定。审查活动可与证后监督或再认证同时进行。 （1）软