支付业务设施技术安全认证实施规则-中金国盛..docVIP

CFNR-IR-02-03 移动金融技术服务认证实施规则 嵌入式应用软件 V2.0 2016-12-15发布 2016-12-15实施 北京中金国盛认证有限公司 发布 目 录 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证的基本环节 1 5 认证实施 2 5.1 认证程序 2 5.2 认证申请及受理 2 5.2.1 认证的单元划分 2 5.2.2 申请资料要求 2 5.2.3 受理 4 5.3 检测委托及实施 4 5.3.1 检测实施 4 5.3.2 检测报告的提交 5 5.4 文件审查 5 5.5 现场检查 6 5.5.1 检查内容及场所范围 6 5.5.2 安全保证能力检查 6 5.5.3 质量保证能力检查 6 5.5.4 产品一致性检查 6 5.5.5 文件审查问题的核查 7 5.5.6 现场检查时间 7 5.6 审查结论判定 7 5.7 认证决定 8 5.8 认证时限 8 5.9 获证后监督 9 5.9.1 证后监督频次和方式 9 5.9.2 证后监督审查的内容 9 5.9.3 获证后监督结果评价 10 5.10 再认证 10 6 认证证书 10 6.1 认证证书有效期 10 6.2 认证证书的使用 10 6.3 认证证书的管理 11 6.3.1 变更认证证书 11 6.3.2 暂停认证证书 12 6.3.3 撤销认证证书 13 6.3.4 注销认证证书 14 7 认证标志的使用 14 7.1 认证标志的样式 14 7.2 认证标志的使用 14 8 样品管理 15 8.1 送样原则 15 8.2 送样要求 15 8.3 备案 15 9 收费 15 10 附件 16 适用范围 本规则所指的嵌入式应用软件是指在SE中，运行在SE嵌入式系统软件之上的软件。 认证依据 JR/T 0095-2012 中国金融移动支付 应用安全规范 认证模式 检测+文件审查+现场检查+获证后监督。 认证的基本环节 认证基本环节包括： （1）认证申请及受理 （2）检测 （3）文件审查 （4）现场检查 （5）认证决定 （6）获证后监督 认证实施 认证程序 申请方向指定的认证机构申请认证，认证机构对申请材料进行初审，确认合格后向检测机构（由申请方自主从指定检测机构名单中选取）安排检测任务。检测机构应依据相关标准和技术规范进行检测，完成后向认证机构提交检测报告。随后，认证机构针对检测报告及其他技术材料进行文件审查，文件审查后组织进行现场检查。认证机构对检测、文件审查、现场检查的结果进行综合评价，向评价合格方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 认证申请及受理 认证的单元划分 原则上按产品的型号/版本申请认证，功能相同的可作为一个单元申请认证。 以多于一个型号/版本为同一认证单元申请认证时，申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。 申请资料要求 申请方在申请认证时，应提交的申请材料包括但不限于： （1）申请基本信息（纸质和电子各1份，须加盖公章） 认证申请书； 工商营业执照复印件、组织机构代码证复印件； 质量体系相关文件； 申请方关于生产产品与被认证产品的一致性声明； 被认证产品符合认证依据的适用性声明。 （2）技术文档（电子1份） 被认证对象中文版功能说明书、用户手册、操作手册； 个人化文档； 指令集说明文档； 需求分析文档； 功能规范文档； 详细设计文档； 安全机制说明文档； 管理员指南文档； 交付与运行文档； 开发安全文档； 开发者测试报告； 开发者测试分析； 配置管理文档； 用户指南； 生命周期定义文档； 开发工具与技术文档。 实现表示； （3）外包管理材料（适用于将产品开发、运维和安全管理等外包给第三方机构的申请方，提交纸质或电子版1份），至少包括以下材料： 外包合同； 外包安全保密协议； 受理 认证机构应在接收到认证申请方的申请基本信息相关材料后确定是否受理Hash值与检测报告所标明的软件包Hash值是否一致。 文件审查问题的核查 现场检查时，应在生产现场对检测报告遗留问题和文件审查发现问题进行核查。 现场检查时间 现场检查原则上应在检测完成后进行。现场检查时间、工作量根据被认证对象的单元数量确定，并适当考虑申请方的规模。现场检查通常为1至2个人日。 审查结论判定 审查结论分为推荐通过和推荐不通过两种。 （1）推荐不通过 若审查过程中发现材料不足，或提供的材料不能充分证明其符合性，则认证机构要求检测机构或申请方在一定期限内（通常情况下不超过3个月）提供补充材料，如不能提供补充材料或材料不充分，则审查报告审查结果为“推荐不通过”。 若文件审查或现场审查结果证明申请方提供的证据不符合移动金融相关标准的要求，则审查