支付业务设施技术安全认证实施规则中金国盛.docVIP

CFNR-IR-02-04 移动金融技术服务认证实施规则 安全芯片 V2.0 2016-12-15发布 2016-12-15实施 北京中金国盛认证有限公司 发布 目 录 TOC \o 1-3 \h \z \u 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证的基本环节 1 5 认证实施 2 5.1 认证程序 2 5.2 认证申请及受理 2 5.2.1 认证的单元划分 2 5.2.2 申请资料要求 3 5.2.3 受理 4 5.3 检测委托及实施 4 5.3.1 检测实施 5 5.3.2 检测报告的提交 5 5.4 文件审查 5 5.5 现场检查 6 5.5.1 检查内容及场所范围 6 5.5.2 安全保证能力检查 6 5.5.3 质量保证能力检查 6 5.5.4 产品一致性检查 7 5.5.5 文件审查问题的核查 7 5.5.6 现场检查时间 7 5.6 审查结论判定 7 5.7 认证决定 8 5.8 认证时限 8 5.9 证后监督 9 5.9.1 证后监督频次和方式 9 5.9.2 证后监督审查的内容 9 5.9.3 证后监督结果评价 10 5.10 再认证 10 6 认证证书 10 6.1 认证证书有效期 10 6.2 认证证书的使用 11 6.2.1 认证证书的使用 11 6.3 认证证书的管理 11 6.3.1 变更认证证书 11 6.3.2 暂停认证证书 13 6.3.3 撤销认证证书 13 6.3.4 注销认证证书 14 7 认证标志的使用 14 7.1 认证标志的样式 14 7.2 认证标志的使用 15 8 样品管理 15 8.1 送样原则 15 8.2 送样要求 15 8.3 样品备案 15 8.4 样品处置 16 9 收费 16 10 附件 17 适用范围 本规则所指的安全芯片是指用于金融行业安全载体的具有中央处理器的集成电路芯片，能够有效地保护芯片中的用户敏感信息，抵御对芯片的非法访问和外部攻击，满足对支付安全的迫切需求。典型安全芯片包括处理器单元、安全算法模块、I/O接口、易失性和非易失性存储器等。 认证依据 JR/T0098.2-2012 中国金融移动支付 检测规范 第2部分：安全芯片 认证模式 检测+文件审查+现场检查+获证后监督 认证的基本环节 认证基本环节包括： （1）认证申请及受理 （2）检测 （3）文件审查 （4）现场检查 （5）认证决定 （6）获证后监督 认证实施 认证程序 申请方向指定的认证机构申请认证，认证机构对申请材料进行初审，确认合格后向检测机构（由申请方自主从指定检测机构名单中选取）安排检测任务。检测机构应依据相关标准和技术规范进行检测，完成后向认证机构提交检测报告。随后，认证机构针对检测报告及其他技术材料进行文件审查，审查后组织进行现场检查。认证机构对检测、文件审查、现场检查的结果进行综合评价，向评价合格方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 认证申请及受理 认证的单元划分 原则上按芯片型号/硬件版本/固件版本申请认证。以多于一个型号/硬件版本/固件版本为同一认证单元申请认证时，申请方应提交同一认证单元中型号/硬件版本/固件版本间的差异说明。 申请资料要求 认证申请方向认证机构申请认证，应提交的申请材料包括但不限于： （1）申请基本信息（纸质和电子各1份，须加盖公章） 认证申请书； 工商营业执照复印件、组织机构代码证复印件； 质量体系相关文件； 申请方关于生产产品与被认证产品的一致性声明； 被认证产品符合认证依据的适用性声明。 （2）样品及其说明文档； （3）技术文档（电子1份） 芯片数据手册； 芯片硬件设计及实现； 芯片安全防护策略及实现； 芯片版图设计说明； 芯片硬件平台使用及安全指南； CPU及指令集设计说明； 第三方IP设计说明书； 测试开发套件说明文档； 安全相关固件说明文档（供芯片使用方进行COS开发）； 启动流程及其源代码说明； 源代码； 辅助工具； 其他第三方测试报告：如CC 证书/报告、EMVCo证书/报告； 厂商自测报告。 （4）外包管理材料（适用于将产品开发、生产和安全管理等外包给第三方机构的申请方，提交纸质或电子版1份），至少包括以下材料： 外包合同； 外包安全保密协议； 其中，申请基本信息材料及外包管理材料需在受理前提交，技术文档以及其他检测过程中涉及的技术材料，提交