现代金控资讯:App、扫码支付等11类需要认证

发布时间:2019-10-29
市场监管总局、人民银行近日发布文件,明确了“金融科技产品”的定义,并将App、扫码支付、ATM机、POS机等11类产品纳入第一批认证目录。
 
10月16日,市场监管总局、人民银行两部委发文,决定将支付技术产品认证扩展为金融科技产品认证,并确定了《金融科技产品认证目录(第一批)》,制定了《金融科技产品认证规则》。
 
第一批认证目录纳入11类金融科技产品,包括客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机(ATM)终端、支付销售点(POS)终端、移动终端可信执行环境(TEE)、可信应用程序(TA)、条码支付受理终端(含显码设备、扫码设备)、声纹识别系统、云计算平台。
 
对上述11类产品,两部委指出,金融科技产品认证的基本认证模式为:型式试验+获证后监督;上述获证后监督是指获证后的跟踪检查、生产现场抽取样品检测、市场抽样检测三种方式之一或组合。认证机构可根据实际情况确定认证委托方所能适用的认证模式。
 
在具体产品的认证上,认证单元划分原则上应按产品型号、规格、版本的不同划分认证单元,当以多个型号、规格、版本的产品作为一个认证单元时,认证委托方应提交各型号、规格、版本产品间的差异说明。
 
第一批认证目录给出了具体金融科技产品的定义和认证依据。
 
例如,对于目前金融科技的主战场——App,其所属的“客户端软件”,产品范围为支持支付业务(包括处理订单)的移动终端客户端软件,包括:移动终端客户端程序、支付控件、软件开发工具包(SDK)等。客户端软件的认证标准包括(1)JR/T 0092,《中国移动支付客户端技术规范》;(2)JR/T 0098.3《中国金融移动支付检测规范第3部分:客户端软件》等;(2)T/PCAC 0006《条码支付移动客户端软件检测规范》。
 
根据易观千帆截至今年8月的金融类App统计,支付宝MAU以6.10亿居首位;银行中,工商银行App、建设银行App、农行掌上银行App的MAU分别为5891万、5556万、4329万。股份制银行中,招商银行App、招行掌上生活App、平安口袋银行App的MAU均超过3000万,分别为3541万、3265万、3004万,相差不大。
 
涉及App移动端的认证要求还包括:“嵌入式应用软件”是指支持移动支付业务开展的,运行于安全单元(SE)内嵌入式系统软件之上的嵌入式应用软件。以及“移动终端可信执行环境(TEE)”,是指基于硬件和软件结合的移动终端可信环境(TEE),包括与TEE安全功能应用相关的硬件(SoC平台及相关硬件资源)、固件及相关软件(可信执行环境操作系统、可信虚拟化层等)和安全使用指引,不包括可信应用(TA)、客户端应用(CA)和富执行环境(REE)。
 
“开放银行”成为近两年银行竞争的重点,开放银行通过API技术和Ⅱ类、Ⅲ类账户,把银行的多类接口,如开户、转账风控、刷脸、群管、支付、身份认证乃至借贷等,转化为标准化SDK插件或API程序接口。
 
若如此,两部委发文后,App、开放银行等将受到明确的产品认证监管。
 
另一金融科技重点“条码支付受理终端”,包含显码设备、扫码设备,是指具有条码展示或识读等功能,参与条码支付的商户端专用机具,包括显码设备和扫码设备。其中,显码设备是指具有条码展示功能的专用设备;扫码设备是指识读条码并且向后台系统发起支付指令的专用设备,包括但不限于带扫码装置的收银机、POS终端、自助终端等。
 
条码支付的认证标准为《条码支付安全技术规范(试行)》(银办发〔2017〕242号);《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号);T/PCAC 0005《条码支付受理终端检测规范》。
 
第一批金融科技产品认证目录尚未纳入无感支付、刷脸支付等新兴领域。
 
此外,“声纹识别系统”是指提供声纹识别服务的服务器端系统(可包含移动终端客户端可执行文件或组件等)。“云计算平台”包括金融业各机构自建、自用、自运行的私有云和供金融业各机构共享使用的团体云。