从银行卡、POS机到二维码、NFC、手机支付、可穿戴设备,都有一个共同的名字—金融科技产品。除了以上直接参与金融交易的设备,保障金融交易的后台系统,例如服务器、金融云系统等,也属于金融科技产品。直接或者间接参与到金融交易内的科技产品都是金融科技产品。金融科技产品的安全直接影响公众资金安全,是必须重点防控的金融安全,是金融业安全运转重要保障。
开展金融科技产品认证工作,是保障金融科技产品安全的重要一环。2017年8月,国家认证认可监督管理委员会和中国人民银行先后发表了《关于开展支付技术产品认证工作的实施意见》(国认证联〔2017〕91号)和《关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号),正式启动了开展支付技术产品认证的工作,随后中国人民银行在2019-2021年《金融科技(FinTech)发展规划》(银发〔2019〕209号)强调了要建立健全金融科技认证体系。在今年10月25日,支付技术产品认证正式改名为金融科技产品认证,由央行和国家市场监督管理总局联合发布了《金融科技产品认证目录(第一批)》和《金融科技产品认证规则》。11月28日,中国金融认证中心(CFCA)信息安全实验室技术专家许中奇出席“第十八届中国金融科技系列峰会”,对认证政策进行了详细解读。
此次发布的认证目录和认证规则由两部委共同建立,级别提高,范围扩大,从仅限于支付技术变为金融科技,产品领域也从之前的9个增加到了11个。国家认监委负责产品认证工作的组织实施、监督管理和综合协调;人民银行组织制定支付技术标准、监督标准的落地实施、推动支付技术产品认证结果采信。两部委委托中国支付清算协会负责拟定支付产品认证目录和认证规则,协调认证实施过程中出现的技术问题,提出工作建议。认证体系采用典型的三方认证体系:即送检企业送检,检测机构做型式试验出检测报告,认证机构发放证书和证后监督,送检企业的产品在通过认证后,即可使用金融科技产品认证标志。
认证目录中的11个领域分别是,客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机(ATM)终端、支付销售点(POS)终端、移动终端可信执行环境(TEE)、可信应用程序(TA)、条码支付受理终端(含显码设备、扫码设备)、声纹识别系统、云计算平台。其中声纹识别系统和云计算平台是相比2017版目录新增的两个领域。
11个领域大致可以分为三类产品:
1、支付类
以手机为例,安全认证产品包括提供物理隔离、存储秘钥、保护用户隐私数据使用的安全芯片SE以及安全芯片上的操作系统COS,基于通用芯片的可信执行环境TEE,以及COS上的嵌入式应用软件、TEE上的可信应用和通用操作系统上客户端软件APP共六类产品。其中APP主要针对金融和非金机构的支付类APP,例如银行,第三方支付,贷款公司、征信公司APP。
2、终端类
包括三类终端。一是ATM取款机;二是POS终端销售点,包括传统的只支持刷卡功能的POS和多功能智能POS;三是条码终端,条码终端形态丰富且新产品层出不穷,例如扫码盒子,扫码枪,动态二维码显示屏,自助点餐机,扫码POS等。
3、创新类
此次新加入的有声纹识别系统和云计算平台两个领域都属于创新类。声纹作为个人的生物特征之一,可以向指纹一样使用,当需要登录软件的时候,可利用声纹识别进行登录。云计算作为金融科技的辅助设备,也被扩入金融科技产品认证目录里。
许中奇指出:当下中国金融科技产品的创新已经走在世界最前沿,这就对金融科技产品的监管提出了很高的要求,监管政策需要同产品创新一起与时俱进。同时网络攻击手段发展迅速,金融产品安全形势愈发严峻。未来金融科技产品认证领域会继续增多,制度也会更加完善。
CFCA信息安全实验室是国家级独立、公正的第三方检测机构,提供信息安全产品的安全评估与检测工作,是金融行业重要的检测机构。检测领域涵盖芯片、嵌入式软件,支付终端,app等产品检测,也提供非金、等保、电子银行评估等信息安全评估服务。截止目前,CFCA已获得如下检测资质:认监委的CMA、CNAS资质,人民银行的移动金融检测,公安部的等保测评资质,中国网安中心的信息安全认证资质,银联认证资质等,切实解决行业客户信息安全难题。
版权声明及安全提醒:本文转自网络平台中国电子银行网,文章仅代表作者观点,不代表「金融文库」立场。相关版权归原作者所有,「金融文库」仅提供免费交流与学习,相关内容与材料请勿用于商业。我们感谢每一位原创作者的辛苦付出与创作,如本转载内容涉及版权及侵权问题,请及时联系我们客服处理(微信号:JRwenku8),谢谢!