终端认证企业注意！银联新规2017年1月实施

来源: 移动支付网   

银联在近期发布了《银联卡受理终端产品生产安全与质量管理指南》，对终端厂商认证有了新的硬性要求，旨在引导终端厂商提高产品设计与研发管理水平，在产品生命周期管理过程中建立和实施有效的安全与质量管控制度，确保终端产品的一致性。

银联认证厂商相关数据

据银联透露，近两年终端厂商数量剧增，申请厂商达到200+家，但是实际过认证的厂商只有95家。而过检的终端数量上，截至2016年10月底，共有有效期内通过银联认证产品356款（3款由于抽检原因取消资质），在11月和12月的银联抽检中，又新增17款POS取消认证资质，所以市场总计339款银联认证产品，详情关注移动支付网报道《银联公布2016年受理终端抽检结果 15家厂商20款POS被取消安全认证》。

银联2016年10月底数据

在企业认证问题频出的大环境下，银联发布了《银联卡受理终端产品生产安全与质量管理指南》，并要求在2017年1月正式实施，分别在企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应等7个方面对终端认证企业做出了细化要求。

1、企业资质要求

对认证规则中定义的企业基本条件提供具体的实施指南，例如：

a)办公场所面积300平方米以上；

b)终端生产厂商面积1000平方米以上；

c)具备自主研发专利10件（含已受理）以上等具体要求。

2、资产管理

提出对信息资产和关键资产进行识别、分级管理的要求。例如：

a)编制资产清单，标识不同等级的资产；

b)对资产生命周期提出管理要求等。

企业在划分清晰各项资产之后，再根据不同级别资产对应的管理要求，制订和实施不同的管理策略。

3、人员管理

对企业员工管理要求提供具体实施指南，包括组织保障、岗位设置、访问控制、招聘、培训、岗位变更、离职等具体内容。重要内容举例：

a)应具有专门的安全管理组织并明确职责。

b)应设置质量管理人员、工艺人员、设计开发人员等具体岗位；

c)对员工访问进行控制策略的制定；

d)招聘员工应有必要的背景调查并签署保密协议；

e)对员工定期进行安全策略和实施程序的培训；

f)员工岗位变动时，其适用的访问权限应进行调整；

g)员工离职时，应实施一系列的权限回收措施。

4、环境与访问控制安全

对终端厂商的物理位置、物理环境、安全设施、测试设备等提出具体要求。主要条款内容举例：

a)选址避开灾害高发区，并在当地警方、消防及时覆盖区域；

b)工作场所设置三级或以上安全区域，实施不同的控制策略。

c)对门禁、视频监控、消防系统的安全设置要求；

d)应对网络制订和实施安全策略，如防火墙、防病毒等；

e)对身份认证工作应采用不低于物理介质加密码的保护方式；

f)应明确身份认证工具生成、授权、发放等生命周期管理要求；

g)应具有必备的自主测试设备，及时对量产产品进行检验。

h)用于检验的设备要实施定期校准和标定等。

5、产品生命周期管理

对终端产品的设计开发、元器件采购、生产过程质量控制、产品储存、产品运输、产品维修、产品报废等全生命周期提出管理要求。重要条款内容举例：

a)终端厂商对每个程序版本、每个元器件要有唯一的编号；

b)应有设计、开发和配置清单的变更评审流程；

c)开发过程应使用自动化的设备管理工具；

d)采购关键件应有明确的技术要求和程序，合格供应商名录；

e)关键件应进行必要的验证和检验，保留记录可追溯；

f)密钥管理人员应进行角色分离，建立安全的密钥分发流程；

g)生产过程提出合格率指标，过程中应实施首件检验、过程检验、交收检验等必要的质量控制流程；

h)成品储存区为专用的安全区域，实施专人管理，进出库控制；

i)报废产品应采取专门报废监督防止重用和敏感信息窃取等。

6、质量审核

对终端厂商的质量审核程序提出要求，该程序是管理评审过程，是厂商对其设计产品质量的各个环节进行评审的过程。例如：

a)应建立质量审核程序，确保产品持续的标准符合性；

b)每年两次对外协生产厂进行质量审核，保留记录等。

7、安全事件应急响应

a)对终端厂商处理安全事件的程序提出要求。例如：

b)有专门程序对安全事件进行分类、定级；

c)规定各类事件的处理流程；

d)进行必要的演练等。

银联新规实施时间规划

《银联卡受理终端产品生产安全与质量管理指南》将在2017年1月正式实施，银联委托两到三家专业机构实施现场评测，并要求从严实施；新申请认证的厂商，在产品检测前进行现场测评；已通过认证的厂商（数量较多，约95家），在2017年6月底前完成整改，2018年底之前完成现场测评。

来源: 移动支付网

莉莉财经