來源：移動支付網

10月28日下午消息，國家市場監管總局、中國人民銀行發布《金融科技產品認證目錄（第一批）》《金融科技產品認證規則》的公告。

第一批金融科技產品認證目錄包括客戶端軟件、安全芯片、安全載體、嵌入式應用軟件、銀行卡自動柜員機（ATM）終端、支付銷售點（POS）終端、移動終端可信執行環境（TEE）、可信應用程序（TA）、條碼支付受理終端（含顯碼設 備、掃碼設備）、聲紋識別系統、云計算平臺等11個產品總類。

 

以下為《金融科技產品認證規則》全文：

 

1 、適用范圍

本規則適用于金融科技產品，包括以下產品種類：客戶端軟件、安全芯片、安全載體、嵌入式應用軟件、銀行卡自動柜員機（ATM）終端、支付銷售點（POS）終端、移動終端可信執行環境（TEE）、可信應用程序（TA）、條碼支付受理終端（含顯碼設備、掃碼設備）、聲紋識別系統和云計算平臺。

2、 認證依據

金融科技產品認證依據的標準見下表。

上述標準原則上應執行最新版本，當需要使用標準的其他版本時，按認監委發布的有關文件要求執行。

3 、認證模式

金融科技產品認證的基本認證模式為：型式試驗+獲證后監督；

上述獲證后監督是指獲證后的跟蹤檢查、生產現場抽取樣品檢測、市場抽樣檢測三種方式之一或組合。

認證機構可根據實際情況確定認證委托方所能適用的認證模式。

 

4 、認證單元劃分

原則上應按產品型號、規格、版本的不同劃分認證單元，當以多個型號、規格、版本的產品作為一個認證單元時，認證委托方應提交各型號、規格、版本產品間的差異說明。

 

5 、認證委托

5.1  申請與受理

認證委托方向認證機構提出金融科技產品認證委托，認證機構對認證委托進行處理，并按照認證細則中的時限要求反饋受理或不予受理的信息。不符合國家法律法規及相關產業政策要求時，認證機構不得受理相關認證委托。

5.2  申請資料

認證機構應根據法律法規、標準及認證實施的需要在認證細則中明確申請資料清單（應至少包括認證申請書、合同或認證委托方/生產者/生產企業的注冊證明等）。

認證委托方應按認證細則中申請資料清單的要求提供所需資料。認證機構負責審核、管理、保存、保密有關資料，并將資料審核結果告知認證委托方。

5.3  實施安排

認證機構與認證委托方簽署認證合同或協議，約定雙方在認證實施各環節中的相關責任和安排。按照本規則及認證細則的要求，確定認證實施的具體方案并告知認證委托方。

6 、認證實施

6.1  型式試驗

6.1.1 制定型式試驗方案

認證機構在進行資料審核后受理認證委托，制定型式試驗方案并告知認證委托方。

型式試驗方案包括型式試驗的全部樣品要求和數量、檢測標準項目、可選擇的檢測機構等。

6.1.2 型式試驗樣品要求

認證機構應在認證細則中明確認證產品抽樣/送樣的相關要求。通常，型式試驗的樣品由認證委托方按認證機構的要求選送代表性樣品；必要時，認證機構也可采取現場抽樣/封樣方式獲得樣品。

認證委托方應保證其所提供的樣品與實際生產產品一致。檢測機構對樣品真實性有疑議時，應向認證機構說明，認證機構應做出相應處理。

6.1.3 型式試驗實施

型式試驗應在簽約的檢測機構完成。檢測機構對樣品進行型式試驗，對檢測全過程作出完整記錄并歸檔留存，檢測機構應在認證周期內留存樣品或關鍵件，保證檢測結果可追溯和可復現。

6.1.4 型式試驗報告

認證機構應規定統一的型式試驗報告格式。型式試驗結束后，檢測機構應及時向認證機構和認證委托方出具型式試驗報告。認證委托方應確保在獲證后監督時能夠向認證機構提供完整有效的型式試驗報告。

6.2  文件審查

認證機構依照認證規則及認證細則，對申請材料及型式試驗報告的符合性進行審查，獲取樣品是否符合認證依據的證據。

6.3  現場檢查

根據申請認證產品的具體情況，認證機構確定是否需要進行現場檢查。認證機構進行現場檢查的內容包括認證委托方/生產企業的安全保證能力、質量保證能力、產品一致性檢查和文件審查問題的核查。

6.4  認證結果評價與決定

認證機構對文件審查、現場檢查和型式試驗結果進行綜合評價，作出認證決定，對符合認證要求的，頒發認證證書。

認證決定過程中如發現不符合認證要求項，允許認證委托方限期（通常情況下不超過 3 個月）整改，如期完成整改后，認證機構采取適當方式對整改結果進行確認，對符合認證要求的，頒發認證證書；對仍然不符合認證要求的，認證機構不予批準認證委托，認證終止。

6.5  認證時限

認證機構應對認證各環節的時限作出明確規定，并確保相關工作按時限完成。檢測機構、認證委托方均應對認證活動予以積極配合。

6.6  獲證后監督

6.6.1 獲證后監督頻次和方式

為保證產品持續符合標準要求，在認證有效期內，認證機構持續進行獲證后監督審查。獲證后監督可采用現場審查或文件審查的方式。認證機構可采取事先不通知的方式對獲證方實施監督。

獲證方如出現以下情形之一，認證機構可視情況增加獲證后監督審查的頻次：

（1）獲證產品出現嚴重質量問題,或者用戶提出投訴并經查實為獲證方責任時；

（2）認證機構有足夠理由，對獲證產品與本規則中規定的標準要求的符合性提出質疑時；

（3）有足夠信息表明獲證方因組織機構、生產條件、質量管理體系等發生變更，從而可能影響產品質量時。

6.6.2 獲證后監督審查的內容

獲證后監督可采用現場審查或文件審查的方式，必要時可委托檢測機構對產品進行抽樣檢測。需要進行抽樣檢測時，抽樣檢測的樣品應在獲證方的產品中（包括生產線、倉庫、市場）隨機抽取。型式試驗的檢測項均可以作為監督時的檢測項，認證機構可根據具體情況進行部分或全部的檢測。

6.6.3 獲證后監督結果評價

對于獲證后監督審查合格的獲證方，認證機構應做出保持其認證資格的決定；

對于獲證后監督審查不合格的獲證方，允許其限期（通常情況下不超過 3 個月）采取措施進行糾正，如逾期仍未糾正，應撤銷其認證資格。

7 、認證證書

7.1  認證證書的保持

認證證書有效期為 3 年。在有效期內，通過認證機構的獲證后監督確保認證證書的有效性。期滿后進行監督審查，合格即可續期。

7.2  認證證書覆蓋產品的變更

產品獲證后，如果在認證細則中定義的產品關鍵件或其他事項發生變更時，認證委托方應向認證機構提出變更申請，認證機構根據具體情況開展相應的變更審查活動。

7.2.1 變更申請和要求

認證機構應在認證細則中明確認證變更的具體要求，包括認證變更的范圍和程序。

7.2.2 變更評價與批準

認證機構根據變更的內容，對委托方提供的資料進行評價，確定是否可以批準變更，如需進行樣品測試或現場檢查，應在測試或檢查合格后，方可批準變更，換發認證證書。

7.3 認證證書覆蓋產品的擴展

認證委托方需要擴展已經獲得的認證證書覆蓋的產品范圍時，應向認證機構提出擴展產品的認證委托。

認證機構根據認證委托方提供的擴展產品有關技術資料，核查擴展產品與原認證產品的差異，確認原認證結果對擴展產品的有效性，并針對差異做補充實驗或對生產現場產品進行檢查。核查通過的，由認證機構根據認證委托方的要求單獨頒發或換發認證證書。

原則上，應以最初進行全項型式試驗的代表性型號樣品作為擴展評價的基礎。

7.4  認證證書的注銷、暫停和撤銷

認證證書的注銷、暫停和撤銷依據認證機構的有關規定執行。認證機構應確定不符合認證要求的產品類別和范圍，并采取適當方式對外公告被注銷、暫停、撤銷的產品認證證書。

7.5  認證證書的使用

認證證書可以展示在文件、網站、通過認證的工作場所、銷售場所、廣告和宣傳資料或廣告宣傳等商業活動中，但不得利用認證證書和相關文字、符號，誤導公眾認為認證證書覆蓋范圍外的產品、服務、管理體系獲得認證，宣傳認證結果時不應損害認證機構的聲譽。

認證證書不準偽造、涂改、出借、出租、轉讓、倒賣、部分出示、部分復印。獲證方應妥善保管證書，以免丟失、損壞。如發生證書丟失、損壞的，獲證方可申請補發。

獲證方應建立認證證書使用和管理制度，對認證證書的使用情況如實記錄存檔。

8 、認證標志

金融科技產品認證實行統一的認證標志管理，標志的圖案如下圖。

標志的樣式和使用應符合《金融科技產品認證標志管理要求》（見11附件）。

9 、認證責任

認證機構對其作出的認證結論負責。

檢測機構對檢測結果和檢測報告負責。

認證機構及其所委派的現場檢查員對現場檢查結論負責。

認證委托方對其所提交的委托資料及樣品的真實性、合法性負責。

10 、 認證細則

認證機構應依據本規則的原則和要求，制定科學、合理、可操作的認證細則。認證細則應向認監委備案后，對外公布實施。認證細則應至少包括以下內容：

（1）認證流程及時限要求；

（2）認證單元劃分的細則及相關要求；

（3）認證委托申請資料及相關要求；

（4）現場審查內容；

（5）樣品備案要求；

（6）認證變更的要求；

（7）產品關鍵件。

11 、附件

金融科技產品認證標志管理要求

一、標志樣式

（一）金融科技產品認證標志的式樣由基本圖案和認證機構名稱縮寫組成，見下圖。

金融科技產品認證英文名稱是 Certification of FinTech Product，基本圖案為 CFP 變化構成的圖形。基本圖案正下方的文字信息為認證機構名稱縮寫，可為中文或英文，位置相對上方基本圖案居中對齊。

（二）認證標志的顏色為白色底版，基本圖案為紅色（CMYK 0/100/100/0，Pantone 1795C/U），認證機構名稱縮寫顏色與基本圖案相同或為黑色（CMYK 0/60/0/100，Pantone Process Black）。

（三）認證標志的尺寸應成線性比例放大或縮小，放大或縮小后的標志應清晰可辨，標志必須完整，不得將其變形使用。

二、標志使用要求

（一）標志的制作

認證標志的制作、發放由簽發證書的認證機構（以下簡稱發證機構）承擔；或由獲證企業或其代理人制定設計、制作方案，向發證機構提出申請，按發證機構要求提交相關文件資料，經發證機構審核后自行制作。

（二）標志的使用

1.認證標志應加施在銘牌或產品外體的明顯位置上；獲證產品本體上不能加施認證標志的，其認證標志必須加施在最小的產品外包裝上及隨附文件中。

2.獲證產品的外包裝上可以加施認證標志。

3.獲證企業應建立認證標志使用管理制度，對認證標志的使用情況如實記錄和存檔。

4.應符合認證標志有關法規和規定的相關要求。

（三）監督管理與罰則

按認證標志有關法規和規定執行。