English
邮箱
联系我们
网站地图
邮箱
旧版回顾


美女B图片

文章来源:baobaobubu    发布时间:2019-11-14 15:47  【字号:      】

对终端厂商认证有了新的硬性要求......

银联在近期发布了《银联卡受理终端产品生产安全与质量管理指南》,对终端厂商认证有了新的硬性要求,旨在引导终端厂商提高产品设计与研发管理水平,在产品生命周期管理过程中建立和实施有效的安全与质量管控制度,确保终端产品的一致性

银联认证厂商相关数据据银联透露,近两年终端厂商数量剧增,申请厂商达到200+家,但是实际过认证的厂商只有95家

而过检的终端数量上,截至2016年10月底,共有有效期内通过银联认证产品356款(3款由于抽检原因取消资质),在11月和12月的银联抽检中,又新增17款POS取消认证资质,所以市场总计339款银联认证产品,详情关注移动支付网报道《银联公布2016年受理终端抽检结果 15家厂商20款POS被取消安全认证》

银联2016年10月底数据在企业认证问题频出的大环境下,银联发布了《银联卡受理终端产品生产安全与质量管理指南》,并要求在2017年1月正式实施,分别在企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应等7个方面对终端认证企业做出了细化要求

1、企业资质要求对认证规则中定义的企业基本条件提供具体的实施指南,例如:a) 办公场所面积300平方米以上;b) 终端生产厂商面积1000平方米以上;c) 具备自主研发专利10件(含已受理)以上等具体要求

2、资产管理提出对信息资产和关键资产进行识别、分级管理的要求

例如:a) 编制资产清单,标识不同等级的资产;b) 对资产生命周期提出管理要求等

企业在划分清晰各项资产之后,再根据不同级别资产对应的管理要求,制订和实施不同的管理策略

3、人员管理对企业员工管理要求提供具体实施指南,包括组织保障、岗位设置、访问控制、招聘、培训、岗位变更、离职等具体内容

重要内容举例:a) 应具有专门的安全管理组织并明确职责

b) 应设置质量管理人员、工艺人员、设计开发人员等具体岗位;c) 对员工访问进行控制策略的制定;d) 招聘员工应有必要的背景调查并签署保密协议;e) 对员工定期进行安全策略和实施程序的培训;f) 员工岗位变动时,其适用的访问权限应进行调整;g) 员工离职时,应实施一系列的权限回收措施

4、环境与访问控制安全对终端厂商的物理位置、物理环境、安全设施、测试设备等提出具体要求

主要条款内容举例:a) 选址避开灾害高发区,并在当地警方、消防及时覆盖区域;b) 工作场所设置三级或以上安全区域,实施不同的控制策略

c) 对门禁、视频监控、消防系统的安全设置要求;d) 应对网络制订和实施安全策略,如防火墙、防病毒等;e) 对身份认证工作应采用不低于物理介质加密码的保护方式;f) 应明确身份认证工具生成、授权、发放等生命周期管理要求;g) 应具有必备的自主测试设备,及时对量产产品进行检验

h) 用于检验的设备要实施定期校准和标定等

5、产品生命周期管理对终端产品的设计开发、元器件采购、生产过程质量控制、产品储存、产品运输、产品维修、产品报废等全生命周期提出管理要求

重要条款内容举例:a) 终端厂商对每个程序版本、每个元器件要有唯一的编号;b) 应有设计、开发和配置清单的变更评审流程;c) 开发过程应使用自动化的设备管理工具;d) 采购关键件应有明确的技术要求和程序,合格供应商名录;e) 关键件应进行必要的验证和检验,保留记录可追溯;f) 密钥管理人员应进行角色分离,建立安全的密钥分发流程;g) 生产过程提出合格率指标,过程中应实施首件检验、过程检验、交收检验等必要的质量控制流程;h) 成品储存区为专用的安全区域,实施专人管理,进出库控制;i) 报废产品应采取专门报废监督防止重用和敏感信息窃取等

6、质量审核对终端厂商的质量审核程序提出要求,该程序是管理评审过程,是厂商对其设计产品质量的各个环节进行评审的过程

例如:a) 应建立质量审核程序,确保产品持续的标准符合性;b) 每年两次对外协生产厂进行质量审核,保留记录等

7、安全事件应急响应a) 对终端厂商处理安全事件的程序提出要求

例如:b) 有专门程序对安全事件进行分类、定级;c) 规定各类事件的处理流程;d) 进行必要的演练等

银联新规实施时间规划《银联卡受理终端产品生产安全与质量管理指南》将在2017年1月正式实施,银联委托两到三家专业机构实施现场评测,并要求从严实施;新申请认证的厂商,在产品检测前进行现场测评;已通过认证的厂商(数量较多,约95家),在2老黄牛比喻什么人017年6月底前完成整改,2018年底之前完成现场测评

美女B图片 美女B图片




()

附件:

专题推荐