03银行卡与电子支付检测认证研究报告v01100612.docx
《03银行卡与电子支付检测认证研究报告v01100612.docx》由会员分享,可在线阅读,更多相关《03银行卡与电子支付检测认证研究报告v01100612.docx(18页珍藏版)》请在冰豆网上搜索。
03银行卡与电子支付检测认证研究报告v01100612
银行卡与电子支付检测认证研究报告
近年来,我国银行卡与电子支付产业发展迅猛,金融支付安全风险日益显现,迫切需要加强有关检测认证工作,完善银行卡与电子支付相关产品和第三方服务机构准入制度,确保银行卡与电子支付产业发展安全。
我国从2003年形成了统一的认证认可监督管理制度以来,国内多个部委或行业主管部门对有关产品技术准入提出了更高的要求,形成相对完善的检测认证工作机制;与此同时,多个国家或银行卡组织加强了银行卡与电子支付有关产品的检测认证工作力度,以确保银行卡与电子支付产业安全;而国内银行卡与电子支付检测认证工作处于起步阶段,尚未形成较为完善的检测认证体系,制约了银行卡银行卡与电子支付产业健康发展。
1检测认证概述
1.1检测认证的定义
“检测”原意是用指定的方法检验测试某种物体指定的技术性能指标。
“认证”原意是一种出具证明文件的行动。
对于具体的产品而言,我们可以给出检测认证定义的形象化解读是:
举例来说,对第一方(供方或卖方)生产的产品甲,第二方(需方或买方)无法判定其品质是否合格,而由第三方来判定。
第三方既要对第一方负责,又要对第二方负责,出具的证明要能获得双方的信任,这样的活动就叫做“认证”。
而第三方为判定产品是否合格,需指定独立的检测机构对该产品按照一定的标准和技术指标进行检验,并出具报告,这样的活动就叫做“检测”。
也就是说,检测认证活动必须公开、公正、公平,才能有效。
这就要求检测认证机构必须权威并具有公信力,必须独立于第一方和第二方之外,与它们没有经济上的利害关系,或者有同等的利害关系,或者有维护双方权益的义务和责任,才能获得双方的充分信任。
1.2检测认证的产生与发展
检测认证源于产品领域,19世纪末随着资本主义市场经济的成熟,特别是随着科学技术的发展,新产品层出不穷,并且越来越复杂,普通消费者在购买使用产品时已经不可能自行鉴别产品的质量。
与此同时,对于涉及人身安全、健康的产品实行政府控制,以保证社会秩序正常运行。
1903年,英国创立了世界上第一个认证标志,即使用BS字母组成的“风筝标志”,标志在钢轨上,表明钢轨符合质量标准,该标志以英国国家标准为检验依据,具有公正性和科学性。
此后,许多国家纷纷效仿,开展以本国标准为依据的检测认证工作。
二战后,世界经济格局发生了较大的变化,国际贸易迅速增长,以欧盟和关贸总协定(现为世界贸易组织)的建立为标志,世界经济呈现出国际和区域化的趋势。
在这种情况下,一些国家的政府为了推动本国产品的出口,开始谋求双边到多边的认证制度,以区域性标准为依据的认证制度首先在欧盟出现。
20世纪80年代初,在国际标准化组织(ISO)和国际电工委员(IEC)的积极倡导下,开始在几类产品上推行以国际标准为依据,全世界范围内多国参加的国际认证制度。
1985,国际标准化组织(ISO)将认证委员会(1971年成立)改名为合格评定委员会(CASCO),开始从技术角度协调各国认证制度的内容,促进各国认证机构的检测结果的相互认可,以消除各国由于标准、检测、认证过程中存在的差异所带来的贸易困难,并进一步制定出国际性的认证制度。
1987年,国际标准化组织推出质量管理和质量保证国际标准(ISO9000族标准),从那时起,以此国际标准为基础而开展的质量管理体系认证在近100个国家蓬勃开展。
1996年,国际标准化组织又推出环境管理体系标准(ISO14000系列标准),环境管理体系认证正在发达国家和部分发展中国逐步发展。
近年来,包括我国在内的许多国家又开展了服务认证工作,按照一定程序规则证明服务符合相关服务质量标准要求。
服务认证是继产品认证、体系认证之后开展的一种新型认证形式,是服务行业对消费者的服务承诺。
2国际检测认证基本情况介绍
国际检测认证发展已经历了100多年,已经形成了比较成熟的检测认证制度和通行的认证原则。
2.1国际检测认证制度
目前,检测认证制度是国际通行的规范市场和促进经济贸易发展的主要手段,是各国企业和组织提高管理和服务水平、保证产品质量、提高市场竞争力的可靠方式之一。
概况而言,国际检测认证制度主要包括两种形式:
一是国家检测认证制度。
认证从诞生的那天起,就体现了一种政府责任,各国纷纷建立检测认证制度以确保产品质量符合本国现行标准要求。
各国制定相关的法律法规,建立检测认证制度体现了一种国家主权,是各国从源头上确保产品质量安全、规范市场行为、指导消费、保护环境、保障国民生命健康、保护国家利益和安全、促进对外贸易的重要屏障。
同时,也是大多数国家对涉及安全、健康、环保等产品、服务和管理体系进行有效监管的重要手段。
在国际贸易中,一些国家和区域经济组织还将检测认证作为技术壁垒措施,用以保护自身经济利益。
二是区域和国际互认制度。
随着世界贸易的飞速发展,由于各国检测认证制度不同造成的差异,使检测认证制度应有的优点不能得到很好的体现。
为打进不同国家的市场,供应商需要反复申请多国的认证,其人力物力的消耗及费用的增加是可想而知的。
同时早期建立国家认证制度的国家认识到如果本国认证制度不对外开放,则会造成市场上的不公平竞争,因而纷纷将国家的认证制度对外开放,并开始签署国与国之间的认证制度、检验制度的双边、多边相互承认协议,进而发展到多个国家一起以区域标准为依据的区域检测认证制度(首先在欧盟出现,如:
以欧洲标准为依据而建立的欧洲电器产品、汽车等区域性检测认证制度)。
20世纪80年代初,在国际标准化组织(ISO)和国际电工委员(IEC)的积极倡导下,开始在几类产品上推行以国际标准为依据,全世界范围内多国参加的国际认证制度。
比较典型的是国际电工委员会电工产品认证体系(IECEE),该体系于IECEE于1984年5月成立,包含两个互认体系:
一是国际电工委员会电工产品检测证书的多边互认体系(IECEE-CB体系);二是国际电工委员会电工产品认证证书互认体系(IECEE-FCS体系)。
2.2国际通行的认证原则
目前,国际比较权威的认证原则为世界贸易组织的WTO/TBT协定,其中规定各成员国的认证等合格评定活动需遵循如下原则:
一是非歧视性原则。
制定、通过并执行合格评定程序时,要给予产于其他国家领土上的同类产品进入该成员境内供方不低于本国供应商在该程序规则下进行合格评定享受的全部权利。
二是遵守国际准则原则。
提供产品符合技术法规和标准的保证,成员应保证采用或采用他们的相应部分作为其合格评定程序的基础。
三是统一原则。
各成员应采取他们所能采取的措施以确保机构遵守协议。
四是透明度原则。
当国际标准化机构尚未制定出相应指南或建议,该成员应在早期适当阶段,在出版物上刊登他们准备采取此合格评定程序的通知,以便使其他各成员在各方面了解其内容,并通过世界贸易组织秘书处通告各成员征求意见,以便及时修改。
五是协调一致原则。
为使合格评定程序在尽可能广泛的基础上协调一致,各成员国尽可能参加相应国际标准化机构制定合格评定指南或建议工作。
六是有限干预原则:
世界贸易组织的宗旨是充分实现国际贸易自由化,但它也充分认识到国际标准化和合格评定体系能为提高生产效率和促进国际贸易做出重大贡献。
因此,不应妨碍任何国家采取必要措施,保证国家安全,保护人类、动物或植物的生命或健康,保护环境,防止欺诈行为,保证出口产品质量。
但是,不能用这些措施作为对情况相同国家进行任意或无理歧视或变相限制国际贸易的手段。
这些原则是各国在考虑开展合格评定工作、立法和组织实施时必须遵守的,也是建立认证方面国际互认制度的基础。
3国内检测认证基本情况介绍
3.1工作机制
从2001年8月开始,国家对认证认可工作实行在国务院认证认可监督管理部门统一管理、监督和综合协调下,各有关方面共同实施的工作机制。
根据认证需要展开的检测工作也在国务院认证认可监督管理部门指导下展开。
《中华人民共和国认证认可条例》中第十八条规定“认证机构应当按照认证基本规范、认证规则从事认证活动。
认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定,属于认证新领域,前款规定的部门尚未制定认证规则的,认证机构可以自行制定认证规则,并报国务院认证认可监督管理部门备案”。
根据上述规定,国内的检测认证管理基本上分两种形式,一是由国家认证认可监督管理委员会牵头,相关部委或行业主管部门参与的行业检测认证管理,主要面向专业性不强的一般性企业和产品;二是有关部委或行业主管部门牵头,并符合国家认证认可有关的认证管理,主要面向一些专业性强、国际化程度高或安全要求高的企业和产品。
3.2国内相关行业发展情况
目前,国内许多部委或行业主管部门为确保投入使用的产品符合行业准入的要求,均对进入本行业内的相关产品实行检测认证,制定相应的政策和管理条例,并形成较为完善检测认证组织体系。
如:
公安部、工业和信息化产业部(简称“工信部”)、国家林业局等,相关情况介绍如下:
3.2.1公安部安防产品检测认证
2002年,安防产品入侵探测器、防盗报警控制器、汽车防盗报警系统和防盗保险柜以及汽车行驶记录仪、车身反光标志先后列入3C认证目录。
2004年,公安部又对防盗安全门、机动车测速仪、酒精含量探测器等产品先后开展社会公共安全产品自愿性认证,并要求各地公安机关在采购、使用上述产品和履行公安机关相应职能时,不得采购和使用未获证的产品。
2008年8月公安部通报社会公共安全产品3C认证和社会公共安全产品GA认证(即对部分安全技术防范、道路交通安全、刑事技术产品实施的中国公共安全产品认证,简称GA认证)结果信息,标志着公安部认证结果信息通报制度正式建立。
在组织体系方面,公安部成立了公安部消防产品合格评定中心,该中心为部属事业单位并依法开展消防产品合格评定工作,并将强制性3C认证和型式认可中的产品检验工作,分包给国家消防电子产品质量监督检验中心、国家固定灭火系统和耐火构件质量监督检验中心、国家消防装备质量监督检验中心和国家防火建筑材料质量监督检验中心,并按有关规定对其承担的消防产品及消防相关产品质量检验机构的分包工作过程实施监督。
同时公安部指导中国安全防范产品行业协会设立了中国安全技术防范认证管理委员会,下设中国安全技术防范认证中心,专门开展安防产品的认证管理工作。
3.2.2工信部电信设备进网检测认证
2001年5月10日,原信息产业部发布《电信设备进网管理办法》,明确电信设备生产企业(以下简称生产企业)申请电信设备进网许可必须符合国家法律、法规和政策规定。
申请进网许可的电信设备必须符合国家标准、通信行业标准以及信息产业部的规定。
电信设备生产企业应当具有完善的质量保证体系和售后服务措施。
2002年4月10日,原信息产业部电信设备进网认证管理信息系统于2002年4月10日正式开通。
这个系统是信息产业部网站()电子政务的一个子系统,系统的开通旨在实现电信设备进网管理的信息化,推进政务公开,提高办事效率;同时发布获得进网许可的电信设备的权威信息,提供强大的网上查验进网标志真伪的功能,以更好地保护消费者、设备制造商和电信运营商的合法权益。
2003年5月26日,原信息产业部发布《电信新设备进网试验检测管理暂行办法》,明确对应实行进网许可制度,但尚无正式国家标准、行业标准的,或未列入《第一批实行进网许可制度的电信设备目录》的新电信设备的进网试验、检测工作进行了规定。
2005年9月22日,工信部发布《电信设备证后监督管理办法》,明确在证书有效期内,是指在证书有效期内,工业和信息化部和省、自治区、直辖市通信管理局对获证企业的质量保证体系、电信设备的质量、售后服务、进网标志的使用、持续符合电信设备进网许可条件等情况进行监督管理的活动。
2006年10月30日,工信部发布《电信设备进网检测产品取样管理规定》,明确由电信管理局委托各省、自治区、直辖市通信管理局或电信设备认证中心、电信设备进网检验机构(以下称抽样单位)按该规定组织抽取样品,从而规范了电信设备进网检测产品取样工作。
在组织体系方面,工信部电信管理局电信设备管理处统一管理检测认证工作,并指导受理机构(工业和信息化部电信设备认证中心)、检测机构(中国泰尔实验室等十余家检测机构)和认证机构(泰尔认证中心、武汉邮电通信质量体系审核中心)进行电信设备的检测和认证工作。
3.2.3国家林业局森林认证
国家林业局于2002年8月加入全国认证认可部级联席会议,森林认证体系正式纳入到国家统一的认证认可制度之中。
2003年6月中共中央国务院发布《关于加快林业发展的决定》,明确提出了“积极开展森林认证工作,尽快与国际接轨”,极大地推动了森林认证在我国的发展。
从2004年开始,森林认证工作就被列入国家财政预算,森林可持续经营标准制定和森林认证工作都得到了专项经费支持。
2007年9月10日,国家林业局正式发布了《中国森林认证森林经营》和《中国森林认证产销监管链》两项行业标准,并于2007年10月1日起正式实施。
2009年1月23日,国家认证认可监督管理委员会正式发布了《中国森林认证实施规则》,并于2009年3月1日起实施。
在组织体系方面,2001年3月国家林业局专门在科技发展中心下成立了森林认证处。
同年7月又组织成立了中国森林认证领导小组。
下设办公室,具体负责森林认证工作。
中国森林认证工作领导小组于2001年9月召开了第一次会议,会议确定了领导小组及办公室的职责,并明确指出,中国将在吸收各种森林认证体系优点的基础上,遵循可持续发展的原则,发展中国自己的森林认证体系。
2009年9月,经认监委同意,国家林业局决定成立中林天合(北京)森林认证中心。
4国外银行卡与电子支付检测认证介绍
国外对银行卡与电子支付等相关产品和服务的准入管理均非常严格,世界各国对银行卡与电子支付检测认证管理有一个共同点,即都规定相关产品和服务只有通过检测认证才允许投入使用,这种检测认证是强制性的,而且是非常严格的,只是各国采取的具体方式和方法不同而已。
4.1工作模式
国外对银行卡与电子支付产品、服务的检测认证一般分为两种工作模式。
一种是从产业发展角度,由中央银行等监管部门组织的检测认证,以确保本国银行卡与电子支付产业发展安全可控,例如德国中央银行组织的ZKA(ZentralerKreditausschuss,德国中央信用委员会)认证;另一种从系统运营角度,由国家或地区成立的银行卡组织对进入其系统的产品和供应商进行的产品检测认证与企业资质认证,以保证其系统运营的安全可靠,如由VISA(全称VisaInternationalServiceAssociation,中文简称维萨)、MasterCard(万事达)、JCB(日本信用卡组织)、AmericanExpress(美国运通)等银行卡国际组织开展的卡片供应商资质认证以及EMVco认证。
随着银行卡与电子支付产业的飞速发展,两种工作模式往往并行存在,各国银行卡产业监管部门组织完成银行卡检测认证相关政策制度的制定和实施,并对参与相关检测认证工作的银行卡行业组织或机构进行授权,同时指导这些组织机构在符合本国政策要求的情况下开展产品检测认证和企业资质认证工作,以确保本国银行卡与电子支付产业安全。
4.2基本流程
为保证银行卡与电子支付产品的安全性和适用性,国外在银行卡与电子支付检测认证方面制定了比较严格的流程,检测和认证相辅相成,缺一不可。
一般银行卡产品通过检测认证需经过如下基本流程:
第一步、企业向认证机构提交产品认证申请;
第二步、在得到认证机构登记许可后,企业向认证机构指定或授权检测机构提交相关文档及检测产品,并交纳相应的检测费用;
第三步、检测机构根据有关标准开展测试,出具检测报告并给出检测意见;
第四步、企业确认报告,如产品不能满足检测要求,可待产品完善之后,继续提交检测机构进行检测(即回到第二步);如产品已满足检测各项要求,再行向认证机构提交认证申请(有时可由检测实验室代为提交),并缴纳相应认证费用;
第五步、认证机构审核检测报告,并向客户颁发认证证书。
检测报告和认证证书是两种不同的证明文件,检测报告是银行卡产品是否符合规定相关标准的证明,认证证书则是银行卡产品和服务技术准入的先决条件。
4.3检测认证依据
国外银行卡与电子支付产品和服务检测认证依据国际标准化组织制定的银行卡相关标准及其检测规范,如ISO/IEC7811、7813、7816等银行卡记录技术和IC卡各种特性规范。
此外,各个国家还会依据国际标准进行采标,制定符合本国国情的银行卡与电子支付标准。
国际银行卡组织在金融IC卡检测认证也有较严格的规定,为保证金融IC卡跨国交易正常进行,其对金融IC卡受理终端以及银行卡卡片等产品都实行统一标准,如VISA、MASTER、JCB及AmericanExpress等国际银行卡组织共同遵循的EMV标准都有其对应的检测规范。
4.4国际权威的EMVCo认证及相关检测介绍
EMV标准是由当时国际三大银行卡组织--Europay(欧陆卡,已被万事达收购)、MasterCard和Visa共同发起制定的银行卡从磁条卡向智能IC卡转移的技术标准,是基于IC卡的金融支付标准,目前已成为公认的全球统一标准。
其目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准,使得在此体系下所有的卡片和终端能够互通互用,并且该技术的采用将大大提高银行卡支付的安全性,减少欺诈行为。
目前最新版本为4.2,是在2008年7月发布的。
。
1999年2月,当时国际三大银行卡组织--Europay、MasterCard和Visa共同成立了EMVCo组织,用来管理、维护和完善EMV智能(芯片)卡的规格标准。
2005年、2009年JCB和AmericanExpress分别成为EMVCo组织成员。
目前,MasterCard、Visa、JCB和AmericanExpress各拥有EMVCo组织四分之一股权,共同管理EMVCo的各项事务。
EMVCo认证服务范围覆盖了终端认证、卡片认证和安全评估三个方面,其中终端认证的体系最为完善。
终端认证主要包括接触式终端Level1和LEVEL2认证,其中Level1主要针对终端电特性、机械特性和传输协议等物理特性;Level2主要针对终端支付应用软件功能层面;是非接触式终端认证也已经开始。
卡片认证主要包括普通支付应用(CPA)和卡片个人化(CPS)。
安全评估主要针对智能卡和终端等产品的安全特性进行评估。
从2009年4月开始,EMVCo取消了原先由各国际组织分别认可实验室,改由EMVCo统一对全球的实验室进行授权和管理,这些实验室负责具体的产品技术质量测试工作。
目前EMV实验室主要有三类:
一是EMV终端检测实验室,共有12家,主要覆盖了欧洲和亚洲,其中只有9家实验室既可进行终端终端Level1,也可进行终端LEVEL2测试。
二是EMV卡片检测实验室,全球共有4家,主要分布在欧洲。
三是EMV安全评估实验室,全球共有7家,全部在欧洲。
5国内银行卡与电子支付检测认证介绍
5.1行业监管情况
1999年1月5日,中国人民银行颁布了《银行卡业务管理办法》,办法规定,商业银行向中国人民银行申请开办银行卡业务时需要提交“由中国人民银行科技主管部门出具的有关系统安全性和技术标准合格的测试报告”;同时规定:
中华人民共和国境内的商业银行(或金融机构)发行的各类银行卡,应当执行国家规定的技术标准。
该办法提出了银行卡产品及系统需经过检测认证的要求,但受限于当时国内银行卡产业发展水平,相应的银行卡检测认证工作并没有展开。
2005年8月19日,人民银行行长办公会就建立检测认证制度的工作进行了讨论。
根据会议精神,人民银行科技司开展了一些沟通、协调工作。
2006年9月,中国印钞造币总公司、中国金融电子化公司、中国银联股份有限公司三家公司的认证机构筹建方案也曾报到科技司,提出了成立认证机构的初步方案。
2005年10月26日,人民银行颁布了《电子支付指引》(公告[2005]23号),指引中规定:
银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定(第二十三条);第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度(第三十条);银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务(第三十四条)。
该指引对电子支付认证工作提出了初步要求。
2007年,根据外资银行开展人民币业务加快和我国银行卡产业发展新情况,人民银行科技司对建立银行卡检测认证制度工作再次进行了研究,进一步调整思路,加强了与国家认监委工作协调,在国家法规和相关政策指导下,继续推进银行卡检测认证工作。
2008、2009年人民银行科技司通过勘误、修订、增补和新订银行卡有关技术标准,健全了现行的银行卡标准体系,为银行卡检测认证工作提供了技术依据。
其中,修订完成《银行卡磁道格式和使用规范》,该标准为国家标准,已开始申请报批工作;制定并发布了《中国金融集成电路(IC)卡检测规范》(JR/T0045-2008)、《银行卡卡片规范》(JR/T0052-2009)等两项行业标准;修订并发布了《银行卡销售点(POS)终端规范》(JR/T0001-2009)、《银行卡自动柜员机(ATM)终端规范》(JR/T0002-2009)、《银行卡联网联合技术规范》(JR/T0055-2009)等3项行业标准;
2009年,人民银行科技司调研国内外实施认证的法律依据和操作办法,密切了和国家相关管理部门的沟通协调合作,加强了对银行卡与电子支付产品、服务和系统的试点检测和管理工作。
一是组织有关单位拟定了《银行卡磁条信息格式测试大纲》、《银行卡卡片测试大纲》、《银行卡销售点(POS)终端测试大纲》、《银行卡自动柜员机(ATM)终端测试大纲》、《非金融支付清算组织服务系统检测规范》、《银行卡系统检测大纲》,初步构建了银行卡与电子支付技术检测规范体系;二是开展专题调研活动,总结农村信用社、外资银行银行卡发卡审核经验以及商业银行银行卡系统第三方服务机构检测经验,完善并修订了《商业银行银行卡发卡审核文档要求》、《商业银行银行卡系统安全性和标准符合性测试技术大纲》及《商业银行银行卡系统现场检查要点》等相关规范,将商业银行发卡过程中文档审核、系统检测、现场检查、过程管理等工作标准化和规范化。
2010年4月30日,中国人民银行颁布了《中国金融集成电路(IC)卡规范》(2010年版)(银发[2010]136号),该规范立足中国金融IC卡发展现状,汲取国际先进IC卡技术,总结国内金融IC卡应用试点经验,修订了我国金融IC卡应用的行业标准,具有较强的自主创新性,为我国金融IC卡产业的健康发展奠定了坚实的基础,也为开展金融IC卡检测认证工作提供了技术依据。
目前,人民银行正在开展电子支付认证基础工作,已初步《电子支付工具分类及代码》(征求意见稿)、《电子支付名词术语规范》(征求意见稿)、《电子支付数据元》(征求意见稿)、《电子支付文件数据格式》(征求意见稿)、《基于Internet的网上支付报文结构及要素》(征求意见稿)、《基于Internet的网上支付业务模型及流程》(征求意见稿)。
5.2检测认证现状
目前,我国银行卡与电子支付检测认证体系不完善完善,相关的检测认证主要集中在银行卡领域,电子支付领域尚为空白。
其中,银行卡及相关产品检测认证工作分如下几个层面:
一是人民银行组织开展的银行卡发卡审核检测工作。
该审核要求商业银行首次发卡需依据《银行卡业务管理办法》(银发[1999]17号)、《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发[2006]123号)、《中国人民银行关于统一启用“银联”标识及其全息防伪标识的通知(银发[2001]57号)》、《银行卡磁条信息格式和使用规范