1、总则
1.1为保证接入中国银联股份有限公司(以下简称“中国银联”)网络的终端严格执行统一的技术标准,保证产品的质量和安全,维护银联品牌形象,特制定本规则。
1.2 本规则中所称的银联卡受理终端设备指的是能完成银联卡交易的受理设备及其安全组件,包括但不限于销售点POS终端、电话支付终端、mPOS终端硬件设备、智能销售点终端、金融自助终端、个人支付终端、其他新型终端等终端产品及PIN输入设备等终端安全组件。其中:
POS终端产品指的是能接受磁条卡和 IC卡信息并完成金融交易的销售点终端设备;
电话支付终端产品指的是在传统电话设备基础上发展起来的新型终端设备,电话支付终端通过与电话支付中心进行信息交互、由后台定制交易,完成基于银行卡的各种业务功能。以其适用的环境及功能不同分为Ⅰ型终端与 II型终端。
Ⅰ型终端用于家庭等私有场所;II型终端用于有人值守的小区物业和便民点、单位办公室和无集中收银的商品批发市场;
mPOS终端硬件设备指的是mPOS终端形态中的专用受理终端硬件部分。mPOS终端是一个整体概念,具体指,通过移动通讯设备(所搭载的支付应用软件)进行商户收银操作,由外接专用受理终端完成银联卡相关信息的采集和加密,通过移动通讯设备与后台处理系统交互完成交易,这一过程中涉及的外接专用受理终端即为mPOS终端硬件设备。
智能销售点终端指的是商户在银联卡交易过程中使用的一种智能终端设备,该设备搭载智能操作系统,支持银联卡交易处理,能实现卡片敏感信息的加密保护,支持多应用管理,可通过互联网接入智能销售点终端后台系统,与后台系统共同完成银联卡交易受理。
金融自助产品简称“自助终端”,指的是由持卡人操作的设备或装置,它在无人值守的环境中读取、捕捉和传输卡中的信息,提供自助服务功能;
个人支付终端是指持卡人个人在支付及身份鉴别过程中使用的一种终端设备,该设备可通过个人计算机、移动电话等个人设备联接后台,具备读取银行卡数据的能力,能够加密保护卡片数据及PIN信息。
其他新型终端产品是指除上述所列终端产品外,能完成银联卡金融交易的其他终端设备。
PIN输入设备是指用于对持卡人PIN进行加密,并有明确的物理和逻辑定义、具有抗攻击或防攻击特性的设备。
1.3 依据本规则,中国银联对银联卡受理终端设备开展安全认证,对通过认证的终端及PIN输入设备等产品颁发安全证书。银联卡受理终端设备安全认证是中国银联对认证申请企业具备持续地生产该款符合银联规范要求的终端设备的技术能力和管理水平的证明,但不对企业所生产的具体终端产品提供保证,企业在获得认证之后需要对其产品的安全和质量负责。
1.4 资质认证实行公开、公平、公正的原则。
2、管理机构
中国银联是银联卡受理终端设备安全认证的管理机构,行使对银联卡受理终端设备进行质量监督和管理的职责。中国银联授权银联标识产品企业资质认证办公室(以下简称“认证办公室”,设在中国银联技术管理部)组织具体的认证工作;中国银联委托专业检测机构作为终端设备安全检测的实施单位。
3、申请条件
3.1 提出终端设备认证申请的企业和设备应具备以下条件:
(1)持有工商行政管理部门核发的允许生产、销售金融终端机具的营业执照。申请企业的名称、经营范围、生产场地、注册资金等必须与企业所持营业执照一致(境外企业可以提供当地政府认可的具备相应资质的法人资格证明材料)。
(2)具有完善的质量保证体系、较强的应用开发能力和良好的售后技术支持能力,能够保证设备的质量和售后服务。
(3)企业注册资金(实收资本)不得低于1000万元人民币;具有良好的财务状况(近两年财务状况无亏损),能够保证企业的正常运营。
(4)具有一定的生产规模和知名度,具有五年(含)以上从事金融终端产品的开发、生产和销售经验,或者金融相关产品的开发和运营经验。
(5)申请认证终端设备的版权或专利必须由申请企业拥有。
(6)在中国国家强制性产品认证目录范围内的产品必须通过3C认证(境外市场布放的终端不需要提供3C 认证证书,但需根据终端产品布放国家地区的规定提供相应材料)。
3.2对于初次申请终端设备认证的企业,除3.1外,还应具备以下条件:
(1)企业注册资金(实收资本)不得低于2000万元人民币;具有良好的财务状况(近两年财务状况无亏损),能够保证企业的正常运营。(提供有合法资格会计师事务所出具的财务报告)
(2)企业需具备终端研发相关的技术能力与相关资质。(包括但不限于专利证书,高新技术企业资质等)
(3)企业需具备20人以上的专职研发团队,并提供相应的开发人员名单和履历信息表,申请认证的终端产品需为企业自主开发完成。
(4)企业需提供具备线下收单资质的合作支付机构推荐信。
3.3 如初次申请认证的企业为初创型企业,成立年限或从业经验不满足3.1中第四项要求,而该企业提交认证申请的产品为创新类终端产品,为支持市场创新需求,企业应提供全国性主要商业银行或者主要收单机构的推荐信及与其合作相关资料,作为企业成立时间不满足申请条件的补充依据,认证办公室将根据企业提交资料综合评估其资质是否符合认证申请条件。
4、认证流程
认证流程包括申请、材料审核、现场测评、产品检测、发证和公布等环节。对于其他新型终端产品,由于其特殊性,认证办公室将根据实际情况适当调整认证流程。
4.1 申请
提出设备安全认证申请的企业需向认证办公室提交下列全部材料,材料须用简体中文书写。认证办公室对企业所提交的材料只用于设备认证,并为其保密。
(1)认证相关表格,包括认证申请表(附件一)、认证信息汇总表(附件二)、终端技术指标表(附件三);
(2)营业执照和组织机构代码证复印件(境外企业可提供其在中国的分支机构的有效执照);
(3)企业的综合情况报告(包括基本情况、注册资金、产品范围、人员组织、年生产能力、产品质量保证和售后服务体系等,其中售后服务体系应包括服务网点、服务方式、服务人员资质和服务承诺等);
(4)有合法资格会计师事务所审计的企业前两年年度财务报告;
(5)质量认证证书或企业具有完善的质量保证体系的证明材料;
(6)申请认证设备的有关说明材料,包括但不限于技术方案、应用场景、业务架构等;
(7)申请认证设备的中国国家强制性产品认证证书(个人支付终端类产品不需要,其它新型终端根据实际情况确定);具备无线通讯功能的设备应具备电信设备进网许可证;具备IC卡支付功能的设备应通过PBOC 3.0相关检测;
(8)申请其他新型终端产品认证的企业需提供其产品的详细技术方案、试点或应用方案及其主要开发人员名单和履历书;
(9)申请认证设备的实体样机;
(10)具备线下收单牌照的合作支付机构推荐信(初次申请);
(11)认证办公室指定提交的其它材料。
4.2 材料审核
4.2.1认证办公室负责对申请材料进行审核。
4.2.2 审核内容包括申请材料的完整性、真实性和合规性。完整性指本规则规定的材料是否均已提供;真实性指申请企业提供材料是否真实、有效;合规性指企业提供材料的内容是否符合要求。认证办公室根据情况决定是否到申请企业进行现场测评(测评企业质量保证体系、应用开发能力和售后技术支持能力),以确认所提供材料的真实性。
4.2.3 认证办公室综合考虑申请企业的资质及国家、行业政策导向,根据实际情况决定是否受理认证申请,并将结果通知申请企业。
4.2.4 认证办公室在收到完整认证材料之日起一个月内完成对申请材料的审核工作,出具审核结论,并以《银联卡受理终端设备安全认证材料审核结果通知书》(附件四)的形式通知申请企业。其他新型终端设备由于其特殊性,其材料审核时间不受此限制。
4.2.5 如需要申请企业补充或重新提交申请材料,申请企业必须在收到通知的一个月内按要求提交补充材料,逾期不能提交并无任何说明视同主动放弃申请。
4.3 现场测评
4.3.1现场测评是对认证申请企业的所提交的认证申请材料的现场复核过程,测评内容包括人员管理、研发资质、质量管理、生产设施管业的生产研发能力、管理水平等满足批量生产银联认证终端设备的要求。
4.3.2对于以下情况的企业,认证办公室将收到认证申请后,根据企业提供的资料对其开展现场测评;
(1)初次申请终端安全认证的企业;
(2)曾发生过违规问题,完成整改后再次提交认证申请的企业;
对于不在上述范围内的企业或此前已通过现场测评的企业,认证办公室根据企业实际情况决定是否进行现场测评。
4.3.3对于需要进行现场测评的情况,认证办公室在企业提交认证申请之日起两个月内完成测评,并将测评结果通知企业。
4.3.4如现场测评不合格,则企业须根据认证办公室的测评意见在规定时间内完成整改,并向认证办公室申请现场测评复核。如未能按期完成整改或现场测评复核仍不通过,则本次认证不予通过。
4.4 产品检测
4.4.1产品检测标准由认证办公室依据《银联卡受理终端安全规范》等规范组织制定、修改和发布。
4.4.2申请企业在接到检测要求之日起,应在一个月内与指定检测机构联系开展设备检测事项,其他新型终端产品根据产品实际情况提供样机进行测试。具体的检测内容与检测方法由中国银联与受委托的专业检测机构确定。
4.4.3检测过程中,申请企业应安排专人配合检测工作。
4.4.4检测机构在收到样品之日起两个月内按照设备检测标准完成检测。如设备检测结果不符合要求,申请企业可以在收到检测报告两个月内补测一次。如补测仍不能符合要求,则取消本次认证。
4.4.5每次检测结束后,申请企业应向认证办公室提交检测报告。
4.5 认证审议、发放证书和公布信息
4.5.1在认证申请企业通过前一环节(产品检测)考核之后,认证办公室将在一个月内组织对设备认证的审议。审议通过后出具最终认证结论。
4.5.2对于通过认证的设备,认证办公室向企业发出《银联卡受理终端设备安全认证结果通知书》(附件五)。
4.5.3认证办公室在收到企业缴纳的认证费后,向通过认证的企业颁发《银联卡受理终端设备安全证书》,同时向社会公布;通过认证的产品列表可在银联认证信息网站(http://cert.unionpay.com)中查询。
4.6 认证费
每款终端产品的认证费为10000元;认证证书到期续证时,认证续期费用为10000元。认证费包含了认证办公室在认证过程中的人工服务费用以及证书三年的维护费用。企业应在中国银联指定的时间内缴付申请费。
中国银联有权以书面通知或发布本规则修订稿的形式对认证费用进行调整,调整一经通知或发布即为生效,但企业已经缴纳的费用不受影响。
4.7 证书有效期
《银联卡受理终端设备安全证书》设置三年有效期。
5、监督管理
5.1 质量监督
通过设备安全认证的终端企业需向认证办公室提供《银联卡受理终端设备质量监督保证书》(附件六)盖章件,按照承诺随时接受认证办公室的监督和检查。
5.2 证书续期与更新
5.2.1续期申请
证书到期前六个月内,企业应向认证办公室主动提交证书续期申请;截止证书到期日,仍未提出换发证书申请的企业,视为自动放弃证书续期资格,其所获证书自动失效。
5.2.2续期检测
企业向认证办公室提交证书续期后,认证办公室将根据技术标准和检测案例更新情况,确定该款产品的测试方案,有如下三种情况:
(1)完全测试。即对产品进行完整的安全测试。通常以下情况需要完全测试:a)技术标准和检测案例更新内容较多,原检测报告不能证明该产品当前的安全性;b)产品本身有较多的改进升级,需要重新进行安全测试以验证安全性。
(2)差异测试。即对产品进行差异部分的专项安全测试。通常以下情况只需要进行差异测试:a)技术标准和检测案例变动不大,原检测报告基本能够证明该产品当前的安全性,但需要对部分项目采用最新的测试方法进行补测;b)产品本身的硬件安全架构无变化,仅在安全固件/软件方面进行了改进,需要对这些改进的效果进行补充验证。
(3)不测试。即无需对产品进行再次测试,直接认可上一次的检测报告。仅在以下情况允许续期产品不测试:a)技术标准和检测案例均无变化;b)产品的外观、硬件、固件等均无变化;
5.2.3续期产品型号
企业在申请证书续期时,如产品的外观/硬件/固件发生变化,续期的产品型号/硬件版本号/固件版本号应与原产品进行明确区分。
5.3 终端抽检
5.3.1对已通过安全认证的设备,在证书有效期内,认证办公室将每年对产品质量、安全性及售后服务情况进行不定期抽查,并有权对批量生产的设备随机抽样进行检测。
5.3.2企业应配合认证办公室开展抽检工作;对于抽检中发现的问题,如果为企业自身违规造成,企业应根据认证办公室要求进行整改,对于情况严重的,将按照5.5采取相应的违规约束措施。
5.3.3对于抽检过程中,因企业自身问题产生的重复抽检费用,应由企业承担。
5.4 终端销售信息报备
对已通过安全认证的终端,企业须每月底前将该月该款设备的销售情况报送认证办公室(附件七)。企业如根据使用方的要求,需要对投入使用的设备进行任何改动的(不影响外观、质量及安全性),必须向认证办公室提出书面申请,经认证办公室评估同意后方可进企业销售的通过认证的终端上需明确印有终端厂商名称和产品型号信息,如未印制,认证办公室将认定其为未通过认证的产品,并按5.5采取相应的违规约束措施。
5.5 罚则
企业必须遵守本实施规则的规定,严格控制已经通过产品认证的设备的质量,保证各个环节的安全。如企业出现违反认证规则相关内容的,认证办公室将根据情况采取违规约束措施。
违规行为包括但不限于以下方面问题:
ü 产品出现一般质量问题,企业已及时提供信息,并积极开展整改措施,尚未产生不良影响或造成经济损失。
ü 如产品出现质量或安全问题,企业已及时提供信息,并积极开展整改措施,影响较轻或损失较少的。
ü 认证过程中提供虚假材料的。
ü 不配合认证办公室日常管理,警告后仍不改正的。
ü 产品抽检过程中发现违规问题的。
ü 未按照要求按时提供终端销售数据,或提供的销售数据与实际不符的。
ü 投放市场的产品与通过认证的产品外观、版本、结构不一致的。
ü 其他违反认证规则的问题。
处罚措施包括但不限于以下方面:
ü 警告:通过向企业发函、约谈企业相关负责人等方式提出警告,适用于企业未严格遵守认证相关规定,但情节轻微,尚未对中国银联及其成员机构品牌形象造成损害的情况。
ü 通报:通过中国银联认证官网公告或者发函等形式向成员机构及产业界通报,适用于企业出现较严重的质量和安全问题,或企业在质量和安全方面发生变化导致不能完全满足生产加工要求的情况。
ü 上浮认证费:适用于产品存在较严重安全或质量问题的企业,在受理其新终端认证申请时,提高收取的认证费用,用于产品抽检及现场复查,最高上浮比例不超过500%,具体标准由认证办公室决定。
ü 暂停新产品认证申请:对于企业新产品认证申请,暂停时间从三个月到一年不等。适用于认证产品出现较严重质量和安全问题,需进行限期整改的情况。
ü 取消认证证书:即取消问题终端的安全证书。适用于企业的终端产品出现较严重的质量和安全问题,造成不良影响的情况。
6、附则
6.1企业对检测和认证结果有异议时,可向中国银联提出申诉。
6.2 本规则由中国银联制定、颁布、解释和修改。
6.3 本规则自发布之日起实施。
