金融科技产品认证

[参考官网：中国网络安全审查技术与认证中心 https://www.isccc.gov.cn]

（1）客户端软件

1 适用范围

本细则所指的客户端软件是在移动终端上为用户提供金融交易服务的应用软件，，，包括但不限于可执行文件、、、组件等
。。
。。

2 认证依据 

JR/T 0092 移动金融客户端应用软件安全管理规范JR/T 0098.3 中国金融移动支付 检测规范 第三部分：客户端软件；T/PCAC 0006 条码支付移动客户端软件检测规范（适用时）

上述标准原则上应执行最新版本
，，
，
，当需要使用标准的其他版本时
，，按认监委发布的有关文件要求执行。
。。。

3 认证模式

型式试验+文件审查+现场检查+获证后监督获证后监督是指获证后的跟踪检查、
、、、生产现场抽取样品检测、
、
、市场抽样检测三种方式之一或组合。。。

4 认证的基本环节 

认证基本环节包括：

（1）认证申请及受理

（2）型式试验

（3）文件审查

（4）现场检查

（5）认证决定

（6）获证后监督

5 认证实施

5.1 认证程序

认证委托方向指定的认证机构申请认证，，，认证机构对申请材料进行初审
，
，，，确认合格后向检测机构（由认证委托方自主从指定检测机构名单中选取）安排检测任务。。
。。检测机构应依据相关标准和技术规范进行检测，，
，
，完成后向认证机构提交检测报告。。。随后，
，，认证机构针对检测报告及其他技术材料进行文件审查，，组织进行现场检查。
。。。认证机构对检测、、文件审查、、现场检查的结果进行综合评价，，向评价合格方颁发认证证书。。认证机构组织对获证后的产品进行定期的监督。。
。。

5.2 认证申请及受理

5.2.1 认证的单元划分

原则上按软件名称/版本申请认证。。

6 认证证书

6.1 认证证书有效期

认证证书有效期为 3 年
。。
。。在有效期内，，，，通过每年对获证产品进行监督，，
，，确保认证证书的有效性。。。证书有效期届满前
，
，，，认证委托方可向认证机构提出证书续期申请，，，，认证机构对获证机构实施监督审查
，，合格即可续期。。。。

6.2 认证证书的使用

认证证书可以展示在文件、、、网站、、、通过认证的工作场所、
、、销售场所、、广告和宣传资料或广告宣传等商业活动中，，，，但不得利用认证证书和相关文字、、
、符号，，误导公众认为认证证书覆盖范围外的产品、、
、服务、、
、、管理体系获得认证，，，宣传认证结果时不应损害认证机构的声誉
。。认证证书不准伪造、
、、涂改
、、
、出借、、、出租、、、、转让、、、倒卖、
、、部分出示、
、部分复印。。。
。获证机构应妥善保管好证书，，，以免丢失
、、、损坏。。
。如发生证书丢失
、
、、损坏的，，获证机构可申请补发。。获证机构应建立认证证书
、、、审核报告使用和管理制度
，，，对认证证书的使用情况如实记录存档。
。

6.3 认证证书的管理

6.3.1 变更认证证书

认证证书有效期内，，若发生下列情况之一，，
，获证机构应向认证机构提出变更申请。。
。。认证机构策划并实施适宜的审查活动，，，并按照要求做出认证决定。。审查活动可与证后监督或再认证同时进行。
。

（1）软件名称/版本变更；

（2）证书持有者变更；

（3）获证机构所在地变更；

（4）认证所依据标准的改变。
。。。

如果产品非关键件变化引起功能/版本变化，，，，获证机构应提交变更后产品与已获证产品之间的差异性说明
，，，，由认证检测机构评估是否进行检测和/或现场检查；如果产品关键件（核心开发语言）变化引起功能/版本变化
，
，，，获证机构需申请再认证。。如果获证机构需要扩大/缩小认证范围时，，，应向认证机构同时提交扩大/缩小范围的理由、、
、事实的说明，，，以及扩大的产品与已获证产品之间的差异性说明
。
。。。认证机构应按照核查扩大/缩小认证范围与原认证范围的一致性和差异，，
，，确认原认证结果对扩展产品的有效性
，，，，需要时应针对扩大/缩小认证范围和其对原认证范围的影响进行检测和现场检查，，，
，并根据获证机构的要求单独颁发认证证书或换发认证证书。
。。产品发生的变更影响到的安全项比例小于 30%，，，无需进行检测
；产品发生的变更影响到的安全项比例在 30%-50%，，，，需要对变更的内容进行安全检测；产品发生的变更影响到的安全项比例大于 50%，，需要进行全项安全检测。
。。。如果认证变更只涉及到注册名称、、注册地址的变更，，，
，获证机构须递交变更申请，，，经书面审查批准后
，，认证机构仅对证书更新并收回原证书。。

认证所依据标准发生变更时，，，，认证机构应通知相关获证机构，，，，并要求其在规定的时间内申请再认证。。

6.3.2 暂停认证证书

获证机构有下列情形之一的，，，
，认证机构应当暂停认证证书
。。
。

（1）未按照规定及时接受证后监督审查或申请再认证；

（2）获证机构未按规定使用认证证书和认证标志；

（3）监督结果证明获证机构不符合认证要求，，，，但不需要立即撤销认证证书
；

（4）获证机构未履行与认证机构签署的认证合同中规定的责任和义务，，，如未按时支付认证费用等；

（5）获证机构主动请求暂停；

（6）在特定时期国家或行业管理部门有要求予以暂停12的。
。。

（7）获证机构出现严重问题或获证机构发生重大安全事故
。
。暂停期限一般为 3 个月
。
。在 3 个月内
，，，获证机构可提出恢复证书的申请
，，
，，认证机构经审查、、批准后，，，方可使用该证

书
。。。在认证证书暂停期间，，，，获证机构不得继续使用证书。。

6.3.3 撤销认证证书

获证机构有下列情形之一
，
，认证机构应当撤销其认证证书。。。。

（1）获证机构出现严重问题，
，在短期内无法恢复符合性的或获证机构在认证范围内无法满足适用的最新法律法规、、、、认证标准规范的要求，
，并在短期内无法采取措施或采取措施无效的；

（2）获证机构发生重大安全事故，，，造成客户资金安全受到威胁或损失，，，造成社会不良影响，
，，或潜在风险短期内无法消除的；

（3）获证机构不接受认证机构对其实施的证后监督审查；

（4）认证证书暂停使用期间，，获证机构未采取有效纠正措施；

（5）认证证书暂停使用期满，，，，获证机构未申请恢复证书。。认证证书撤销后，
，，认证机构应收回认证证书
，，
，
，并在认证机构官方网站予以公告
。。。自证书撤销之日起，，，获证机构不得继续使用认证证书，，，，或宣称获得该认证。。
。认证证书撤销后，
，不能以任何理由恢复，
，且 6 个月内不得重新申请认证。。

6.3.4 注销认证证书

获证机构因为自身原因申请注销认证证书，，，认证机构应当给予注销
。。。认证证书注销后，，，认证机构应收回认证证书，，，，并在认证机构官方网站上予以公告
。。

7 认证标志的使用

7.1 标志的样式和标志制作

认证标志的样式和制作应符合《金融科技产品认证标志管理要求》附件《金融科技产品认证标志管理要求》。。。具体

样式如下：

7.2 标志的使用 

（1）认证标志应加施在铭牌或产品外体的明显位置上；获证产品本体上不能加施认证标志的，，，，其认证标志必须加施在最小的产品外包装上及随附文件中
。。。。

（2）获证产品的外包装上可以加施认证标志。。。
。

（3）获证企业应建立认证标志使用管理制度，，，，对认证标志的使用情况如实记录和存档。。。
。

（4）应符合认证标志有关法规和规定的相关要求。。。。

8 收费

收费由认证机构、、、检测机构按国家有关规定统一收取
。。。。

（备注：因标准条件内容较多，，，，不此作详细列举
；如企业需要，，，，可登录官方网站查询或以邮件方式向我司索取。。）

 

（2）云计算平台

1 适用范围 

云计算平台认证是指对提供给金融行业使用的云服务设施的技术架构、、
、安全能力、、容灾能力的标准符合性认证工作。
。。本细则适用于为金融行业提供私有云和团体云服务的云服务设施。
。

2 认证依据

l JR/T 0166《云计算技术金融应用规范 技术架构》

l JR/T 0167《云计算技术金融应用规范 安全技术要求》

l JR/T 0168《云计算技术金融应用规范 容灾》

3 认证模式

型式试验+文件审查+现场检查+获证后监督

4 认证的基本环节 

认证基本环节：

（1）认证申请及受理

（2）型式试验

（3）文件审查

（4）现场检查

（5）认证结果评价与决定

（6）获证后监督

5 认证实施 

5.1 认证程序

认证委托方向认证机构申请认证，，，认证机构审查申请材料
，
，并对申请业务的认证范围进行识别和判定，
，确认在认证范围内后受理认证申请
。。。。认证委托方从认证机构公布的检测机构名录中自主选择检测机构实施型式试验
。。
。检测机构依据第 2 章所列标准和规范的要求进行型式试验。。。。型式试验完成后，，，检测机构向认证机构提交报告
。。。认证机构依据第 2 章所列标准和规范的要求，
，，，进行文件审查和现场检查。。。
。认证机构对型式试验结果、、文件审查和现场检查结果进行综合评价，，，向通过认证的申请方颁发证书。。在证书有效期内，，认证机构对获证机构进行证后监督。。。。

5.2 认证申请及受理

认证委托方向认证机构申请认证，，，提交认证的材料参见认证机构网站公示的认证申请要求。。初次进行认证申请的认证委托方应提交给认证机构的材料包括但不限于：

（1）认证申请书、、、技术风险自评估表（适用时）；

（2）认证委托方的营业执照
、
、组织机构代码证、、、、资质证书的复印件，，组织架构图；

（3）申请业务类型的业务模式说明（包括但不限于云计算部署模式、、服务类别、、申报的容灾等级等）；

（4）符合 JR/T 0071（三级及以上）及 GB/T 22239（私有云如有
、、
、、团体云必需）及符合《云计算服务安全评估办法》和 GB 50174 的相关证明材料；

（5）规划实施类：包括但不限于提供网络拓扑图、
、云服务设施的资产清单
、、系统或各组成部分需求说明书、、需求分析文档、、、、总体设计方案、
、
、数据库设计方案
、
、、概要设计方案、、、、详细设计方案、
、工程实施方案、、、开发环境说明等内容或文档；

（6）运维类：包括但不限于提供涉及风险管理、
、变更管理、、、、监控管理
、
、、、业务连续性管理、、应急响应、、
、审计管理以及各类用户手册等内容或文档；

（7）容灾类：包括但不限于提供风险与业务影响分析、
、、近一年安全事件（含中断事故）的自证材料、、RTO、、RPO、、
、、可用性等关键指标、、、
、预案与演练
、、机房管理制度、
、、、组织管理、、、监控管理等内容或文档；

（8）系统外包情况说明。。。。若无外包，，
，，需提交无外包纸质说明
；如将系统基础设施运维服务
、、
、
、应用系统运维服务和安全管理服务等外包给第三方机构的认证委托方，，需提交外包服务合同、、
、
、外包风险评估、
、、、服务提供商尽职调查、、、外包服务安全管理
、、外包服务监控与评价、、、、外包服务中断与终止等相关措施的文档。。
。认证机构在接收到认证委托方的申请材料后，
，在 5 个工作日内确定是否受理（因申请材料不齐备而补充材料的时间不计算在内）
。。。。

6 认证证书

6.1 认证证书有效期

认证证书有效期为 3 年。。在有效期内，，，通过每年对获证产品进行监督
，
，确保认证证书的有效性。
。证书有效期届满前，，
，认证委托方可向认证机构提出证书续期申请，，，
，认证机构对获证机构实施监督审查，，合格即可续期
。
。。

6.2 认证证书的使用

认证证书是认证机构颁发给认证委托方证明其服务符合认证要求的一种证明文件。。。认证证书可以展示在文件、、、网站、、、
、通过认证的工作场所、、销售场所、、、广告和宣传资料中或广告宣传等商业活动，，，
，但不得利用认证证书和相关文字、、符号，，误导公众认为认证证书覆盖范围外的服务获得认证，，宣传认证结果时不应损害认证机构的声誉。。。
。认证证书不准伪造、、
、涂改、、出借、、、、出租、、转让、、倒卖、、、、部分出示、
、部分复印。。。获证机构应妥善保管好证书，，，，以免丢失、
、、、损坏。。如发生证书丢失、
、
、、损坏的，，，，获证机构可申请补发
。。获证机构应建立认证证书、、评价报告使用和管理制度，，，，对认证证书的使用情况如实记录存档。。

6.3 认证证书的管理

认证证书的变更、、、暂停
、、、恢复、
、、撤销和注销要求如下
：

6.3.1 认证变更

6.3.1.1 云服务设施变更

获证机构在认证周期内，，当发生如下场景时认证委托方

须及时向认证机构提交变更说明
：

（1） 扩大或缩小认证范围；

（2） 出现的重大安全事故及变更措施
；

（3） 云服务架构或者支撑环境变更（包括但不限于支撑操作系统变更、
、支撑数据库产品变更、、
、
、开发语言变更等）、、、、重要版本变更等；

（4） 生产中心机房场地迁移或数量变化；

（5） 获证机构注册名称、
、、注册地址的变更；

（6） 相关主管部门或者采信方要求
。。
。

认证机构识别变更的类型和范围，，
，，评估变更影响，，
，策划 及实施适宜的审查活动，
，，并按照要求做出认证决定。
。  

6.3.1.2 认证要求变更

发生认证依据变更时，，，认证机构应组织评估变更影响范围，，制定变更实施方案，，并通知获证机构。。。

6.3.2 暂停认证证书

获证机构有下列情形之一的
，，，认证机构应当暂停认证证书：

（1）未按照规定及时接受证后监督审查或申请再认证；

（2）获证机构未按规定使用认证证书和认证标志；

（3）监督结果证明获证机构的云服务设施不符合认证要求，，但不需要立即撤销认证证书
；

（4）获证机构未履行与认证机构签署的认证合同中规定的责任和义务，，如未按时支付认证费用等
；

（5）获证机构主动请求暂停；

（6）未按 9.1 规定及时报告云服务设施变更情况或未按要求接受检测认证工作
。。。 暂停期限一般为 3 个月。。。。在 3 个月内
，
，
，
，获证机构可提出恢复证书的申请，，，认证机构经审查
、、、、批准后，
，，方可使用该证书
。
。在认证证书暂停期间，，
，，获证机构不得继续使用证书。。。。

6.3.3 撤销认证证书

获证机构有下列情形之一，，认证机构应当撤销其认证证书：

（1）获证机构出现严重问题
，
，或获证机构在认证范围内无法满足适用的法律法规
、、、认证标准规范要求
，
，，，并在短期内无法整改达成要求的；

（2）获证机构不接受认证机构对其实施的证后监督审查的；

（3）认证证书暂停使用期间，
，，
，获证机构未采取有效纠正措施；

（4）认证证书暂停使用期满，，，获证机构未完成证书恢复；

（5）出现重大安全事故，
，社会影响恶劣或者性质特别严重的。
。
。。

认证证书撤销后，，
，认证机构应收回认证证书，，，并在认证机构官方网站上予以公告。。
。自证书撤销之日起，，获证机构不得继续使用认证证书，，或宣称获得该认证。。
。
。认证证书撤销后，，，不能以任何理由恢复，，，且 6 个月内不得重新申请认证。
。

6.3.4 注销认证证书

获证机构因为自身原因申请注销认证证书，，
，认证机构应当给予注销。
。
。。认证证书注销后，，，认证机构应收回认证证书，，，，并在认证机构官方网站予以公告
。。

7 认证标志的使用

7.1 标志的样式和标志制作

认证标志的样式和制作应符合《金融科技产品认证标志管理要求》附件《金融科技产品认证标志管理要求》。。。
。具体样式如下：

7.2 标志的使用

（1）认证标志应加施在铭牌或产品外体的明显位置上
；获证产品本体上不能加施认证标志的，，，其认证标志必须加施在最小的产品外包装上及随附文件中。。。
。

（2）获证产品的外包装上可以加施认证标志。
。
。

（3）获证企业应建立认证标志使用管理制度，，对认证标志的使用情况如实记录和存档
。。。

（4）应符合认证标志有关法规和规定的相关要求
。。
。

8 收费

收费由认证机构、、检测机构按国家有关规定统一收取。。

（备注：因标准条件内容较多，，，不此作详细列举；如企业需要
，，，可登录官方网站查询或以邮件方式向我司索取
。。
。。）

（3）声纹识别系统

1 适用范围 

本细则适用于提供声纹识别服务的服务器端系统（可包含移动终端客户端可执行文件或组件等）
。。。

2 认证依据 

JR/T 0164 移动金融基于声纹识别的安全应用技术规范上述标准原则应上执行最新版本
，，，当需要使用标准的其他版本时，，按认监委发布的有关文件要求执行。。
。

3 认证模式 

型式试验+文件审查+现场检查+获证后监督获证后监督是指获证后的跟踪检查、、、生产现场抽取样品检测
、、、
、市场抽样检测三种方式之一或组合。。。。

4 认证单元划分 

声纹识别系统可分为客户端软件、、、、服务端系统两个组件，，
，，组件可单独申请认证，
，
，，也可作为整体申请认证。。
。具体单元划分原则如下表所示：

认证委托方组件划分原则；商业银行/支付机构/终端厂商等；客户端软件按软件名称/版本声纹认证服务商等
；服务端系统按系统名称/版本

5 认证实施 

5.1 认证程序

认证委托方可按本细则第 4 条单元划分原则申请认证，，，当商业银行/支付机构/终端厂商等作为认证委托方时，，，推荐联合声纹认证服务商共同申请认证。。。。认证委托方向认证机构申请认证，，
，，认证机构对申请材料进行初审
，，，确认合格后向检测机构（由认证委托方自主从指定检测机构名单中选取）安排检测任务。。检测机构应依据相关标准和技术规范进行检测，
，，完成后向认证机构提交检测报告
。。。随后，，认证机构针对检测报告及其他技术材料进行文件审查，，组织进行现场检查。。认证机构对检测、、、文件审查、、、现场检查的结果进行综合评价，，，向评价合格方颁发认证证书。。。
。认证机构组织对获证后的产品进行定期的监督
。。。

6 认证证书

6.1 认证证书的保持

认证证书有效期为 3 年。。。。在有效期内，，，通过每年对获证产品进行监督，
，确保认证证书的有效性。
。。证书有效期届满前，，，，认证委托方可向认证机构提出证书续期申请，，，，认证机构对获证机构实施监督审查，，，，合格即可续期。。。

6.2 认证证书的使用

认证证书可以展示在文件、、网站
、、
、通过认证的工作场所、、销售场所、、、、广告和宣传资料或广告宣传等商业活动中，，，但不得利用认证证书和相关文字、、符号，，，误导公众认为认证证书覆盖范围外的产品
、、、
、服务、、、管理体系获得认证
，
，宣传认证结果时不应损害认证机构的声誉。。
。认证证书不准伪造、
、、、涂改、、出借、
、出租、
、、转让、、倒卖、、部分出示、、、部分复印。。。。获证机构应妥善保管好证书，
，，以免丢失、、损坏。
。。。如发生证书丢失、、损坏的，
，获证机构可申请补发。。

获证机构应建立认证证书、、、审核报告使用和管理制度
，，，对认证证书的使用情况如实记录存档。。

6.3 认证证书的管理

6.3.1 变更认证证书

认证证书有效期内，，若发生下列情况之一，，，获证方应向认证机构提出变更申请
。。。认证机构策划并实施适宜的审查活动，，并按照要求做出认证决定。。
。。审查活动可与证后监督或再认证同时进行
。
。。。

（1）软件（系统）名称/版本变更；

（2）证书持有者变更；

（3）扩大或缩小认证范围
；

（4）获证方所在地变更
；

（5）认证所依据标准的改变。
。。。

如果由非关键件变化引起功能/版本变化
，，获证方应提交变更后产品与已获证产品之间的差异性说明，，由认证机构确定是否进行检测和/或现场检查；如果由关键件（关键功能、、、关键接口、
、、、软件架构、、
、软件开发语言等）变化引起功能/版本变化，，，获证方需重新申请认证。。。如果获证方需要扩大/缩小认证范围时，，，应向认证机构同时提交扩大/缩小范围的理由、、、、事实的说明，，，，以及扩大的产品与已获证产品之间的差异性说明。
。。。认证机构应按照核查扩大/缩小认证范围与原认证范围的一致性和差异，，确认原认证结果对扩展产品的有效性，，
，
，需要时应针对扩大/缩小认证范围和其对原认证范围的影响进行检测和现场检查，，，并根据获证方的要求单独颁发认证证书或换发认证证书。。。
。如果认证变更只涉及到注册名称
、、、注册地址的变更，，，，获证方须递交变更申请，
，，经书面审查批准后，，，，认证机构仅对证书更新并收回原证书。。。
。认证所依据标准发生变更时
，，，，认证机构应通知相关获证方，，并要求其在规定的时间内重新申请认证。。。

6.3.2 暂停认证证书

获证方有下列情形之一的，，认证机构应当暂停认证证书
。。

（1）未按照规定及时接受证后监督审查或申请再认证；

（2）获证方未按规定使用认证证书和认证标志；

（3）监督结果证明获证方不符合认证要求，，，
，但不需要立即撤销认证证书；

（4）获证方未履行与认证机构签署的认证合同中规定的责任和义务，，
，，如未按时支付认证费用等；

（5）获证方主动请求暂停
；

（6）在特定时期国家或行业管理部门有要求予以暂停的。。。

（7）获证方出现严重问题或发生重大安全事故。。。。

暂停期限一般为 3 个月。。。在 3 个月内，，，获证方可提出恢复证书的申请，
，，，认证机构经审查、
、、批准后，
，，
，方可使用该证书。。。。在认证证书暂停期间，，获证机构不得继续使用证书
。。

6.3.3 撤销认证证书

获证方有下列情形之一
，，
，认证机构应当撤销其认证证书。。。
。

（1）获证方出现严重问题
，，在短期内无法恢复符合性的

或在认证范围内无法满足适用的最新法律法规
、、认证标准规

范的要求，
，，，并在短期内无法采取措施或采取措施无效的；

（2）获证方发生重大安全事故，，造成客户资金安全受到威胁或损失，
，造成社会不良影响
，，或潜在风险短期内无法消除的
；

（3）获证方不接受认证机构对其实施的证后监督审查或未申请再认证的；

（4）认证证书暂停使用期间，，获证方未采取有效纠正措施；

（5）认证证书暂停使用期满
，，，获证方未申请恢复证书。。认证证书撤销后，，，
，认证机构应收回认证证书
，
，，并在认证机构官方网站上予以公告
。。。。自证书撤销之日起，，，，获证机构不得继续使用认证证书
，，，或宣称获得该认证。。。认证证书撤销后，，，，不能以任何理由恢复，，
，，且 6 个月内不得重新申请认证。。

6.3.4 注销认证证书

获证方因为自身原因申请注销认证证书
，，，认证机构应当给予注销。
。认证证书注销和撤销后，，，，认证机构应收回认证证书，，并在认证机构官方网站上予以公告。
。。

7 认证标志的使用

7.1 标志的样式和标志制作

认证标志的样式和制作应符合《金融科技产品认证标志管理要求》附件《金融科技产品认证标志管理要求》
。
。。。具体样式如下：

 7.2 标志的使用

（1）认证标志应加施在铭牌或产品外体的明显位置上
；获证产品本体上不能加施认证标志的，，
，其认证标志必须加施在最小的产品外包装上及随附文件中。。

（2）获证产品的外包装上可以加施认证标志
。
。。。

（3）获证企业应建立认证标志使用管理制度，，，，对认证标志的使用情况如实记录和存档。。。

（4）应符合认证标志有关法规和规定的相关要求。。

8 收费 

收费由认证机构
、、、检测机构按国家有关规定统一收取。
。。。

（备注：因标准条件内容较多，
，不此作详细列举；如企业需要，
，，可登录官方网站查询或以邮件方式向我司索取。。）