金融科技产品认证实施细则声纹识别系统
2019-12-31 发布 2020-01-01 实施
中国网络安全审查技术与认证中心 发布
目 录 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证单元划分 1 5 认证实施 2 5.1 认证程序 2 5.2 认证申请及受理 3 5.2.1 申请资料要求 3 5.2.2 受理 4 5.3 检测委托及实施 4 5.3.1 型式试验 4 5.3.2 检测报告的提交 4 5.4 文件审查 5 5.5 现场检查 5 5.5.1 检查内容 5 5.5.2 现场检查 6 5.6 认证决定 6 5.7 认证时限 7 5.8 获证后监督 7 5.8.1 证后监督频次和方式 7 5.8.2 证后监督审查的内容 8 5.8.3 获证后监督结果评价 8 6 认证证书 9 6.1 认证证书的保持 9 6.2 认证证书的使用 9 6.3 认证证书的管理 10 6.3.1 变更认证证书 10 6.3.2 暂停认证证书 11 6.3.3 撤销认证证书 12 6.3.4 注销认证证书 13 7 认证标志的使用 13 7.1 标志的样式和标志制作 13 7.2 标志的使用 13 8 收费 14
1 适用范围
本细则适用于提供声纹识别服务的服务器端系统(可包含移动终端客户端可执行文件或组件等)。 2 认证依据
JR/T 0164 移动金融基于声纹识别的安全应用技术规范上述标准原则应上执行最新版本,当需要使用标准的其 他版本时,按认监委发布的有关文件要求执行。
3 认证模式
型式试验+文件审查+现场检查+获证后监督 获证后监督是指获证后的跟踪检查、生产现场抽取样品检测、市场抽样检测三种方式之一或组合。 4 认证单元划分
声纹识别系统可分为客户端软件、服务端系统两个组件,组件可单独申请认证,也可作为整体申请认证。具体单元划分原则如下表所示: 认证委托方 组件 划分原则 商业银行/支付机构
/终端厂商等 客户端软件 按软件名称/版本 声纹认证服务商等 服务端系统 按系统名称/版本
5 认证实施 5.1 认证程序
认证委托方可按本细则第 4 条单元划分原则申请认证,当商业银行/支付机构/终端厂商等作为认证委托方时,推荐联合声纹认证服务商共同申请认证。 认证委托方向认证机构申请认证,认证机构对申请材料进行初审,确认合格后向检测机构(由认证委托方自主从指定检测机构名单中选取)安排检测任务。检测机构应依据相关标准和技术规范进行检测,完成后向认证机构提交检测报告。随后,认证机构针对检测报告及其他技术材料进行文件审查,组织进行现场检查。认证机构对检测、文件审查、现场检查的结果进行综合评价,向评价合格方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 5.2 认证申请及受理
5.2.1 申请资料要求
认证委托方在申请认证时,应提交的申请材料包括但不限于: (1)申请基本信息(纸质和电子各 1 份,须加盖公章) 认证申请书; 认证委托方、生产者(制造商)、生产企业营业执照复印件; 质量体系相关文件; 认证委托方关于生产产品与被认证产品的一致性声明。 被认证产品符合认证依据的适用性声明。 (2)安全保证能力相关文档(电子 1 份): 配置管理 开发安全 交付与运行 开发文档 指导性文件 (3)外包管理材料(适用于将产品开发、运维和安全管理等外包给第三方机构的认证委托方,提交纸质或电子版 1份),至少包括以下材料: 外包合同; 外包安全保密协议。 其中,申请基本信息材料及外包管理材料需在受理前提交,技术文档以及其他检测过程中涉及的技术材料,提交给检测机构同时需提交认证机构,管理文档需在检测完成前提交给认证机构。
5.2.2 受理
认证机构应在接收到认证委托方的申请基本信息相关材料后确定是否受理。 5.3 检测委托及实施
认证委托方应在签约的检测机构完成检测,检测机构与认证委托方签订检测合同并具体实施检测。检测工作结束后,检测机构根据要求向认证机构提交检测工作材料。
5.3.1 型式试验
检测机构依据金融科技产品相关标准规范(详见本文第 2部分:认证依据,下同),对认证委托方样品的标准符合性进行检测。
5.3.2 检测报告的提交
检测机构应于检测完成后 10 个工作日内向认证机构、认 证委托方提交型式试验报告(电子、纸质各一份)。其他相关资料由认证委托方和检测机构妥善处置。 5.4 文件审查
认证机构在收到检测机构出具的检测报告及相关材料后,安排检查员进行文件审查。文件审查的范围包括所有申请材料及检测报告。 文件审查依据金融科技产品相关标准规范,对认证申请范围内的被认证对象的标准符合性进行审查,获取认证委托方所提供的被认证对象是否符合认证规范的证据。如有与申请认证业务范围相关的投诉记录,应分析对认证要求符合性的影响。 文件审查一般为 3 至 4 个人日。
5.5 现场检查
5.5.1 检查内容
安全保证能力 安全保证能力检查依据《金融科技产品认证实施细则 安全保证能力及质量保证能力要求》实施。 质量保证能力 质量保证能力检查依据《金融科技产品认证实施细则 安全保证能力及质量保证能力要求》实施。 产品一致性检查 产品一致性检查内容包括且不限于以下内容: (1)认证产品的认证委托人、生产者(制造商)、生产企业的信息(名称、地址)是否与认证申请/认证证书内容一致; (2)认证产品名称、型号规格、版本、认证标志和其他必要的说明与型式试验报告是否一致。
5.5.2 现场检查
现场检查工作量的安排根据认证委托方的规模和分布情况,一般每个场所为 2 至 4 个人日。 5.6 认证决定
认证机构对型式试验、文件审查、现场检查的审查结论进行综合评价,作出认证决定,对符合认证要求的,颁发认证证书,并在认证机构网站上予以公告。如认证决定过程中发现不符合认证要求项,允许限期(通常情况下不超过 3 个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。对于不授予认证资格的认证委托方,认证机构应向其以书面形式明示不能获得认证资格的原因。 5.7 认证时限
认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日。其中,认证机构在收到认证委托人的认证申请后,于 5 个工作日内完成申请资料审核,审核通过后受理认证申请。补充材料时间不计算在内。检测机构收到样品后,于 70 个工作日内完成检测,整改时间及补充材 料时间不计算在内。认证机构收到检测报告后,于 5 个工作日内完成认证审查安排。认证审查完成后,认证机构于 15 个工作日内完成发证流程。认证时限原则上不超过 90 个工作日。各认证环节整改时间及补充材料时间不计算在内。 5.8 获证后监督
5.8.1 证后监督频次和方式
从获证之日起至证书有效期止,每 12 个月为一个监督审查期,进行一次证后监督。证后监督可采用文件审查或现场检查,或者结合抽样检测的方式。每次证后监督原则上由认证机构提前 1 个月通知获证机构(必要情况下,认证机构可采取事先不通知的方式对获证机构实施监督)。 获证机构如出现以下情况之一,认证机构可视情况增加证后监督审查的频次: (1)获证产品出现严重质量问题时,或者用户提出投诉 并经查实为证书持有者责任时; (2)认证机构有足够理由对获证产品与本细则中规定的标准要求的符合性提出质疑时; (3)有足够信息表明获证机构因组织结构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
5.8.2 证后监督审查的内容
获证后监督的内容和方式与初次认证现场检查一致,必要时可对获证产品进行抽样检测。 证后监督检查工作量根据获证产品的单元数量确定,并适当考虑获证机构的生产规模。一般不超过初次认证的人日数。
5.8.3 获证后监督结果评价
对于证后监督审查合格的获证方,认证机构应做出保持其认证资格的决定; 对于证后监督审查不合格的获证方,允许限期(通常情况下不超过 3 个月)完成纠正措施,逾期认证机构应根据情况暂停/撤销其认证资格。 6 认证证书 6.1 认证证书的保持
认证证书有效期为 3 年。在有效期内,通过每年对获证产品进行监督,确保认证证书的有效性。证书有效期届满前,认证委托方可向认证机构提出证书续期申请,认证机构对获证机构实施监督审查,合格即可续期。 6.2 认证证书的使用
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证,宣传认证结果时不应损害认证机构的声誉。 认证证书不准伪造、涂改、出借、出租、转让、倒卖、部分出示、部分复印。获证机构应妥善保管好证书,以免丢失、损坏。如发生证书丢失、损坏的,获证机构可申请补发。 获证机构应建立认证证书、审核报告使用和管理制度,对认证证书的使用情况如实记录存档。 6.3 认证证书的管理
6.3.1 变更认证证书
认证证书有效期内,若发生下列情况之一,获证方应向认证机构提出变更申请。认证机构策划并实施适宜的审查活动,并按照要求做出认证决定。审查活动可与证后监督或再认证同时进行。 (1)软件(系统)名称/版本变更; (2)证书持有者变更; (3)扩大或缩小认证范围; (4)获证方所在地变更; (5)认证所依据标准的改变。 如果由非关键件变化引起功能/版本变化,获证方应提交变更后产品与已获证产品之间的差异性说明,由认证机构确定是否进行检测和/或现场检查;如果由关键件(关键功能、关键接口、软件架构、软件开发语言等)变化引起功能/版本变化,获证方需重新申请认证。 如果获证方需要扩大/缩小认证范围时,应向认证机构同时提交扩大/缩小范围的理由、事实的说明,以及扩大的产品与已获证产品之间的差异性说明。认证机构应按照核查扩大/缩小认证范围与原认证范围的一致性和差异,确认原认证结果对扩展产品的有效性,需要时应针对扩大/缩小认 证范围和其对原认证范围的影响进行检测和现场检查,并根据获证方的要求单独颁发认证证书或换发认证证书。 如果认证变更只涉及到注册名称、注册地址的变更,获证方须递交变更申请,经书面审查批准后,认证机构仅对证书更新并收回原证书。 认证所依据标准发生变更时,认证机构应通知相关获证方,并要求其在规定的时间内重新申请认证。
6.3.2 暂停认证证书
获证方有下列情形之一的,认证机构应当暂停认证证书。 (1)未按照规定及时接受证后监督审查或申请再认证; (2)获证方未按规定使用认证证书和认证标志; (3)监督结果证明获证方不符合认证要求,但不需要立即撤销认证证书; (4)获证方未履行与认证机构签署的认证合同中规定的责任和义务,如未按时支付认证费用等; (5)获证方主动请求暂停; (6)在特定时期国家或行业管理部门有要求予以暂停的。 (7)获证方出现严重问题或发生重大安全事故。 暂停期限一般为 3 个月。在 3 个月内,获证方可提出恢 复证书的申请,认证机构经审查、批准后,方可使用该证书。在认证证书暂停期间,获证机构不得继续使用证书。
6.3.3 撤销认证证书
获证方有下列情形之一,认证机构应当撤销其认证证书。 (1)获证方出现严重问题,在短期内无法恢复符合性的或在认证范围内无法满足适用的最新法律法规、认证标准规范的要求,并在短期内无法采取措施或采取措施无效的; (2)获证方发生重大安全事故,造成客户资金安全受到威胁或损失,造成社会不良影响,或潜在风险短期内无法消除的; (3)获证方不接受认证机构对其实施的证后监督审查或未申请再认证的; (4)认证证书暂停使用期间,获证方未采取有效纠正措施; (5)认证证书暂停使用期满,获证方未申请恢复证书。认证证书撤销后,认证机构应收回认证证书,并在认证 机构官方网站上予以公告。自证书撤销之日起,获证机构不得继续使用认证证书,或宣称获得该认证。 认证证书撤销后,不能以任何理由恢复,且 6 个月内不得重新申请认证。 6.3.4 注销认证证书
获证方因为自身原因申请注销认证证书,认证机构应当给予注销。 认证证书注销和撤销后,认证机构应收回认证证书,并在认证机构官方网站上予以公告。 7 认证标志的使用 7.1 标志的样式和标志制作
认证标志的样式和制作应符合《金融科技产品认证标志管理要求》附件《金融科技产品认证标志管理要求》。具体样式如下:
7.2 标志的使用
(1)认证标志应加施在铭牌或产品外体的明显位置上;获证产品本体上不能加施认证标志的,其认证标志必须加施在最小的产品外包装上及随附文件中。 (2)获证产品的外包装上可以加施认证标志。 (3)获证企业应建立认证标志使用管理制度,对认证标志的使用情况如实记录和存档。 (4)应符合认证标志有关法规和规定的相关要求。
8 收费
收费由认证机构、检测机构按国家有关规定统一收取。
★LA认证★CCCF认证★消防产品认证★特种设备许可证★API认证★重庆LA认证★重庆CCCF认证★重庆消防产品认证★重庆特种设备许可证★重庆API认证★四川LA认证★四川CCCF认证★四川消防产品认证★四川特种设备许可证★四川API认证★ |