银联卡受理终端PIN输入设备认证实施细则

银联卡受理终端PIN输入设备认证实施细则

第一章总则

第一条为保证保护银联卡PIN输入安全，维护发卡银行、持卡人利益，根据《银联卡受理终端PIN 输入设备安全规范与银联卡受理商户信息系统安全规范的实施方案》（银联技管委〔2010〕3 号），特制定本实施细则。

第二条本细则中PIN输入设备指的是用于对持卡人PIN进行加密、并有明确的物理和逻辑定义、具有抗攻击或防攻击特性的设备。

第三条依据本细则，中国银联股份有限公司（以下简称“中国银联”）对银行卡受理设备使用的PIN输入设备进行认证。对通过认证的产品按照类型发放相应证书，通过认证的PIN输入设备方可接入银联网络进行银联卡密码的输入、处理和传输。

第四条资格认证实行公开、公平、公正的原则。

第二章管理机构

第五条中国银联授权银联标识产品企业资格认证办公室（以下简称“资格认证办公室”，设在中国银联技术管理部）负责产品认证的组织工作（联系方式见附件十）；中国银联委托专业检测机构作为产品检测的实施单位。

第三章认证流程

第一节申请

第六条提出终端产品认证申请的企业和产品应具备以下条件：

1、申请企业持有工商行政管理部门核发的允许生产、销售金融终端机具的营业执照。申请企业的名称、经营范围、生产场地、注册资金等必须与企业所持营业执照一致（境外企业可以提供当地政府认可的具备相应资质的法人资格证明材料）。

2、申请企业具有完善的质量保证体系、较强的应用开发能力和良好的全国范围售后技术支持能力，能够保证产品的质量和售后服务。

3、申请企业具有良好的财务状况（近两年财务状况无亏损），能够保证企业的正常运营。

4、申请企业具有一定的生产规模和知名度，具有6年以上从事金融终端产品研发、生产和销售经验。

5、申请认证终端产品的版权或专利必须由申请企业拥有。

6、申请认证的终端产品必须通过中国国家强制性产品认证（3C 认证）（仅在境外市场布放的终端不需要提供3C 认证证书，但需根据终端产品布放国家地区的规定提供相应材料）。

第七条提出产品认证申请的企业需向资格认证办公室提交下列全部材料，材料须用简体中文书写（境外企业可提供英文材料）。资格认证办公室对企业所提交的材料只用于产品认证，并对其保密。

1、产品认证申请表（附件一）；

2、营业执照和组织机构代码证复印件（境外企业可以提供当地政府认可的具备资质的法人资格证明材料）；

3、企业的综合情况报告（包括基本情况、注册资金、产品范围、人员组织、年生产能力、产品质量保证和售后服务体系等，其中售后

服务体系应包括服务网点、服务方式、服务人员资质和服务承诺等）；

4、有合法资格会计师事务所审计的企业前两年年度财务报告；

5、质量认证证书或企业具有完善的质量保证体系的证明材料；

6、申请认证产品的有关说明材料（技术信息表）；

7、申请认证产品的PIN输入设备评估表及PIN输入设备安全评

估厂商调查问卷（附件二、附件三）

8、申请认证产品的中国国家强制性产品认证证书。

第二节材料审查

第八条资格认证办公室负责对申请材料进行审查。

第九条审查内容包括申请材料的完整性、真实性和合规性。完整性指本细则规定的材料是否均已提供；真实性指申请企业提供材料是否真实、有效；合规性指企业提供材料的内容是否符合要求。资格认证办公室根据需要决定是否到申请企业进行实地考察（考察企业质量保证体系、应用开发能力和售后技术支持能力），以确认所提供材料的真实性。

第十条资格认证办公室有权根据具体情况决定是否受理认证申请。确定受理后，要求申请产品认证的企业缴纳认证费（每款产品5000元）。

第十一条资格认证办公室在收到认证费之日起一个月内完成对申请材料的审查工作，出具审查结论，并以《银联卡受理终端PIN 输入设备认证申请材料审查结果通知书》（附件四）的形式通知申请企业。

第三节产品检测

第十二条材料审查通过后，申请认证的产品须接受资格认证办公室组织的产品检测。检测由资格认证办公室委托的专业机构负责，依据是《银联卡受理终端PIN输入设备安全规范》。认证检测是在现有技术手段下对《银联卡受理终端PIN输入设备安全规范》符合性的验证。

第十三条申请企业在接到检测要求之日起，应在一个月内提交两台申请认证产品的样品到指定检测机构进行测试。

第十四条产品测试费用由检测机构根据检测项目确定，并报资格认证办公室备案。

第十五条产品测试过程中，申请企业要安排专人配合检测机构的检测工作。

第十六条检测机构在收到样品之日起一个月内按照产品检测标准完成检测。如产品检测结果不符合要求，申请企业可以在收到检测报告一个月内补测一次。如补测仍不能符合要求，则取消本次认证。

第十七条每次检测结束后，检测机构负责向资格认证办公室及时提交检测报告。

第四节发证和公布

第十八条资格认证办公室通过对申请材料和检测报告进行全面审核，在两个月内形成产品认证结论。对于通过认证的产品，资格认证办公室负责向企业发《银联卡受理终端PIN输入设备认证结果通知书》(附件五)，并颁发《银联卡受理终端PIN输入设备入网许可证》（附件六），同时向社会公布。

第十九条通过认证的终端生产企业必须与资格认证办公室签

订《银联卡受理终端PIN输入设备质量监督保证书》（附件七），承诺随时接受资格认证办公室的监督和检查。

第二十条《银联卡受理终端PIN输入设备产品入网许可证》不设固定的有效期，产品通过认证后在《银联卡受理终端PIN输入设备安全规范》（Q/CUP 007.6—2010）的有效期内始终有效。中国银联相关规范版本升级后，资格认证办公室负责通知已有产品通过认证的生产企业。生产企业接到通知后，应于规定时间内完成产品的升级，并送检测单位检测，对于逾期未通过升级检测的，资格认证办公室将取消该产品的证书。

第二十一条认证有效期内，生产企业对产品进行技术升级，涉及到硬件及结构变动的，需报告资格认证办公室，由资格认证办公室评估是否需要重新认证。

第二十二条认证有效期内，《银联卡受理终端PIN输入设备安全规范》进行了升级或修订，资格认证办公室将按照规范变化的情况，要求已经通过认证的企业提交产品进行专项测试，测试通过后的产品才允许接入银联网络。

第四章监督管理

第二十四条对已通过产品认证的产品，在认证有效期内，资格认证办公室将对该产品质量、安全性及售后服务情况进行不定期抽查,并有权对批量生产的产品随机抽样检测。

第二十五条对已通过认证的产品，生产企业须于每年1月上旬将上一年度终端产品的销售情况和售后服务情况报资格认证办公室（附件八、九）。

第二十六条生产企业根据使用方的要求，需要对投入使用的设备进行改造的，必须向资格认证办公室提出书面申请，经评估同意后方可进行。

第二十七条同一型号的产品生产企业在销售时不得擅自进行软硬件的变动，销售的产品必须与提交认证的产品保持一致。如确实需要升级变动的必须报资格认证办公室备案。一旦发现生产企业擅自更改产品软硬件配置，并造成安全质量等影响的资格认证办公室将根据实际情况进行处罚。

第二十八条生产企业必须遵守本实施细则的规定，严格控制已经通过认证设备的质量，保证各个环节的安全。否则，资格认证办公室将进行如下处罚：

1、设备出现一般质量问题，尚未产生不良影响或造成经济损失，资格认证办公室将给予口头警告；

2、设备出现质量或安全问题，但影响较轻或损失较少的，资格认证办公室将给予书面警告，并下达整改通知限期整改；

3、设备出现下列情况之一的，资格认证办公室将取消其入网资格。生产企业在6个月内不得对该种产品再次申请认证。

（1）提供虚假材料骗取入网许可证的；

（2）出现严重的质量和安全问题，造成较大影响或损失的；

（3）连续两次抽检不合格的；

（4）不配合资格认证办公室认证管理，多次书面警告后拒不改正的。

第五章附则

第二十九条申请企业对测试和认证结果有异议时，可向中国银联提出申诉。

第三十条本细则由中国银联制定、颁布、解释和修改。

第三十一条本细则自发布之日起实施。

附件一

银联卡受理终端PIN输入设备认证申请表申请表编号：

单位名称

地址邮编

营业执照编号

联系人姓名联系电话传真申请产品认证的设备型号

申请理由简述：

申报材料清单：

1、

2、

3、

4、

5、

6、

7、

……

单位负责人签字单位盖章

年月日

附件二：

银联卡受理终端PIN 输入设备安全要求手册

1.PIN输入设备描述

PIN输入设备生产商：

PIN输入设备标识

产品名/编号：

硬件版本A：

用‘x’表示 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25固件版本：

应用程序版本：

在这个表格后面附加设备规格说明（包括设备照片）用以突出设备的特性。照片应该包含设备外部和内部结构，内部照片应该足以显示设备的各个组件。

PIN输入设备标识中的可选变量

A

硬件版本-要求使用变量“x”（注意：同样也适用于固件版本号）

“x”位置 所选择位置的”x”说明

2.安全要求2.1核心-物理

2.2逻辑安全性要求

2.3附加联机要求

2.4附加脱机要求

2.5生产期间的设备安全管理要求

PED制造商应该支持下列要求。通常实验室并不验证这些信息，但是依然要求厂商完成下列的表格并把信息报送实验室供复查，并在必要时做更正。

2.6设备安全管理要求

PIN输入设备制造商应该支持下列要求。通常实验室并不验证这些信息，但是依然要求厂商完成下列的表格并把信息报送实

3.设备安全性承诺书

3.1设备安全性承诺书厂商信息

5.3.1 设备安全性承诺书厂商信息表

PIN 输入设备生产商：

地址1： 地址2： 国家： 省/州： 城市：

邮政编码：

主要联系人：

职务： 电话号码： 传真：

电子邮件：

3.2设备安全性承诺声明

承诺人职务：

日期：

4.设备安全性例外声明

表 5.4.1 设备安全性例外表

对于5.2中所有安全要求选项，若选择“不符合”或“不适用”的选项，请在下表中解释原因。

PIN输入设备生产商：

设备型号和编号：

选项号 选项 原因描述

5．标准

依据标准：

《银联卡受理终端安全规范 第六部分：PIN输入设备安全规范》－中国银联股份有限公司 2010

附件三：

银联卡受理终端PIN输入设备安全评估厂商调查问卷

1.说明

1.请填写下列用于评估的PIN输入设备的信息

2.请按照《银联卡受理终端PIN 输入设备安全要求手册》（PIN输入设备安全要求）的格

式，确认问卷中所有您回答“是”的部分。

3.请将确认部分的每个项目都填写完整。

4.请提供足够的细节信息以描述清楚PIN输入设备的属性或功能。

5.必要时请参阅并提供附加文件。

6.厂商必须在“备注”部分提供必要细节，对所有“N/A”回答做出说明。

示例：

《银联卡受理终端PIN 输入设备安全要求手册》表格中问题A1.1的回答为“是”，则问卷中A1.1部分中的所有项目（1到8）都必须做出回答。

PIN输入设备生产商:

PIN输入设备标志

市场型号/编号:

硬件版本号:

固件版本号:

应用程序版本号

2.问卷填写人

签名日期打印名

3.安全特性声明

3.1核心物理安全特性

A1.1

如果《银联卡受理终端PIN 输入设备安全要求手册》中A1.1部分的答案为“是”，请描述：

1 防篡改机制。

2 触发机制后的入侵响应。

3 PIN输入设备检测到的入侵行为后如何反应。（回答应包括关于入侵检测机制如何工作

以及如何擦除秘密信息或（和）不可用的书面描述）。

4 除入侵检测外，请描述防止访问敏感信息或者防止置入窃取装置的保护措施。

5 防止设备被物理渗透攻击的机制。

6 请合理解释，说明为什么PIN输入设备的实现能够使必须有至少花费25分的潜在攻击才

能侵入和修改PIN输入设备从而泄漏敏感信息或植入PIN窃取装置。

7 擦除了什么敏感信息，以及使用了什么机制进行擦除的。

8 未被擦除的敏感信息是如何被保护的。