银联在近期发布了《银联卡受理终端产品生产安全与质量管理指南》，对终端厂商认证有了新的硬性要求，旨在引导终端厂商提高产品设计与研发管理水平，在产品生命周期管理过程中建立和实施有效的安全与质量管控制度，确保终端产品的一致性。

　　银联认证厂商相关数据

　　据银联透露，近两年终端厂商数量剧增，申请厂商达到200+家，但是实际过认证的厂商只有95家。而过检的终端数量上，截至2016年10月底，共有有效期内通过银联认证产品356款（3款由于抽检原因取消资质），在11月和12月的银联抽检中，又新增17款POS取消认证资质，所以市场总计339款银联认证产品，详情关注移动支付网报道《银联公布2016年受理终端抽检结果 15家厂商20款POS被取消安全认证》。

　　银联2016年10月底数据

　　在企业认证问题频出的大环境下，银联发布了《银联卡受理终端产品生产安全与质量管理指南》，并要求在2017年1月正式实施，分别在企业资质要求、资产管理、人员管理、环境与访问控制安全、产品生命周期管理、质量审核、安全事件应急响应等7个方面对终端认证企业做出了细化要求。

　　1、企业资质要求

　　对认证规则中定义的企业基本条件提供具体的实施指南，例如：

　　a) 办公场所面积300平方米以上；

　　b) 终端生产厂商面积1000平方米以上；

　　c) 具备自主研发专利10件（含已受理）以上等具体要求。

　　2、资产管理

　　提出对信息资产和关键资产进行识别、分级管理的要求。例如：

　　a) 编制资产清单，标识不同等级的资产；

　　b) 对资产生命周期提出管理要求等。

　　企业在划分清晰各项资产之后，再根据不同级别资产对应的管理要求，制订和实施不同的管理策略。

　　3、人员管理

　　对企业员工管理要求提供具体实施指南，包括组织保障、岗位设置、访问控制、招聘、培训、岗位变更、离职等具体内容。重要内容举例：

　　a) 应具有专门的安全管理组织并明确职责。

　　b) 应设置质量管理人员、工艺人员、设计开发人员等具体岗位；

　　c) 对员工访问进行控制策略的制定；

　　d) 招聘员工应有必要的背景调查并签署保密协议；

　　e) 对员工定期进行安全策略和实施程序的培训；

　　f) 员工岗位变动时，其适用的访问权限应进行调整；

　　g) 员工离职时，应实施一系列的权限回收措施。

　　4、环境与访问控制安全

　　对终端厂商的物理位置、物理环境、安全设施、测试设备等提出具体要求。主要条款内容举例：

　　a) 选址避开灾害高发区，并在当地警方、消防及时覆盖区域；

　　b) 工作场所设置三级或以上安全区域，实施不同的控制策略。

　　c) 对门禁、视频监控、消防系统的安全设置要求；

　　d) 应对网络制订和实施安全策略，如防火墙、防病毒等；

　　e) 对身份认证工作应采用不低于物理介质加密码的保护方式；

　　f) 应明确身份认证工具生成、授权、发放等生命周期管理要求；

　　g) 应具有必备的自主测试设备，及时对量产产品进行检验。

　　h) 用于检验的设备要实施定期校准和标定等。

　　5、产品生命周期管理

　　对终端产品的设计开发、元器件采购、生产过程质量控制、产品储存、产品运输、产品维修、产品报废等全生命周期提出管理要求。重要条款内容举例：

　　a) 终端厂商对每个程序版本、每个元器件要有唯一的编号；

　　b) 应有设计、开发和配置清单的变更评审流程；

　　c) 开发过程应使用自动化的设备管理工具；

　　d) 采购关键件应有明确的技术要求和程序，合格供应商名录；

　　e) 关键件应进行必要的验证和检验，保留记录可追溯；

　　f) 密钥管理人员应进行角色分离，建立安全的密钥分发流程；

　　g) 生产过程提出合格率指标，过程中应实施首件检验、过程检验、交收检验等必要的质量控制流程；

　　h) 成品储存区为专用的安全区域，实施专人管理，进出库控制；

　　i) 报废产品应采取专门报废监督防止重用和敏感信息窃取等。

　　6、质量审核

　　对终端厂商的质量审核程序提出要求，该程序是管理评审过程，是厂商对其设计产品质量的各个环节进行评审的过程。例如：

　　a) 应建立质量审核程序，确保产品持续的标准符合性；

　　b) 每年两次对外协生产厂进行质量审核，保留记录等。

　　7、安全事件应急响应

　　a) 对终端厂商处理安全事件的程序提出要求。例如：

　　b) 有专门程序对安全事件进行分类、定级；

　　c) 规定各类事件的处理流程；

　　d) 进行必要的演练等。

　　银联新规实施时间规划

　　《银联卡受理终端产品生产安全与质量管理指南》将在2017年1月正式实施，银联委托两到三家专业机构实施现场评测，并要求从严实施；新申请认证的厂商，在产品检测前进行现场测评；已通过认证的厂商（数量较多，约95家），在2017年6月底前完成整改，2018年底之前完成现场测评。

责任编辑：陈爱