中国银联支付应用软件安全认证实施规则

中国银联支付应用软件安全认证实施规则（2019版）

前 言

银联标识产品企业资质认证（以下简称“银联认证”）是指中国银联根据相关认证管理要求，对企业或产品实施准入评估、过程考核、证后监督等银联技术标准符合性管理，对符合要求的企业或产品颁发认证证书的活动。

中国银联授权银联标识产品企业资质认证办公室（以下简称“认证办公室”）提供银联认证服务，认证办公室设在中国银联技术部。

为保证接入银联网络的支付应用软件安全认证的规范性和有效性，中国银联制定本规则。

1 总则

1.1 根据《银联卡业务运作规章》，银联成员机构所采用的接入银联网络的设备、软件等各类产品需通过银联认证，保证接入银联网络的支付应用软件产品严格执行统一的安全规范，确保支付信息的机密性、支付过程的完整性及持卡人账户数据的信息安全。

1.2 本规则适用于直接或间接接入银联网络，储存、处理、传输持卡人敏感信息及完成银联卡支付交易的各类支付应用软件产品（以下简称“支付应用软件”）。具有银联支付功能的各类软件APP，包括手机PAY软件及SDK、mPOS上位机软件、银联二维码支付软件等，应通过本项认证。具有用户隐私信息收集功能以及资金管理类软件APP，在遵循国家或行业管理要求基础上，推荐通过本项认证。

1.3 中国银联支付应用软件安全认证的主要目标是验证支付应用软件是否符合《中国银联支付应用软件安全规范》、《中国银联二维码支付安全规范》等标准的要求。

1.4 根据软件产品功能模块的划分及未经加密的交易信息和敏感支付数据在软件中处理使用的范围，中国银联支付应用软件认证对象可以分为以下两类：

（1）支付软件是指可以自主发起完成支付交易流程的软件。包括但不限于软件客户端、智能 POS 终端支付软件和 mPOS 上位机支付软件。其中：

软件客户端：适用于手机、平板电脑等智能设备上的纯软件客户端，其不需外接硬件设备,通过绑定银联卡或输入银联卡相关信息即可独立完支付交易流程；智能 POS 终端支付软件：适用于运行在商用 POS 终端、自助POS 终端等智能设备上的支付软件；

mPOS 上位机支付软件：适用于手机、平板电脑等移动通讯设备上的支付软件，其不能独立完成支付交易，需配合 mPOS终端设备才能完成支付交易。

（2）支付模块是指不能自主发起完成支付交易流程的支付应用软件。支付模块可嵌入其他非支付应用软件，帮助其他非支付应用软件完成支付交易。其主要形态为支付插件。

支付插件：适用于以插件形式运行在支付页面中的软件，其可结合支付页面上相关支付信息完成支付交易流程。

2 申请条件

2.1 申请本项认证的企业应具备以下条件：

（1）企业应为中国银联的成员机构、银联卡支付业务合作伙伴或为从事支付应用软件开发并将其销售、发布或授权给中国银联成员机构、银联卡支付业务合作伙伴使用的软件开发商；

（2）企业必须持有工商部门颁发的允许设计、研发软件系统的营业执照，且申请企业的名称、经营范围、开发场所、注册资金等必须与其所持营业执照一致；

（3）企业必须具有良好的财务状况和盈利能力，能够保证企业的正常运营和可持续发展；

（4）申请认证产品的软件开发方必须具有完善的软件开发质量管理体系、良好的应用开发能力和售后技术支持能力，并能够保证软件产品质量和售后服务；

（5）申请认证产品的软件开发方需具有一定的生产规模和知名度，具有五年（含）以上软件研发经验；

（6）申请认证产品的版权或专利必须由申请企业拥有或许可被申请企业所使用；

（7）企业应与中国银联签署《银联认证服务协议》。

3 认证流程

认证流程包括提交申请、材料审核、产品检测、现场测评（可选）、认证审议、发证公布、证后监督等环节。

3.1 提交申请

3.1.1 申请企业须提供以下材料的电子版或扫描件：

（1）《中国银联支付应用软件认证申请表》；

（2）营业执照、组织机构代码证；

（3）《支付业务许可证》（适用于中国银联的成员机构）；

（4）企业综合情况报告（包括基本情况、注册资金、产品范围、研发经验、专利情况、技术优势、市场目标、人员组织、质量保证体系和售后支持服务等，其中售后支持服务应包括支持方式、支持人员和服务承诺等）；

（5）由合法资格会计师事务所审计的企业最近两年度财务报告扫描件；

（6）企业质量管理体系认证证书或企业具有完善的质量保证体系的证明材料；

（7）申请认证产品的知识产权证明材料，包括软件产品登记证书、 软件著作权登记证书或专利证书等；

（8）申请认证产品的详细说明材料，包括但不限于软件名称、软件版本及变更要点、技术方案、实现方式、应用场景、系统架构、安装部署说明、开发及测试文档等；

（9）认证办公室指定提交的其它材料（可选）。

3.1.2 申请材料须用简体中文书写，涉及盖章、签字的文件应提交盖章后的扫描件。申请材料应一次性完整地通过认证管理信息系统平台提交。

3.2 材料审核

3.2.1 如申请企业提交的材料不符合 3.1 节的要求，则其应在收到通知的 20 个工作日内按要求补充或重新提交材料，逾期不能提交并无任何说明的视同主动放弃申请。

3.2.2 认证办公室有权根据对申请材料的审核情况决定是否受理认证申请。认证办公室自收到完整的认证申请材料并确认受理之日起 20 个工作日内，完成对申请材料的审核工作，出具审核结论，并以《中国银联支付应用软件安全认证材料审核结果通知书》的形式通知申请企业。

3.3 产品检测

3.3.1 申请企业应在材料审核通过后 20 个工作日内提交软件产品到中国银联授权的检测机构进行检测。

3.3.2 产品检测依据是《中国银联支付应用软件安全规范》等标准，具体检测事宜申请企业应与检测机构沟通联系。

3.3.3 检测机构应自收到申请企业提交产品之日起 10 个工作日内，完成检测并通过认证信息系统向认证办公室提交检测报告，同时将检测情况通知申请企业。

3.3.4 认证办公室对检测报告进行审核，如果检测不合格，申请企业必须在收到通知后 20 个工作日内重新提交产品至检测机构进行检测，逾期不能提交视同主动放弃申请。如所提交的产品检测仍不合格，本次申请流程结束。

3.4 现场测评（可选）

3.4.1 认证办公室根据需要决定是否到申请企业进行现场测评，测评内容主要包括人员、设备、代码和文档管理制度，软件开发、测试、发布、升级的条件、流程、文档，企业质量保证体系，应用开发能力，售后技术支持能力，软件质量管理和信息安全管理等方面，并确认所提供材料的真实性。

3.4.2 若现场测评不合格，申请企业应根据认证办公室的测评报告在规定时间内完成整改，并向认证办公室提交相应整改报告，认证办公室评估企业提交的整改报告，以决定是否需再次进行现场测评。如申请企业未能按期完成整改或第二次现场测评仍不合格，本次申请流程结束。

3.5 认证审议

3.5.1 认证办公室根据材料审核情况、产品检测情况和现场测评情况（如有），组织内部审议后，形成认证结论，结论分为通过认证和未通过认证两种。认证办公室以《中国银联支付应用软件安全认证结果通知书》的形式将认证结果通知申请企业。

3.6 发证公布

3.6.1 认证办公室向通过认证的申请企业颁发《中国银联支付应用软件安全认证证书》，同时向社会公布；通过认证的产品列表可在银联认证信息网站中查询。

3.6.2 获证企业应提供支付应用软件的发布版本至认证办公室进行备案。

3.6.3 《中国银联支付应用软件安全认证证书》有效期为 1 年。

3.7 证后监督

3.7.1 在认证证书有效期内，认证办公室对获证产品及其企业进行监督。

3.7.2 监督方式包括但不限于：

（1）产品质量抽检，即认证办公室从市场抽取软件产品并送至中国银联授权的检测机构进行检测，对软件产品一致性进行验证。

对于抽检过程中，因企业自身问题产生的重复抽检费用，由企业承担；

（2）有效跟踪调查，即认证办公室采用客户访谈、市场调查等信息收集方式对软件产品合规情况、质量管理情况、客户服务情况、认证证书使用情况等进行核查。

3.7.3 对于证后监督检查不合格的产品及其企业，认证办公室将根据第 7 节规定采取相应的处置措施。

3.8 证书续期

3.8.1 证书到期前 3 个月内，获证企业应向认证办公室提交证书续期申请，续期申请流程参照 3.1 节-3.7 节。

3.8.2 认证办公室根据产品变更、升级及相关安全规范更新等情况决定产品是否需要重新进行安全测试。

3.8.3 续期成功的软件产品可延长有效期 1 年，续期次数不限。

3.8.4 截止证书到期日，仍未提出证书续期申请的企业，视为自动放弃证书续期资格。

4 产品的变更

4.1 企业要求的变更

4.1.1 通过认证的软件产品在认证有效期内因新需求而变更代码进行软件版本升级，获证企业须向认证办公室提交变更申请和详细的变更点说明，并说明变更是否涉及到支付功能和安全模块。

4.1.2 认证办公室审核通过变更申请后，获证企业提交产品至检测机构进行软件变更点判定，由检测机构评估变更部分是否涉及支付功能和安全模块并将评估结果提交认证办公室。若认证办公室确认变更点不涉及支付功能和安全模块，则直接更新产品认证信息并进行换证；若变更内容涉及支付功能和安全模块，则产品须重新进行安全检测。

4.2 认证要求的变更

4.2.1 《中国银联支付应用软件安全规范》等标准修订升级时，收到通知的获证企业应在规定时间内完成对已通过认证产品的升级，并向认证办公室提交详细的产品升级说明。认证办公室审核通过后，获证企业应提交产品至检测机构进行安全检测。

4.2.2 检测机构完成检测后，将检测报告提交至认证办公室。认证办公室评估检测报告，并将检测结果通知企业。

4.2.3 若检测结果符合标准升级后的要求，获证企业应将认证证书退回，由认证办公室更新产品认证信息并进行换证。

4.2.4 若因规范修订而升级的产品无法在规定时间内通过安全检测，认证办公室有权撤销其认证证书并向社会公示。

5 认证费用

5.1 中国银联不收取本项认证的认证费用。认证费用不包含软件产品检测费用，申请企业需另行向检测机构缴纳软件产品检测费用。

5.2 中国银联有权以书面通知或发布本规则修订稿的形式对认证费用进行调整，调整一经通知或发布即为生效，但申请企业已经缴纳的费用不受影响。

6 企业责任

6.1 企业应建立完善的技术支持服务，针对支付应用软件产品中发现的问题，建立高效的应急响应机制。

6.2 企业不得擅自变更通过认证的支付应用软件产品并对外发布。

6.3 获证企业应严格遵守《银联标识产品企业资质认证证书管理规则》的规定。

7 违规处置

7.1 对于认证过程存在问题或证后监督不合格的企业，认证办公室视其具体情况采取相应的处置措施。处置措施包括违规行为约束措施（含警告、上浮认证费用、通报、暂停新产品申请）和认证资质处理措施（含暂停认证资质、取消认证资质）两大类。认证办公室根据企业违规行为的性质及其影响后果的严重程度，以组合方式使用各项处置措施。

7.2 若企业擅自变更通过认证的产品并对外发布，认证办公室有权取消其认证资质并向社会公示。

7.3 被取消产品资质的企业，认证办公室自取消之日起一年内不受理其提交的任何认证申请。

7.4 产品被取消认证资质后，企业必须配合认证办公室履行以下义务：

（1）在30天内将认证证书原件归还认证办公室；

（2）不得继续销售、发布带有银联认证标识或说明的产品；

（3）不得继续宣传和推介产品通过银联认证。

8 附则

8.1 本规则由认证办公室负责解释。

8.2 企业对检测和认证结果等有异议时，可向认证办公室提出申诉。