会员登录关闭
用户名:
密 码:

微信公众号
行业研究

国际检测认证体系简述

作者:中国支付清算协会 发布时间:2017-09-28

一、检测与认证的概念及基本情况

(一)检测、认证和认可的基本含义

检测、认证、认可是国际公认的国家质量基础设施(National Quality Infrastructure,简称NQI)的重要组成部分。

检测是依据相关标准和规范,使用仪器设备,在规定的环境条件下,按照相应程序对测试对象的属性进行测定或者验证的活动。认证是指由认证机构证明产品、服务、管理体系、人员符合相关标准和技术规范的合格评定活动。认可是由认可机构对认证机构、检验检测机构的技术能力予以证明的合格评定活动。

(二)国际认证基本情况介绍

认证在帮助企业提升产品质量,帮助消费者建立消费信心,推动社会化和市场化采信方面起到了重要作用。目前,大部分国家和地区已经建立了自己的认证制度,主要分为政府机构认证和民间认证两类。

 

1.世界著名认证和认证标志

根据认证对象的不同,通常将认证分为管理体系认证、产品认证和服务认证等3种类型。管理体系认证是指通过第三方机构对企业的管理体系或产品进行评价,其中最为普遍的为质量管理体系认证。产品认证是指由可以充分信任的第三方证实某一产品或服务符合特定标准或其他技术规范的活动。服务认证是指对服务提供者的管理及服务水平是否达到相关标准要求的合格评定活动。

 

2.三种认证对照表

(三)国际认可基本情况介绍

认可能够减少重复检验、检测和认证,使合格评定结果更加透明。国际上已经建立了比较成熟的认证认可准则,为了便利双边贸易、降低检测认证成本,国际认可组织推动开展国际互认工作,实现“一次评定,一张证书,世界通行”的目标。

 

3.国际认可组织、区域组织和认证标志

 

二、认证、认可的主要模式及基本流程

(一)认证主要模式及基本流程

1、认证的八种主要模式

ISO/ITC出版物《认证——原则与实践》中,将现行的认证制度归纳为以下8种模式:

 

4.国际通用的8种认证模式

8种认证模式适合于不同的产品。例如服务类产品,包括固定设施产品等难以在实验室内进行完整检验或试验,因此通常采用第六种认证模式;安全性要求比较高、重复一致性明显的批量化生产的产品,采用第五种认证模式信任程度就比较高;而那些批量小或特性差异明显、检验不带有破坏性的产品,往往采用第八种认证模式。其中,第五种认证模式适用于涉及安全问题的产品,这种模式可促使企业在最佳条件下持续稳定地生产符合标准要求的产品,因此是ISOIEC向各国推荐的认证模式,也是为各国普遍采用的一种典型的认证模式。

2、认证的基本流程

认证基本流程具体可参见下图:

 

1.认证基本流程图

3、检测是认证过程的重要环节

认证的目的是判断产品或服务是否符合相关标准或规范的部分或全部要求。如果产品检测合格,认证机构通过现场检查,判断企业是否具有持续稳定生产合格产品或合格服务的生产条件。如果产品检测报告不符合标准或规范的要求,后续的现场审查没有继续进行的必要。

为了保证认证工作的公正、科学、规范,认证机构需要对合作检测机构的检测工作进行管理。认证机构会对申请合作的检测机构进行选择,并对已签约的检测机构进行日常管理和阶段性管理。具体工作包括:检测项目告知、检测项目备案、检测报告质量分析、检测项目现场监督、能力比对和检测机构年度评价等。认证机构还通过举办各种形式的培训交流活动,在技术标准、管理制度、检测认证、现场检查等方面与检测机构进行沟通交流,进一步完善相关管理措施和技术标准。

(二)认可的重要性及其基本流程

认可,是正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明,对检测和认证工作进行监督管理。认可机构按照相关国际标准或国家标准,对从事认证、检测和检验等活动的合格评定机构实施评审,证实其满足相关标准要求,进一步证明其具有从事认证、检测和检验等活动的技术能力和管理能力。

认可基本流程具体可参见下图:

 

2.认可基本流程图

(三)检测认证机构的典型管理模式

国际上著名的认证机构经营模式采用的都是检测和认证相结合的方式,在开展认证业务的同时,也开展检测业务。

 

3.国际认证机构基本管理模式

例如,国际著名的第三方测试认证机构SGS集团(原瑞士通用公证行)业务范围覆盖检验、鉴定、测试和认证等多个类型。中国检验认证集团也采用了“检验、鉴定、认证、测试”相结合的经营模式,集团下设中国质量认证中心、中国检验认证集团测试技术有限公司等多家分公司,中国质量认证中心自有、控股或参股17家实验室。

三、国际支付领域主要认证业务情况

自银行卡诞生之日起,数据安全就一直是银行卡关联各方最重视的问题。由于在支付交易过程中,会涉及到银行卡账户的敏感数据和敏感信息,直接影响银行、支付组织、商户和持卡人的利益,因此,世界各国采取各种手段保证支付交易安全,建立检测认证制度是其中最有效的方法之一。目前,国际公认的支付相关的认证业务主要有PCI认证、EMVCo认证、GP认证等。

(一)PCI认证

2006年,为保护全球支付行业的交易数据安全,维萨(Visa)、万事达卡(MasterCard)、美国运通公司(American Express)、发现金融服务公司(Discover Financial Services)和日本JCB国际信用卡公司共同成立了支付卡产业联盟(Payment Card Industry,简称PCI)。PCI认证从金融机具的物理安全性、逻辑安全性、联机安全性、脱机安全性、生产期间的设备安全管理、初始密钥注入前的设备安全管理等6个方面对支付卡设备进行严格细致的检测以保证设备安全性符合标准,是目前国际上最严格、级别最高的金融机具安全认证标准。支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)的最高级别执行委员会(Executive Committee)由上述5家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。委员会设有总经理一职,并设立专门的DSS工作组、PED工作组、QSA体系管理、ASV体系管理、PA体系管理等部门,分别负责各自领域的标准开发和体系维护等技术工作,此外还设有市场工作组和立法委员会。

PCI负责制定和维护PCI PTS(PIN Transaction Security)PCI DSS(Data Security Standards)PCI PA-DSS(Payment Application Data Security Standards)等支付卡产业安全标准体系,并开展检测认证工作。PCI PTS认证适用范围为各类终端厂商生产的PIN输入设备。PCI SSC在全球范围内授权了8PCI PTS检测机构。PCI DSS是针对系统和账户信息安全的,确保持卡人的信用卡和借记卡信息安全,适用于收单机构、专业化服务公司以及一些大型商户。PCI SSC在全球范围内授权几百家PCI DSS检测机构。PCI PA-DSS主要针对作为授权或结算的一部分,存储、处理或传输持卡人数据,并出售、分发或许可给第三方的机构。PCI P2PE标准主要是为银行卡产品中需要进行加密的环节提供技术解决方案,主要包括加密、解密和密钥管理等几部分。

PCI认证的流程具体为:PCI SSC负责制定安全标准和实施规则,并作为认证机构在全球授权专业检测机构。全球终端企业自愿选择PCI SSC在全球授权的专业检测机构对各类标准适用的对象进行安全测评,检测机构将检测报告提交PCI PTS工作组进行认证审核,PCI委员会审核通过后,发放证书,并在PCI网站公示通过的产品和机构。PCI检测规范的有效期一般为3年,PCI证书的有效期为对应检测规范发布之日起10年。

(二)EMVCo认证

19992月,欧陆卡(Europay)、万事达卡(MasterCard)和维萨(Visa)三大银行卡组织共同成立了国际芯片卡标准化组织EMVCo2002年万事达合并了欧陆卡(Europay),2006年日本JCB国际信用卡公司收购EMVCo三分之一的股份,2009年美国运通(American Express)收购EMVCo四分之一股份。2013年,中国银联股份有限公司和发现金融服务公司(Discover Financial Services)加入EMVCo

EMVCo下设执行委员会和管理委员会,执行委员会负责掌管EMVCo的整体战略,管理委员会负责EMVCo的日常运营。

EMVCo负责制定国际支付技术及芯片卡标准规范(EMV标准),形成统一支付规范框架。EMVCo的研究范围包括芯片卡迁移、支付标记化、移动支付、身份认证等多个领域。EMV标准是银行卡从磁条卡向智能IC卡转移的技术标准,其目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准,使得在此体系下所有的卡片和终端能够互通互用,提高银行卡支付的安全性。1999年至2007年间,EMVCo发布了一系列接触式IC卡的技术标准、白皮书、最佳实践、用户案例等。2006年,EMVCo成立了移动支付工作组(MPWG-Mobile Payment Working Group)2007年至2012年间,MPWG发布了一系列手机现场非接触支付的白皮书、技术架构等,指出非接触移动支付的主要技术基础为NFC(近场通讯)SE(Secure Element安全单元)

EMV标准是确保机卡能够互联互通随时随地进行电子支付交易的基础。EMV标准主要以机械原理和实际操作作为验证基础,通常被分成下面两个不同的级别:Level1(IFM)主要是验证终端的电子机械原理和基础应用是否能够与银行卡安全可靠地互联互通。Level2KERNEL)主要是验证高级应用是否能够进行应用转换,核查持卡人个人信息和风险管理等。

很多智能卡公司和机具生产厂家以通过EMV认证的方式进入金融领域,但EMVCo认证的门槛较高,需要一定的技术和资金实力。

EMV认证流程为:申请方在EMVCowww.emvco.com)上注册,获得ID注册号后,送到EMVCo指定检测机构进行检测,将检测报告提交给EMVCo评审通过后获得认证证书,EMVCo公布认证通过产品。EMVCo证书有效期一般为3年。

(三)GP认证

国际组织Global Platform(简称GP) 成立于20世纪90年代,主要致力于研究一卡多应用技术、确保发卡商与应用提供商多应用间彼此安全、制定和维护GP系列标准等。GP标准框架包括卡片、终端和系统3大部分。

随着金融IC卡和移动支付快速发展,GP组织已得到EMVCo等国际标准化组织以及VISAMasterCard等国际支付品牌的认可,成为重要的标准和规范,随着Java Card的主流趋势不断凸显,GP平台也在继续扩大其影响范围。

GP组织对目前使用最多的卡片、手机等应用承载体进行了功能和安全性的规定,符合GP规范的卡片或移动支付产品能够满足标准的多应用管理流程,能够通过更为简化的开发和测试流程适应多样化的商业模式,也能够为应用程序的管控提供更好的兼容性和完整性。

目前,EMVCoGP的合作点主要在于怎样使得TEE能够为基于SEHCE的移动支付提供更加安全的运行环境,并且就TEE的认证主体展开讨论。

GP全球指定TEE功能实验室近10家,指定安全实验室3家。GP认证证书有效期为3年。

(四)VISA认证

Visa是由金融机构会员组成的联盟组织,也是著名的信用卡品牌。VISA开展的检测认证工作主要有ADVT测试、QSP资质认证和Visa Ready认证。

当配置新的EMV卡接受装置(包括新的EMV内核,新的相互交流界面,新的硬件或改变CVM)的时候,需要接受外卡收单VISA受理终端验证测试Acquirer Device Validation Testing (ADVT)

201341日,VISA发布了第三方支付公司资质认证方案(QSP)资质认证,对从事VISA国际卡网上收单服务的第三方机构进行资质认证。获得QSP资质的收单会员可以同其签署VISA国际卡网上收单业务协议,未通过资质认证的第三方支付机构将不可处理Visa交易。

Visa Ready”认证是向获得Visa Ready认证的手机制造商、开发者、运营商等提供Visa的知识产权、APISDK等方面的支持。由于Visa的支付体系在不同国家有差异,这项认证将可以保证加贴“Visa Ready”标志的设备和软件都可以在未来统一支持移动支付方面的新功能。

(五)MasterCard认证

万事达国际组织于50年代末至60年代初期创立了一种国际通行的信用卡体系;1966年,组成了一个银行卡协会(Interbank Cand Association)的组织;1969年银行卡协会购下Master Charge的专利权,统一了各发卡行的信用卡名称和式样设计。随后,又将Master Charge改名为MasterCard。万事达卡国际组织是一个包罗世界各地财经机构的非盈利协会组织,其会员包括商业银行、储蓄与贷款协会,以及信贷合作社等。

MasterCard终端一体化进程测试Terminal Integration Process(TIP)是一个终端验证测试,所有MasterCard的收单组织在配置新的EMV终端时,都需要接受TIP测试。

 


专题报道Special Report>