過去這一年，App火了。在嚴監管的趨勢下，合規儼然成為App心中的C位。本文主要針對中國金融認證中心（CFCA）日常咨詢量較大的幾種App認證，如金融科技產品認證、移動互聯網應用程序(App)安全認證、銀聯支付應用軟件安全認證，進行對比與科普，以供APP開發者、運營者，機構企業風控合規人員、決策者參考。

金融科技產品認證（客戶端軟件）

1.背景

2019年10月25日，國家市場監督管理總局、中國人民銀行聯合發布《金融科技產品認證目錄（第一批）》與《金融科技產品認證規則》，將金融科技產品納入國家統一推行的認證體系，以持續強化金融科技安全與質量管理，防范因技術產品質量缺陷引發的風險向金融領域傳導，提升金融科技守正創新能力和綜合治理水平。

第一批認證目錄包含客戶端軟件、安全芯片、安全載體、嵌入式應用軟件、ATM機、POS機、移動終端可信環境、可信應用程序、掃碼支付、聲紋識別、云計算平臺共11個產品種類，客戶端軟件是其一。

2.面向對象（限定金融行業）

支持支付業務（包括處理訂單）的移動終端客戶端軟件，包括App、支付控件、軟件開發工具包(SDK)等。

適用于如下領域：

1) 銀行業金融機構

2) 證券公司、基金公司、期貨公司、私募投資基金管理機構

3) 保險集團（控股）公司、保險公司、保險資產管理公司

4) 清算機構

5) 非銀行支付機構等

3.認證流程

采用典型的三方認證體系：即送檢企業送檢，檢測機構做型式試驗出檢測報告，認證機構進行認證和證后監督，送檢企業的產品在通過認證后，即可使用金融科技產品認證標志并在互金協會網站進行備案。

4.檢測標準

JR/T 0092-2019《移動金融客戶端應用軟件安全管理規范》

JR/T 0098.3-2012《中國金融移動支付 檢測規范 第3部分：客戶端軟件》

T/PCAC 0006-2019《條碼支付移動客戶端軟件 檢測規范》

四部委《App違法違規收集使用個人信息行為認定方法》

5.檢測內容

基本檢測項、性能檢測項、安全檢測項、兼容性檢測項、個人信息檢測項等

移動互聯網應用程序（App）安全認證

1.背景

近年來，移動互聯網App強制授權、過度索權、超范圍收集個人信息的現象大量存在，App違法違規收集使用個人信息的問題日漸嚴峻。為了規范App收集、使用個人信息的行為，加強個人信息安全保護，國家屢次重拳出擊。

2019年，國家市場監督管理總局、中央網信辦決定開展App安全認證工作，對App收集、存儲、傳輸、處理、使用個人信息等活動的合格評定，并指定中國網絡安全審查技術與認證中心（CCRC）作為此項認證的認證機構。

2.面向對象

任何具有收集、存儲、傳輸和使用個人信息行為的App

3.認證流程

申請方向認證機構提交申請材料，認證機構審核，并反饋受理決定；檢測機構依據標準和技術規范實施技術驗證，出具技術驗證報告；認證機構按照規范實施現場審核，出具現場審核報告，最后根據申請資料、技術驗證結論和現場審核結論等進行綜合評價，做出認證決定，如通過，認證機構向申請方頒發認證證書，并授權獲證App運營者使用規定的認證標志。

4.檢測標準

GB/T 35273-2020《信息安全技術 個人信息安全規范》

《移動互聯網應用程序（App）安全認證實施規則》

5.檢測內容

圍繞個人信息相關的功能，安全檢測項

銀聯支付應用軟件安全認證

1.背景

根據《銀聯卡業務運作規章》，銀聯成員機構所采用的接入銀聯網絡的設備、軟件等各類產品需通過銀聯認證，保證銀聯卡支付應用軟件產品嚴格執行統一的安全規范，確保支付信息的機密性、支付過程的完整性及持卡人賬戶數據的信息安全。

支付應用軟件的模式包括但不限于軟件客戶端、支付插件、智能支付終端（商用支付終端、個人支付終端、自助終端）等。

2.面向對象

具有銀聯支付功能的各類軟件App，包括手機Pay軟件、SDK，mPOS上位機軟件、銀聯二維碼支付軟件等

3.認證流程

申請方提交申請材料；中國銀聯審查材料，出具審查結果通知書；檢測機構檢測，出具檢測報告；如檢測通過，銀聯認證辦公室將向企業頒發《中國銀聯支付應用軟件安全認證證書》，同時向社會公布。

4.檢測標準

《中國銀聯支付應用軟件安全規范》2019版

5.檢測內容

應用軟件管理、軟件安全、賬戶信息保護等內容

CFCA擁有一支涉及多學科、多領域、實力雄厚的技術隊伍，可為金融等行業提供優質的應用系統安全檢測等服務，覆蓋APP安全檢測、兼容性測試、滲透測試、APP個人隱私專項檢測、漏洞掃描、安全加固、渠道監測等，目前已助力工行、建行、郵儲銀行等100+企業完成相關的檢測認證工作。

責任編輯：韓希宇