卡中心ACS系統EMVCo 3DS 2.3認證和PCI 3DS再認證項目供應商征集公告

根據中信銀行股份 信用卡中心（以下簡稱“征集方”）業務需求，現啟動“卡中心ACS系統EMVCo 3DS 2.3認證和PCI 3DS再認證項目”供應商征集工作。凡符合本公告要求的企業均可自愿報名，并提交相關證明文件和材料。具體情況如下：

一、項目基本情況

（一）征集公告編號：  ITXM2023038

（二）項目

（三）項目

（五）項目要求

協助對卡中心自研的ACS系統進行EMVCo 3-D Secure 2.3認證和PCI 3DS認證。

1.3-D Secure 2.3認證:

協助卡中心通過EMV 3-D Secure（ACS）認證，提供EMV 3-D Secure測試報告，含以下內容：

·      提供1年的EMV 3-D Secure測試平臺及預測試使用期限，并根據EMVCo的最新要求更新測試計劃，維護測試平臺的合規性

·      提供包含一輪pre-compliance測試結果的驗證

·      審核ICS表格，并提交給EMVCo。

·      提供測試平臺協助中信銀行信用卡中心完成Compliance測試，并負責審核Compliance測試結果，并整理測試報告，提交給EMVCo。

·      供應商需代付EMVCo向卡中心收取的審核報告及發證書費用。

2.PCI 3DS認證：

為卡中心的ACS系統提供PCI 3DS的評估及認證服務，包括為卡中心的ACS系統執行預評估和正式評估，評估應內容應包括：

·      維護所有人員的安全策略

·      安全網絡連接

·      開發和維護安全系統

·      脆弱性管理

·      管理訪問

·      物理安全

·      事件響應準備

·      驗證合規范圍

·      安全治理

·      保護3DS系統和應用

·      針對3DS系統的安全邏輯訪問

·      保護3DS數據

·      密碼和密鑰管理

·      3DS系統的物理防護

根據PCI 3DS預評估的結果出具目標系統與PCI 3DS核心安全標準之間的差距分析報告并向卡中心提供整改建議。

根據PCI 3DS正式評估的結果出具PCI 3DS合規聲明（PCI 3DS AOC）和PCI 3DS合規報告（PCI 3DS ROC）。

二、供應商要求

（一）基本資質

1.中華人民共和國境內注冊的獨立法人, 能夠獨立承擔民事責任，注冊資本和實收資本不少于100萬人民幣（或等值的外幣）；

2.成立時間不少于3年；

3.能提供近2個自然年經會計事務所審計的財務報告或財務報表；

4.具有依法繳納稅收和社會保障資金的良好記錄；

5.具備相關行業資質；

6.企業運營正常、財務狀況良好；

7.無重大違法、違紀行為。

（二）項目人員數量及專業資格要求

項目人員數量不少于3人，且項目人員中至少一人需具備3DS Assessor或PMP或ISO/IEC 27001實驗室相關資質（需提供相關資格證書的原件掃描件至征集方)。

（三）項目團隊能力要求

 供應商為本項目配備的項目團隊必須保證人員穩定性和持續性，不得隨意變更團隊成員，如有特殊原因（如員工離職），必須經中信銀行信用卡中心同意后方可更換，更換后的項目團隊成員必須達到或高于更換前成員的水準，并且工作風格不允許與之前的工作風格沖突。

（四）同類項目經驗要求

供應商具備銀行業成功的EMVCo 3DS認證或PCI 3DS認證項目經驗，應征方自2019年1月1日起至今，須具有銀行業類似服務項目的合同案例至少1個（提供2019年1月1日起至今開展的案例合同復印件以及驗收報告或發票復印件等證明材料并加蓋公章，以合同簽訂時間為準，須體現合同首頁、項目名稱、采購內容、相關時間、雙方蓋章頁等關鍵信息）。

三、報名方式

1.僅接受 附件下載：供應商報名表.xlsx