卡中心ACS系统EMVCo 3DS 2.3认证和PCI 3DS再认证项目供应商征集公告

卡中心ACS系统EMVCo 3DS 2.3认证和PCI 3DS再认证项目供应商征集公告

根据中信银行股份有限公司信用卡中心（以下简称“征集方”）业务需求，现启动“卡中心ACS系统EMVCo 3DS 2.3认证和PCI 3DS再认证项目”供应商征集工作。凡符合本公告要求的企业均可自愿报名，并提交相关证明文件和材料。具体情况如下：

一、项目基本情况

（一）征集公告编号：  ITXM2023038

（二）项目名称：卡中心ACS系统EMVCo 3DS 2.3认证和PCI 3DS再认证项目

（三）项目地点：深圳

（四）项目内容 

为了满足国际芯片卡标准组织EMVCo及各信用卡组织对发卡银行支持3-D Secure交易的业务规范要求，同时提升我行客户境外网络交易在移动支付场景下的安全及便捷性，拟采购供应商服务，协助卡中心自研的ACS系统进行EMVCo 3-D Secure 2.3认证和PCI 3DS认证。

（五）项目要求

协助对卡中心自研的ACS系统进行EMVCo 3-D Secure 2.3认证和PCI 3DS认证。

1.3-D Secure 2.3认证:

协助卡中心通过EMV 3-D Secure（ACS）认证，提供EMV 3-D Secure测试报告，含以下内容：

· 提供1年的EMV 3-D Secure测试平台及预测试使用期限，并根据EMVCo的最新要求更新测试计划，维护测试平台的合规性

· 提供包含一轮pre-compliance测试结果的验证

· 审核ICS表格，并提交给EMVCo。

· 提供测试平台协助中信银行信用卡中心完成Compliance测试，并负责审核Compliance测试结果，并整理测试报告，提交给EMVCo。

· 供应商需代付EMVCo向卡中心收取的审核报告及发证书费用。

2.PCI 3DS认证：

为卡中心的ACS系统提供PCI 3DS的评估及认证服务，包括为卡中心的ACS系统执行预评估和正式评估，评估应内容应包括：

· 维护所有人员的安全策略

· 安全网络连接

· 开发和维护安全系统

· 脆弱性管理

· 管理访问

· 物理安全

· 事件响应准备

· 验证合规范围

· 安全治理

· 保护3DS系统和应用

· 针对3DS系统的安全逻辑访问

· 保护3DS数据

· 密码和密钥管理

· 3DS系统的物理防护

根据PCI 3DS预评估的结果出具目标系统与PCI 3DS核心安全标准之间的差距分析报告并向卡中心提供整改建议。

根据PCI 3DS正式评估的结果出具PCI 3DS合规声明（PCI 3DS AOC）和PCI 3DS合规报告（PCI 3DS ROC）。

二、供应商要求

（一）基本资质

1.中华人民共和国境内注册的独立法人, 能够独立承担民事责任，注册资本和实收资本不少于100万人民币（或等值的外币）；

2.成立时间不少于3年；

3.能提供近2个自然年经会计事务所审计的财务报告或财务报表；

4.具有依法缴纳税收和社会保障资金的良好记录；

5.具备相关行业资质；

6.企业运营正常、财务状况良好；

7.无重大违法、违纪行为。

（二）项目人员数量及专业资格要求

项目人员数量不少于3人，且项目人员中至少一人需具备3DS Assessor或PMP或ISO/IEC 27001实验室相关资质（需提供相关资格证书的原件扫描件至征集方)。

（三）项目团队能力要求

 供应商为本项目配备的项目团队必须保证人员稳定性和持续性，不得随意变更团队成员，如有特殊原因（如员工离职），必须经中信银行信用卡中心同意后方可更换，更换后的项目团队成员必须达到或高于更换前成员的水准，并且工作风格不允许与之前的工作风格冲突。

（四）同类项目经验要求

供应商具备银行业成功的EMVCo 3DS认证或PCI 3DS认证项目经验，应征方自2019年1月1日起至今，须具有银行业类似服务项目的合同案例至少1个（提供2019年1月1日起至今开展的案例合同复印件以及验收报告或发票复印件等证明材料并加盖公章，以合同签订时间为准，须体现合同首页、项目名称、采购内容、相关时间、双方盖章页等关键信息）。

三、报名方式

1.仅接受电子邮件报名； 

2.报名文件包括：一个PDF格式的《供应商报名文件》，以及一个EXECL格式的《供应商报名表》，具体详见附件；

3.报名文件须在15M以内；

4.报名文件不得为压缩文件、下载链接，也不可以分拆为多份文件、多个压缩包或多个邮件;

5.两个报名文件的命名均应为：征集公告编号-公司全称；

四、报名截止时间：2023年6月16日17:00

五、相关说明

1.上述内容为征集方采购相关工作的初步安排，具体采购项目情况以相关采购公告或采购文件为准；

2.原厂需要授权代理商开展业务的，由原厂报名，并在报名文件中说明采用代理的原因；

3.收到报名材料后，征集方将在2个工作日内通过邮件回复“报名成功”，未收到邮件即为不成功，供应商不需要电话确认；

4.报名成功并不表示征集方通过其资格审核，或接受其参与本项目的采购工作,审核结果以征集方公布为准且征集方有权对供应商报名审核结果不做任何说明；

5.报名审核通过后，征集方将根据项目进度通过电话或邮件通知相应供应商进行技术交流；未通过审核的，不另行通知；

6.供应商提交资料中如有虚假信息，或无正当理由不参加技术交流的，征集方将取消其报名资格、记入供应商诚信档案并限制其后续参加征集方采购项目；

7.其他未尽事宜详见《供应商报名文件》中的“报名材料一：报名须知”。

六、联系方式与提交材料

项目咨询：

郑晨（0755-88207316，zhengchen_kzx@citicbank.com)

项目报名：

刘笑含（0755-88205686，liuxiaohan_kzx@citicbank.com)

报名材料请同时发送上述两个邮箱。

附件：1.供应商报名文件

      2.供应商报名表

中信银行股份有限公司信用卡中心

2023年5月24日

征集报名