欧盟EN18031认证资料及办理流程是什么?EN18031 作为欧盟 CE - RED 指令下的核心网络安全认证,认证资料需覆盖产品技术、安全、测试等多维度,其有效期无绝对固定标准,需靠持续合规维护,具体详情如下:
1.核心技术资料
产品规格说明:要写清产品功能、技术参数、芯片与射频模块型号、软件版本以及 Wi - Fi、蓝牙等网络连接方式。同时还需准备电路原理图、PCB 设计图等设计文档,说明产品抗干扰和电磁兼容性设计思路。
接口与数据相关文件:列出 USB、API 等对外接口的技术规格和加密、访问控制等防护机制;绘制数据流程图,标注个人数据采集、存储、传输的全路径,且每个环节需注明加密措施以符合 GDPR 要求。
2.网络安全专项文件
风险评估报告:量化评估产品在数据传输、用户认证等环节的安全风险,说明对应的加密、防火墙等防护措施及测试结果。
安全功能文档:明确用户身份认证、权限分级等访问控制机制;阐述传输和存储环节所用的加密算法及应用场景;说明固件更新的频率、方式和完整性验证方法。
漏洞测试报告:提供第三方实验室出具的漏洞扫描、渗透测试报告,以此证明产品能抵御 DDoS、SQL 注入等常见攻击。
需提交 4 - 6 台整机,包含出厂状态和开放 Root 权限、ADB shell 的调试样机,方便开展渗透测试。若产品关联云端服务,还要同步提交服务器配置文档;同时需附带充电器等原装配件,避免第三方配件干扰测试结果。
4.质量与特殊场景补充文件
准备 ISO9001 质量管理体系证书、生产一致性控制文件及供应链安全协议,其中需明确零部件变更流程和量产抽检计划。此外,支付终端需额外提供交易日志审计设计等材料,儿童设备则要补充家长控制功能说明和数据匿名化记录。
1.基础有效期:认证本身无法定固定有效期,多数认证机构会签发 3 - 5 年有效期的证书,其中支付终端等高危产品通常为 3 年,蓝牙音箱等普通消费电子设备多为 5 年。证书有效性需通过后续维护保障,并非到期自动失效。
2.年度监督审核要求:获证后需接受年度监督审核,要提交漏洞修复记录、安全更新日志等材料,机构还会复查生产环节,抽查零部件与认证样品的一致性,未通过审核会影响证书有效性。
3.应对标准更新与产品变更:若 EN18031 标准修订,企业需在 12 个月内完成复审。若产品发生加密算法升级、新增生物识别功能等重大变更,需重新提交认证评估;轻微变更则需备案变更说明。
4.失效与续期:若存在未及时修复漏洞、测试报告造假等情况,证书可能被撤销。证书到期前 6 个月可申请续期,若产品无重大设计变更,可复用部分原测试数据缩短续期周期。
