文章脉络/关键词:
英国PSTI认证,网络安全合规,ETSI、EN、303、645,IoT设备认证,
内容导读:
英国PSTI(Product Security and Telecommunications Infrastructure)法案是英国针对联网消费类设备的强制性网络安全法规,于2024年4月29日正式生效。该法案要求所有直接或间接连接互联网的消费品(如智能手机、路由器、智能家电、摄像头、可穿戴设备等)必须满足三项核心安全要求:禁止默认弱密码、建立漏洞报告机制、明确安全更新周期披露。MORLAB作为CNAS、A2LA、TAF认可的第三方检测机构,拥有英国PSTI测试资质,可为企业提供基于ETSI EN 303 645标准的合规评估服务。服务涵盖技术文档审核、安全设计验证、测试报告出具及符合性声明支持,适用于电子产品制造商、品牌商、进口商及分销商。企业可选择自我声明或第三方认证路径,后者虽非强制但能显著提升市场信任度。MORLAB凭借20余年行业经验、先进检测设备及自研实验室管理平台,确保检测数据精准、项目高效推进,助力客户顺利进入英国市场。
服务范围
-适用产品:所有直接或间接连接互联网的消费类设备,包括智能手机、路由器、智能家电、摄像头、可穿戴设备等。
-豁免产品:台式电脑、笔记本电脑(无蜂窝网络功能)、医疗设备、电动汽车充电桩、智能电表等。
-责任主体:制造商、进口商、分销商,无论其是否在英国境内设立,均需遵守法案。
核心网络安全要求
法案聚焦三个关键领域,并参考国际标准ETSI EN 303 645进行具体实施:
-禁止默认密码:设备不得使用通用或易猜测的默认密码,必须为每个设备分配唯一密码,或要求用户首次使用时设置强密码。(依据标准ETSI EN 303 645中的条款5.1-1和5.1-2)
-漏洞报告机制:制造商需公开联系方式,允许用户和安全研究人员报告安全漏洞,并提供修复方案。(依据标准ETSI EN 303 645中的条款5.2-1以及ISO/IEC 29147)
-安全更新周期:明确披露设备接收安全更新的最短期限(通常至少5年),确保消费者知情。(依据标准ETSI EN 303 645中的条款5.3-13)
此外,符合ETSI EN 303 645标准中关于上述三项要求的章节(5.1-1、5.1-2、5.2-1、5.3-13等),即视为满足PSTI法案。该标准还包含其他安全条款(如数据加密、系统完整性等),但法案仅强制要求前三项。
合规流程
-自我声明为主:企业需自行评估产品合规性,并附上“符合性声明书”(Statement of Compliance)。
-第三方认证可选:虽非强制,但第三方认证(如ETSI EN 303 645评估)可增强市场信任度。
-文档要求:需提供技术文件,包括安全设计说明、测试报告、漏洞管理流程等。
MORLAB的优势
MORLAB是专业的第三方检测认证机构,已取得CNAS、A2LA、TAF认可资质,拥有20+年行业经验,国际认可度高
MORLAB 拥有英国PSTI测试资质,与多家NB机构保持长期良好合作,为您提供专业可信赖的检测和认证服务
MORLAB引进多套先进的检测设备,配置经验丰富的专家技术团队,确保检测数据准确、服务高效
MORLAB使用自研实验室管理平台,确保项目管理科学高效
MORLAB作为全球客户信赖的第三方测试认证机构,为您的品质保驾护航
常见问题
Q: PSTI合规周期多久?
A: PSTI合规周期主要取决于产品复杂度、资料准备完整度及所选路径(自我声明或第三方认证)。资料齐全的情况下,第三方评估通常可在较短时间内完成。实际周期需综合考虑产品类型、测试项目数量、文档审核进度等因素,建议提前与工程师沟通确认具体时间安排。
Q: 办理PSTI需要准备哪些资料?
A: 通常需要准备:产品技术说明书、安全设计文档、密码管理机制说明、漏洞报告联系方式、安全更新周期声明、电路原理图、软件版本信息等。不同产品类型可能有额外要求,具体资料清单建议咨询工程师确认,以确保资料完整避免延误。
Q: PSTI合规费用是多少?
A: 费用因产品类别、功能复杂度、所需评估项目及服务路径(文档审核、测试评估、认证支持等)不同而有所差异。具体报价需要工程师根据产品实际情况评估后提供,请联系获取详细报价方案。
Q: 送样测试有什么要求?
A: 一般需要提供完整功能的样品用于安全机制验证,具体数量和规格需根据产品类型和评估范围确定。部分产品可能仅需文档审核无需送样。建议在送样前与工程师沟通,确认样品状态、软件版本及数量要求,避免耽误评估进度。
