一、产品网络安全法案PSTIAct 2022简介
英国已在2024年4月29日起开始强制执行联网消费设备的网络安全法案PSTIAct 2022,适用于英格兰、苏格兰、威尔士、北爱尔兰。凡是在管控范围内的产品需要尽快完成PSTI认证,以确保产品顺利进入英国市场。
义务主体:
相关产品的制造商、进口商和分销商必须遵守该法案的安全要求,有责任制作合规声明并保留适当的记录,调查合规失败等,须确保产品附有合规声明,并在出现合规失败的情况下采取行动。
二、英国PSTI认证产品范围
包括大多数的物联网/联网产品,例如智能手机、智能家电、路由器、智能家居助理、可穿戴健身追踪器、户外休闲产品、联网儿童玩具和婴儿监视器等、有蜂窝连接的平板电脑,以及14岁儿童以下使用的计算机(台式电脑、笔记本电脑等),以及不能直接连接到互联网,但能同时连接到多个其他设备的产品,如智能照明器具、智能控制器、物联网基站等。
涉及产品类型:智能音箱、网络终端、家庭摄像头可穿戴设备、家庭智能网关、智能家庭打印机、智能门锁、家用联网传感器等等。
三、豁免产品:
14岁儿童以上使用的计算机(台式电脑、笔记本电脑)、无蜂窝连接的平板电脑、医疗设备、电动汽车充电桩和智能电表产品,以及供应北爱尔兰的符合相关立法规定的产品。
四、英国PSTI认证要求
PSTI认证对网络安全的要求主要分为三个方面:
1.禁止通用默认密码;
2.实施漏洞披露管理;
3.产品安全更新服务透明化。
这些要求可以根据PSTI认证直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSIEN 303 645标准进行评估来证明产品符合PSTI认证。也就是说,满足ETSIEN 303 645标准的三个章节和项目的要求就等同于符合英国PSTI认证的要求。
五、PSTI法案和ETSIEN 30364标准测试流程
1.样品资料准备:
3套样品,含主机和配件、无加密的软体、使用说明书、规格书、相关服务和登录账户等资料。
2.测试环境建立:
依据使用说明书建立测试环境。
3.网络安全评估执行:
文件审查和技术测试、检查供应商问卷和提供反馈。
4.弱点修复:
提供咨询服务,修复弱点问题。
5.出具报告:
出具PSTI评估报告或ETSIEN 30364评估报告。