Logo

认证标准解读

Home 首页 归档 标签 Email

PSTI供应商合规义务详解:制造商、进口商与分销商

概述

供应商是 PSTI 法案合规链条中最核心的主体,承担着明确的合规义务。本文将详细解读制造商、进口商和分销商的职责规定,以及三项核心安全要求的具体实施,帮助企业准确理解和履行法定义务。

一、角色定位与判断

1.1 角色定义

制造商 (Manufacturer)

Section 55 定义:

A person who—
(a) manufactures a relevant connectable product, or
(b) has a relevant connectable product designed or manufactured, and markets that product under their own name or trademark.

两种认定情形

情形 说明
自行制造 自己生产产品
委托制造 委托他人设计或制造,以自己品牌销售

关键判断标准:产品上的品牌名称或商标所有者

进口商 (Importer)

Section 56 定义:

A person who is established in the United Kingdom and who—
(a) places a relevant connectable product on the market in the United Kingdom, and
(b) is not the manufacturer or the manufacturer’s authorised representative.

关键要素:在英国成立 + 从境外采购产品投放英国市场

分销商 (Distributor)

Section 56 定义:

A person in the supply chain, other than the manufacturer or importer, who makes a relevant connectable product available on the market.

关键要素:制造商和进口商下游的销售主体

1.2 典型场景判定

场景 角色判定
A公司自产自销 A公司 = 制造商
A公司委托B工厂代工,以A品牌销售 A公司 = 制造商
B工厂以自己品牌销售同款产品 B公司 = 制造商
白牌产品(无品牌) 生产者 = 制造商
英国C公司从中国A公司采购产品销售 C公司 = 进口商
英国D公司从英国C公司采购产品零售 D公司 = 分销商

1.3 供应链角色对照

1
2
制造商 → 进口商 → 分销商 → 消费者
(境外)  (英国)   (英国零售商)

二、制造商义务详解

制造商承担着最全面、最严格的合规义务。

2.1 义务体系概览

1
2
3
4
5
6
7
8
9
10
11
12
制造商义务体系
├── 产品义务(Product Duties)
│   ├── 安全要求合规(Section 8)
│   └── 合规声明(Section 9)

├── 程序义务(Procedural Duties)
│   ├── 调查义务(Section 10)
│   ├── 行动义务(Section 11)
│   └── 记录义务(Section 12)

└── 代表义务(Representative Duties)
    └── 授权代表义务(Section 13)

2.2 安全要求合规义务(Section 8)

核心要求

Section 8(1): A manufacturer of a product must comply with any relevant security requirements relating to that product.

三项核心安全要求

要求 ETSI条款 具体内容
禁止默认密码 5.1.1 每台设备使用唯一密码,禁止通用默认密码
漏洞披露政策 5.2 建立漏洞披露机制,公开安全联系方式
安全更新期限 5.3 明确声明安全更新支持期限

2.3 合规声明义务(Section 9)

核心要求

Section 9(1): A manufacturer may not make a consumer connectable product available in the United Kingdom unless it is accompanied by (a) a statement of compliance, or (b) a summary of the statement of compliance.

合规声明必须包含的内容

序号 内容要素 具体要求
1 制造商信息 名称、注册地址、联系方式
2 产品标识 产品型号、批次号等唯一标识
3 合规声明 明确声明产品符合安全要求
4 安全要求清单 列出适用的安全要求
5 安全更新支持期限 明确安全更新支持的时间
6 漏洞披露联系方式 安全问题报告的联系方式
7 签署日期 声明签署日期

声明形式

形式 适用场景
完整声明 产品包装内附、官网下载
声明摘要 产品标签、快速指南
电子版本 可通过二维码、网址访问

合规声明模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
────────────────────────────────────────────────────────────
                 STATEMENT OF COMPLIANCE
         Product Security and Telecommunications 
                    Infrastructure Act 2022
────────────────────────────────────────────────────────────

1. MANUFACTURER INFORMATION

   Name: [制造商法定名称]
   Address: [注册地址]
   Contact: [联系方式]

2. PRODUCT INFORMATION

   Product Name: [产品名称]
   Model: [型号]
   Batch/Serial No.: [批次号/序列号]

3. DECLARATION

   We, [制造商名称], declare that the product identified 
   above complies with the applicable security requirements 
   set out in the PSTI Regulations 2023.

4. SECURITY REQUIREMENTS

   ☑ No universal default passwords
   ☑ Vulnerability disclosure policy in place
   ☑ Security update support period disclosed

5. SECURITY UPDATE SUPPORT

   Support Period: [X] years from first sale
   End Date: [具体日期]

6. VULNERABILITY REPORTING

   Security Contact: [邮箱]
   Response Time: [承诺响应时间]

7. DATE AND SIGNATURE

   Date: [签署日期]
   Authorized Representative: [授权代表姓名]
   Signature: [签名]

────────────────────────────────────────────────────────────

2.4 调查义务(Section 10)

核心要求

Section 10(2): A manufacturer must take all reasonable steps to investigate whether there is a compliance failure in relation to a product if the manufacturer is informed that there is, or may be, a compliance failure.

触发条件

触发来源 示例
安全研究员 发现漏洞并通知制造商
消费者投诉 用户报告安全问题
监管机构 执法机构通知
内部发现 内部测试发现问题

调查内容

调查方向 具体内容
事实核实 核实报告内容的真实性
影响范围 确定受影响产品批次/型号
根本原因 分析问题产生原因
合规评估 评估是否构成合规失败

2.5 行动义务(Section 11)

核心要求:当制造商知悉合规失败存在时,必须:

行动 要求
阻止销售 采取一切合理步骤阻止产品在英国市场销售
纠正失败 采取一切合理步骤纠正合规失败

通知义务:必须通知以下各方

通知对象 通知内容
执法机构 合规失败详情、风险、整改措施
其他制造商 如有其他制造商
进口商 已知进口商
分销商 已知分销商
直接客户 满足特定条件时

2.6 记录保存义务(Section 12)

核心要求

记录类型 保存期限
合规失败记录 至少10年
调查记录 至少10年
整改记录 至少10年

三、进口商义务详解

3.1 安全要求合规义务(Section 14)

进口商必须确保产品符合相关安全要求。

3.2 合规声明验证义务(Section 15)

核心要求:进口商不得销售无合规声明的产品。

义务内容 要求
验证声明存在 确保产品附随合规声明或摘要
保存声明副本 保存合规声明副本
提供声明 应要求向执法机构提供

3.3 禁止销售义务(Section 16)

核心要求:进口商知悉制造商合规失败时,不得销售该产品。

3.4 调查义务(Section 17)

核心要求:进口商收到合规失败报告时,必须调查。

调查对象 说明
进口商自身合规失败 是否违反自身义务
制造商合规失败 制造商是否违反义务

3.5 行动义务(Section 18-19)

当发现制造商存在合规失败时:

步骤 行动
1 联系制造商
2 如制造商不纠正,阻止销售
3 通知执法机构
4 通知下游分销商

3.6 记录保存义务(Section 20)

记录内容 保存期限
调查记录 至少10年
合规失败记录 至少10年

四、分销商义务详解

4.1 安全要求合规义务(Section 21)

分销商必须确保产品符合相关安全要求。

4.2 合规声明验证义务(Section 22)

核心要求:分销商不得销售无合规声明的产品。

4.3 禁止销售义务(Section 23)

核心要求:分销商知悉制造商合规失败时,不得销售该产品。

4.4 行动义务(Section 24-25)

当发现制造商存在合规失败时:

步骤 行动
1 联系制造商
2 如无法联系制造商,联系上游供应商
3 如制造商不纠正,阻止销售
4 通知执法机构

五、义务对照表

5.1 义务范围对比

义务类型 制造商 进口商 分销商
安全要求合规
合规声明准备
合规声明验证 -
合规声明保存
禁止销售义务
调查义务
行动义务(自身)
行动义务(上游) -
记录保存义务

六、技术要求详解:禁止默认密码

6.1 ETSI EN 303 645 条款 5.1

原文

Where passwords are used, and in any state other than the factory default, all consumer IoT device passwords shall be unique per device.

6.2 禁止的密码类型

密码类型 示例 是否禁止
通用默认密码 admin, password, 123456, root ❌ 禁止
可预测密码 序列号、MAC地址、型号+序号 ❌ 禁止
批量相同密码 同批次产品使用相同密码 ❌ 禁止
空密码 无密码 ❌ 禁止

6.3 技术实现方案

方案一:出厂唯一密码

1
2
3
4
5
出厂流程:
1. 生产线上生成随机密码
2. 将密码写入设备安全存储区
3. 将密码打印在设备标签上
4. 用户首次使用时强制修改

优点:技术实现简单,用户开箱即用
缺点:需要管理密码标签,用户可能丢失标签

方案二:首次使用设置

1
2
3
4
5
首次使用流程:
1. 用户打开设备
2. 设备进入配网/设置模式
3. 强制用户设置密码
4. 密码设置完成后才可使用设备

优点:无默认密码风险,用户记忆密码
缺点:用户体验稍复杂,需要良好的引导界面

方案三:硬件绑定密码

1
2
3
4
5
密码生成流程:
1. 读取设备硬件唯一ID(如芯片UID)
2. 使用安全算法生成密码
3. 密码写入设备标签
4. 用户可修改

优点:无需存储密码,自动唯一性
缺点:算法安全性要求高

6.4 密码复杂度要求

要求 建议设置
最小长度 8位(普通设备)/ 12位(安全敏感设备)
大写字母 必须包含
小写字母 必须包含
数字 必须包含
特殊字符 建议包含
禁止内容 禁止用户名、设备型号等

七、技术要求详解:漏洞披露政策

7.1 ETSI EN 303 645 条款 5.2

原文

Implement a vulnerability disclosure policy. This should include a public point of contact for reporting vulnerabilities.

7.2 漏洞披露政策要素

要素 内容
适用范围 政策适用的产品范围
报告方式 如何报告漏洞
响应承诺 承诺的响应时间
处理流程 漏洞处理流程
协调披露 协调披露原则
致谢机制 报告者致谢方式

7.3 联系方式公开位置

位置 内容
产品包装 安全联系方式
用户手册 完整联系方式和政策链接
快速指南 邮箱和网址
官网 完整漏洞披露政策
合规声明 安全联系方式

7.4 漏洞处理流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
漏洞处理流程:

收到报告


确认收到(14天内)


初步评估(30天内)

    ├── 非漏洞 ──→ 说明原因,关闭报告

    ├── 信息重复 ──→ 通知报告者,跟踪原报告

    └── 确认漏洞 ──→ 继续处理


                    严重程度评估

                        ├── 低 ──→ 计划修复
                        ├── 中 ──→ 优先修复
                        ├── 高 ──→ 紧急修复
                        └── 严重 ──→ 立即修复


                                    开发修复 → 测试验证 → 发布更新 → 通知报告者

7.5 响应时间标准

严重程度 确认收到 初步评估 修复目标
严重 3个工作日 7个工作日 14天
7个工作日 14个工作日 30天
14个工作日 30个工作日 90天
14个工作日 30个工作日 计划中

7.6 漏洞披露政策模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 安全漏洞报告政策

ABC Technology 重视产品安全。如您发现我们产品的安全漏洞,
请通过以下方式报告。

## 报告方式

- 邮箱:security@abctech.com
- PGP 公钥:https://abctech.com/pgp-key.txt

## 我们承诺

| 阶段 | 时间承诺 |
|------|----------|
| 确认收到 | 14个工作日内 |
| 初步评估 | 30个工作日内 |
| 状态更新 | 每30天一次 |
| 修复通知 | 修复发布后 |

## 协调披露

请给我们合理时间修复漏洞后再公开披露。
我们承诺在修复后致谢报告者。

八、技术要求详解:安全更新透明度

8.1 ETSI EN 303 645 条款 5.3

原文

When software updates are made available to consumers, they should be informed about the security implications of the update, and the update should be easy to install.

8.2 安全更新支持期限声明

必须明确说明

信息 要求
支持起始时间 从何时开始计算
支持截止日期 具体的截止日期
更新获取方式 如何获取更新
通知方式 如何通知用户

8.3 建议支持期限

产品类型 建议支持期限
智能手机 3-5年
智能家居设备 3-5年
智能安防设备 5年以上
智能门锁 5年以上

8.4 更新获取方式

方式 适用场景 优点 缺点
自动推送 联网设备 及时、无需用户操作 可能影响网络
手动下载 所有设备 用户可控 用户可能忽略
App更新 有配套App 便捷、可通知 需安装App

8.5 安全更新声明模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
## 安全更新支持声明

产品名称:Smart Camera SHC-2024

支持期限:自产品首次销售之日起提供 5 年安全更新支持

支持截止日期:2029年12月31日

更新获取方式:
- 自动推送:设备连接网络后自动检测并推送更新
- 手动更新:通过产品官网下载更新包

更新通知方式:
- 设备端推送通知
- 邮件通知(已注册用户)
- 官网公告

支持结束后建议:
建议用户在支持结束后更换新设备,以持续获得安全保护。

九、合规检查清单

9.1 产品合规

  • 产品不使用通用默认密码
  • 每台设备具有唯一密码
  • 强制用户首次使用时修改密码
  • 已建立漏洞披露机制
  • 已公开安全联系方式
  • 已明确安全更新支持期限

9.2 文档合规

  • 已准备合规声明
  • 合规声明内容完整
  • 合规声明附随产品
  • 合规声明使用英语

9.3 程序合规(制造商)

  • 已建立合规失败调查程序
  • 已建立合规失败通知程序
  • 已建立记录保存机制
  • 记录保存期限至少10年

9.4 供应链合规

  • 已通知供应链相关方合规要求
  • 已建立供应链信息传递机制
  • 已确认授权代表(如适用)

9.5 进口商/分销商额外检查

  • 验证产品附随合规声明
  • 保存合规声明副本
  • 建立合规失败报告机制
  • 不销售已知不合规产品

十、合规准备时间线

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
合规准备时间线(建议提前6个月启动)

第1-2月:评估与规划
├── 确定产品是否在范围内
├── 确定企业角色定位
├── 差距分析
└── 制定合规计划

第3-4月:产品整改
├── 技术整改(密码机制、更新机制)
├── 文档准备(合规声明、漏洞披露政策)
├── 流程建立(调查、通知、记录)
└── 内部培训

第5-6月:验证与发布
├── 合规验证测试
├── 文档审核
├── 供应链协调
└── 正式发布

小结

供应商合规义务要点:

  1. 角色判断:明确企业是制造商、进口商还是分销商
  2. 制造商义务:安全要求合规 + 合规声明 + 调查义务 + 行动义务 + 记录保存
  3. 进口商义务:验证合规声明 + 禁止销售义务 + 调查义务 + 记录保存
  4. 分销商义务:验证合规声明 + 禁止销售义务
  5. 三项要求:禁止默认密码、漏洞披露政策、安全更新期限声明
  6. 记录保存:至少10年

参考资料

本文是 PSTI法案解读系列 的第二篇文章。上一篇:PSTI法案概览与适用范围详解,下一篇:执法机制与合规验证

, , , — 2026年3月22日

本文阅读量

评论

Search

    Made with ❤ and Hexo.js at Lynd · 280327097@qq.com.

    本站总访问量 | 访客数 人次