移动金融APP顺利备案 这些规范要遵守

字号:

  自互联网金融诞生以来发展迅猛,移动金融类APP层出不穷,但同时也出现了各种问题。长期以来网上充斥着各种假冒、仿冒APP,严重影响了互联网金融的正常发展。由于之前没有针对移动金融APP的强制性技术标准和检测标准,使得移动金融APP产品犹如杂草般肆意生长,个人信息安全问题时有发生,直接威胁着人民群众的财产安全。

  为了整顿杂乱无章的移动金融APP市场,人民银行印发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)(以下简称“237号文”),237号文不仅提出要加强移动金融APP的监管力度,更是明确了移动金融APP在保险、证券等泛金融行业的安全建设标准,强调要进行实名备案,堪称“史上最严”监管。

  日前,为了落实237号文要求,“移动金融APP”备案工作正在如火如荼的进行。中国互联网金融协会(以下简称“互金协会”)已经公布了第一批参与备案的试点机构名单,所涉及企业纷纷提交待测APP版本到备案检测工作所指定的检测机构,认证检测工作正在有条不紊的开展。

  据悉,第一批测试完成的试点产品涉及“手机银行” 、“信用卡APP”等知名产品,部分已暴露出来的问题主要集中在 “数据敏感性”、“数据通信”、“数据完整性”等方面。各问题清单已经反馈至各软件厂商,进入整改阶段。

  根据“237号文”精神,政策性银行、商业银行、证券公司、基金公司、保险集团、支付机构等均在参与范畴之列,今后会在一批认证试点的基础上扩展到整个金融行业。那么问题来了:早晚都要备案的移动金融APP,有哪些危险的“红线”需要注意呢?接下来为您详细解读:

  ·“红线”源于“标准”

  由于认证工作开展的是围绕标准展开的,因而各单位所不能触及的危险“红线”均是来源现行标准,标准包括:

  JR/T 0092《移动金融客户端应用软件安全管理规范》

  JR/T 0098.3《中国金融移动支付检测规范第3部分:客户端软件》

  T/PACA 0006《条码支付移动客户端软件检测规范》

  其中《移动金融客户端应用软件安全管理规范》是移动金融APP检测的主要技术依托,里面涵盖金融客户端应满足的安全要求以及相关管理要求。针对相关要求提出了以下细则:

  细则分为:安全管理规范总体要求、客户端应用软件安全要求、客户端应用软件管理要求三个大类。

  其中客户端应用软件安全要求分为:身份认证安全、逻辑安全、安全功能设计、密码算法以及密钥管理、数据安全。客户端应用软件管理要求包括:设计要求、开发要求、发布要求、维护要求。

  共计三大类,9项要求。每项要求又包含1-10余项不等的具体细则要求,例如:在“个人金融信息展示”基本要求中规定了“不应明文显示银行卡密码和网络支付交易密码”。

移动金融APP顺利备案 这些规范要遵守

  《中国金融移动支付检测规范第3部分:客户端软件》分为“基本检测项”、“功能检测项”、“性能检测项”和“安全检测项”。分别在上述四个方面进行了约束和要求:

移动金融APP顺利备案 这些规范要遵守

  《条码支付移动客户端软件检测规范》移动终端安全分为“移动终端安全”、“交易安全”和“兼容性测试”三大类要求:

移动金融APP顺利备案 这些规范要遵守

  上述三个规范,百余项具体细则要求共同支撑起了整个移动金融APP备案体系,而每一项要求也正是我们企业所不能够触及的危险红线。

  ·寻“红线”宜“咨询”

  如果您的企业在移动金融APP备案过程中对标准的解读或对技术要求中不应触及的红线不尽清楚的话,建议您向指定的检测机构咨询,这样可以用最少的时间精准把握各项指标。CFCA等专业的移动金融APP备案指定检测机构能够提供帮助,直接和认证机构对接,可以提供 “咨询”、“检测”、“认证”、“年检复测”的一站式服务,准确解读相关政策,对认证进行全面把控,帮助您的APP远离危险“红线”,全程为您保驾护航。  

  作者:马瑶瑶 纪崇廉