《移動金融客戶端應用軟件安全管理規范》,不同類型的軟件有什么要求

2020-10-16 10:56:52 愛加密 64

  原標題:解讀|銀發〔2019〕237號,加強金融行業安全建設標準

  2019年, 中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知。 本次發文不僅加強了金融行業的監管力度,更是明確了保險、證券、基金乃至互聯網金融行業的安全建設標準,并將個人信息安全治理工作真正貫徹到了金融領域。

  在這樣的趨勢下,應該如何理解并按照相關規定來執行,快速區分自身移動金融客戶端應用軟件的定位,并加強其安全管理,真正做到合規、安全,也是各大金融企業面臨的一個問題。

  《移動金融客戶端應用軟件安全管理規范》提出的安全要求分為基本要求和增強要求,所有相關客戶端都應在滿足基本要求的基礎上,建議滿足增強要求。

  針對不同類型的軟件應該做到:

  · 資金交易類 應符合資金交易、信息保護等所有技術及管理安全要求;

  · 信息采集類 應重點符合信息保護相關技術及管理安全要求;

  · 資訊查詢類 應符合相關客戶端軟件安全和管理要求。

  1、客戶端應用軟件安全要求

  安全要求中包含 身份認證安全、邏輯安全、安全功能設計、密碼算法及密鑰管理、數據安全 等五大類要求。

  · 身份認證安全

  此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求,涉及到應用安全、個人賬戶安全、個人金融信息安全等方面。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類。

  · 邏輯安全

  此部分包含邏輯安全設計、軟件權限控制、風險控制、回退處理、異常處理等5大項若干小項要求,涉及到業務邏輯漏洞、軟件權限獲取、個人金融信息安全、業務風向等方面。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類、資訊查詢類。

  · 安全功能設計

  此部分包含組件安全、接口安全、抗攻擊能力、客戶端應用軟件環境檢測等4大項若干小項要求,涉及到不安全的第三方組件對于客戶端安全的影響以及用戶個人信息的獲取、接口的非授權調用、抵御攻擊的能力、客戶端運行環境的監測等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類、資訊查詢類。

  · 密碼算法及密鑰管理

  此部分包含密碼算法、密鑰管理等2大項若干小項要求,涉及到對交易或重要操作的保護、密鑰本身的保護等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類。

  · 數據安全

  此部分包含數據獲取、數據訪問控制、數據傳輸、數據存儲、數據展示、數據銷毀等6大項若干小項要求,涉及到支付等敏感信息的泄露、關鍵交易數據的篡改、個人信息的保護、敏感信息的銷毀等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類。

  2、客戶端應用軟件管理要求

  管理要求中包括設計要求、開發要求、發布要求、維護要求等四大類要求。針對軟件的全生命周期提出了要求。

  結語:金融APP涉及到人民的個人隱私和個人財產,需要重點實施網絡安全保護,在提供便捷的業務服務的同時,需要降低信息泄露,財產被盜的風險。

圖片關鍵詞

  聲明:本文來自愛加密,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表萬方安全立場,轉載目的在于傳遞更多信息。如有侵權,請聯系刪除。

圖片關鍵詞

琼崖海南麻将软件 越南河内五分彩技巧一星 甘肃11选5开奖查询结果 竞彩混合过关 北京pk10怎么抓大特 双色球基本走势图2014 如何破解捷报比分APP的推荐 iphone捕鸟达人 五分赛车人工在线计划 腾讯分分彩如何下载 陕西快乐10分分布图 捕鱼来了工作室刷弹头 福彩华东15选5规则 体彩排列三开奖结果今天晚上 微乐辽宁麻将作弊器免费 真人龙虎斗有什么技巧 保定最新中奖