《移动金融客户端应用软件安全管理规范》,不同类型的软件有什么要求

2020-10-16 10:56:52 爱加密 888

  原标题:解读|银发〔2019〕237号,加强金融行业安全建设标准

  2019年, 中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知。 本次发文不仅加强了金融行业的监管力度,更是明确了保险、证券、基金乃至互联网金融行业的安全建设标准,并将个人信息安全治理工作真正贯彻到了金融领域。

  在这样的趋势下,应该如何理解并按照相关规定来执行,快速区分自身移动金融客户端应用软件的定位,并加强其安全管理,真正做到合规、安全,也是各大金融企业面临的一个问题。

  《移动金融客户端应用软件安全管理规范》提出的安全要求分为基本要求和增强要求,所有相关客户端都应在满足基本要求的基础上,建议满足增强要求。

  针对不同类型的软件应该做到:

  · 资金交易类 应符合资金交易、信息保护等所有技术及管理安全要求;

  · 信息采集类 应重点符合信息保护相关技术及管理安全要求;

  · 资讯查询类 应符合相关客户端软件安全和管理要求。

  1、客户端应用软件安全要求

  安全要求中包含 身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全 等五大类要求。

  · 身份认证安全

  此部分包含认证方式、认证信息安全、认证失败处理、密码的设定与重置4大项若干小项要求,涉及到应用安全、个人账户安全、个人金融信息安全等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。

  · 逻辑安全

  此部分包含逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等5大项若干小项要求,涉及到业务逻辑漏洞、软件权限获取、个人金融信息安全、业务风向等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。

  · 安全功能设计

  此部分包含组件安全、接口安全、抗攻击能力、客户端应用软件环境检测等4大项若干小项要求,涉及到不安全的第三方组件对于客户端安全的影响以及用户个人信息的获取、接口的非授权调用、抵御攻击的能力、客户端运行环境的监测等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。

  · 密码算法及密钥管理

  此部分包含密码算法、密钥管理等2大项若干小项要求,涉及到对交易或重要操作的保护、密钥本身的保护等。所有金融App都应满足其基本要求,其中应重点关注资金交易类。

  · 数据安全

  此部分包含数据获取、数据访问控制、数据传输、数据存储、数据展示、数据销毁等6大项若干小项要求,涉及到支付等敏感信息的泄露、关键交易数据的篡改、个人信息的保护、敏感信息的销毁等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。

  2、客户端应用软件管理要求

  管理要求中包括设计要求、开发要求、发布要求、维护要求等四大类要求。针对软件的全生命周期提出了要求。

  结语:金融APP涉及到人民的个人隐私和个人财产,需要重点实施网络安全保护,在提供便捷的业务服务的同时,需要降低信息泄露,财产被盗的风险。

图片关键词

  声明:本文来自爱加密,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。

图片关键词