欢迎来到文档分享网! | 帮助中心 分享价值,成长自我!
文档分享网
全部分类
  • 行业标准>
  • 国家标准GB>
  • 国外标准>
  • 监理资料>
  • 施工组织设计>
  • 土木工程毕业设计论文>
  • 机械类毕业设计论文>
  • 小学课件教学资料>
  • 初中课件教学资料>
  • 高中课件教学资料>
  • 工作计划个人总结>
  • 中学小学教案导学案与教学设计>
  • ImageVerifierCode 换一换
    首页 文档分享网 > 资源分类 > PDF文档下载
    分享到微信 分享到微博 分享到QQ空间

    T_HBPFS 005-2023 移动金融客户端应用标准.pdf

    • 资源ID:100794080       资源大小:657.39KB        全文页数:26页
    • 资源格式: PDF        下载积分:9.9金币
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    三方登录下载: QQ登录
    二维码
    微信扫一扫登录
    下载资源需要9.9金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝扫码支付    微信扫码支付   
    验证码:   换一换

    加入VIP,免费下载
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    T_HBPFS 005-2023 移动金融客户端应用标准.pdf

    T/HBPFS 005-2023ICS03.060CCSA11团体标准T/HBPFS 005-2023移动金融客户端应用标准Financial Mobile Application SoftwareEnterprise Standard2023-12-26 发布2023-12-31 实施河北省金融学会发 布学兔兔 标准下载T/HBPFS 005-20231目 次前 言.21、范围.32、规范性引用文件.33、术语和定义.34、缩略语.75、安全性.76、技术先进性.227、创新及前瞻性.23学兔兔 标准下载T/HBPFS 005-20232前 言本文件按照 GB/T1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由中国人民银行保定市分行和保定银行股份有限公司提出。本文件由河北省金融学会归口。本文件起草单位:中国人民银行保定市分行 保定银行股份有限公司 秦皇岛银行股份有限公司 衡水银行股份有限公司 北京科蓝软件系统股份有限公司本文件的主要起草人:吴强 林振英 杨钊 孙莉 陈桂兰 王林芳 王震 刘继勇 王钊 郭丰灶王亚萱 项海南 尹子平 张保新学兔兔 标准下载T/HBPFS 005-20233移动金融客户端应用标准1、范围本文件规定了移动金融客户端应用标准,明确了安全性、规范性、技术先进性、创新及前瞻性的规范要求。本文件适用于移动金融客户端应用。2、规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 35273-2020 信息安全技术个人信息安全规范JR/T 00922019 移动金融客户端应用软件安全管理规范JR/T 0171-2020 个人金融信息保护技术规范JR/T 0068-2020 网上银行系统信息安全通用规范JR/T 0071-2020 金融行业网络安全等级保护实施指引JR/T 0118-2015 金融电子认证规范JR/T 0149-2016 中国金融移动支付支付标记化技术规范3、术语和定义下列术语和定义适用于本文件。3.1 移动金融客户端应用软件 financial mobile application software在移动终端上为用户提供金融交易服务的应用软件。注 1:包括但不限于可执行文件、组件等。注 2:JR/T 0092-2019,定义 2.13.2 资金交易类客户端应用软件 capital transaction client application software直接面向用户提供资金交易服务的移动金融客户端应用软件。注 1:包括但不限于手机银行、支付 APP 等。注 2:JR/T 0092-2019,定义 2.23.3 个人信息 personal Information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。学兔兔 标准下载T/HBPFS 005-20234注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号、密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注 2:GB/T352732017,定义 3.13.4 个人金融信息 personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注 1:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注 2:JR/T 0092-2019,定义 2.53.5 个人金融信息主体 personal financial information subject个人金融信息所标识的自然人。注:JR/T 0071-2020,定义 3.43.6 个人金融信息控制者 personal financial information controller有权决定个人金融信息处理目的、方式等机构。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0071-2020,定义 3.53.7 个人敏感信息 personal Sensitive Information一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注 1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。注 2:GB/T352732017,定义 3.23.8 收集 collect获得个人金融信息的控制权的行为。注 1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注 2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问的,则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后,指纹特征信息不回传至提供者,则不属于用户指纹特征信息的收集行为。注 3:JR/T 0171-2020,定义 3.6学兔兔 标准下载T/HBPFS 005-202353.9 公开披露 public disclosure向社会或不特定群体发布信息的行为。注:GB/T 352732020,定义 3.103.10 转让 transfer of control将个人金融信息控制权由一个控制者向另一个控制者转移的过程。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0171-2020,定义 3.83.11 共享 sharing个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。注:JR/T 0171-2020,定义 3.93.12 支付账号 payment account具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0171-2020,定义 3.113.13 支付标记 payment token(Token)作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。注:JR/T 01492016,定义 3.23.14 短信验证码 SMS code后台系统以短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0088.12012,定义 2.443.15 匿名化 anonymization通过对交易信息的技术处理,使得交易信息主体无法被识别,且处理后的信息不能被复原的过程。注:JR/T 0171-2020,定义 3.23学兔兔 标准下载T/HBPFS 005-202363.16 去标识化 de-identification通过对交易信息的技术处理,使其在不借助额外信息的情况下,无法识别交易信息主体的过程。注 1:去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。注 2:JR/T 0171-2020,定义 3.243.17 删除 delete在金融产品和服务所涉及的系统中去除交易信息的行为,使其保持不可被检索、访问的状态。注:JR/T 0171-2020,定义 3.253.18 语音识别automatic speech recognition将人类语音中的词汇内容转换为计算机可读的输入。示例:按键、二进制编码或者字符序列。3.19 语音合成text to speech将文本信息转化为语音数据的技术,涉及声学、语言学、数字信号处理、多媒体等多种前沿的高新科技。3.20 自然语言理解natural language processing使用自然语言同计算机进行通讯的技术。3.21 第三方信源the third party source客户端应用软件调用语音能力时可以接入的第三方服务。学兔兔 标准下载T/HBPFS 005-202374、缩略语下列缩略语适用于本文件。APP:客户端应用软件(Application Software)URI:统一资源标识符(Uniform Resource Identifier)TEE:可信执行环境(Trusted Execution Environment)SDK:软件开发工具包(Software Development Kit)SE:安全单元(Secure Element)5、安全性5.1 总则移动金融客户端软件的开发、设计、运维、身份认证安全、逻辑安全、安全功能设计、密码算法以及密钥管理、数据安全、个人金融信息保护等均应符合 JR/T 00922019移动金融客户端应用软件安全管理规范、JR/T 01712020个人金融信息保护技术规范、JR/T 0068-2020网上银行系统信息安全通用规范。5.2 基本安全要求5.2.1密码算法a)客户端应用软件应使用密码算法对资金有关交易或重要业务操作进行保护。b)密码算法、密钥长度及密钥管理方式应符合国家密码主管机构要求的国产商用密码算法提出要求。c)密钥在传输过程中应使用密码算法对密钥进行保护。d)随机生成的密钥应具有一定的随机性与不可预测性。e)密钥应加密存储,并确保密钥储存位置和形式的安全。JR/T 0092-2019,定义 5.45.2.2风险提示应对客户端运行环境进行安全评测,并根据安全评测情况对客户进行风险提示:a)应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。b)应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风学兔兔 标准下载T/HBPFS 005-20238险控制措施。c)应在门户站点等渠道发布客户端环境安全的提示。d)当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交易。e)当移动金融客户端软件进入后台时,对客户进行风险提示。JR/T 0068-2020,定义 6.2.1.25.2.3缺陷解决率应每年对移动金融客户端及服务器进行渗透测试和安全评估,对于在渗透测试、安全评估等过程中发现的缺陷和漏洞应及时予以解决:a)显著影响声誉的漏洞,较易利用并可影响客户资金安全的漏洞,较易利用并可导致客户信息大量泄露的漏洞,较易利用并可导致获得管理员权限、完全控制系统的漏洞,较易利用并可导致重要服务器故障或响应异常的漏洞,以及其它可能引起级突发事件的漏洞属于高危风险,高危风险的缺陷解决率=100%。b)可能影响声誉的漏洞,可利用并影响客户资金安全的漏洞,可致使客户信息泄露的漏洞,可获得部分访问权限但不能完全控制系统的漏洞,可利用并可导致一般服务器故障或响应异常的漏洞,可间接影响信息系统运行的漏洞,以及其它可能引起级突发事件的漏洞属于中危风险,中危风险的缺陷解决率=90%。5.3 客户端安全5.3.1客户端设计移动金融客户端软件设计过程中应遵守以下规则:a)客户端应用软件设计应遵循安全、可靠、易用、可维护和可扩展等原则,制定用于指导客户端应用软件设计与开发的总体方案。b)客户端应用软件应提供易用、适老、风格统一、体验良好的用户界面。c)客户端应用软件应遵循合法、正当、必要的原则,不收集与所提供服务无关的交易信息。d)客户端应用软件收集个人金融信息或用户授权等操作前,要以通俗易懂、简单明了的方式展示个人金融信息收集使用规则,并经个人金融信息主体自主选择同意。e)

    注意事项

    本文(T_HBPFS 005-2023 移动金融客户端应用标准.pdf)为本站会员(wb123...)主动上传,文档分享网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文档分享网(点击联系客服),我们立即给予删除!




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 

    联系QQ: 200681278 或 335718200

    收起
    展开