书签 分享 收藏 举报 版权申诉 / 26

类型T_HBPFS 005-2023 移动金融客户端应用标准.pdf

  • 上传人:wb123...
  • 文档编号:100794080
  • 上传时间:2024-05-07
  • 格式:PDF
  • 页数:26
  • 大小:657.39KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    T_HBPFS 005-2023 移动金融客户端应用标准 005 2023 移动 金融 客户端 应用 标准
    资源描述:
    T/HBPFS 005-2023ICS03.060CCSA11团体标准T/HBPFS 005-2023移动金融客户端应用标准Financial Mobile Application SoftwareEnterprise Standard2023-12-26 发布2023-12-31 实施河北省金融学会发 布学兔兔 标准下载T/HBPFS 005-20231目 次前 言.21、范围.32、规范性引用文件.33、术语和定义.34、缩略语.75、安全性.76、技术先进性.227、创新及前瞻性.23学兔兔 标准下载T/HBPFS 005-20232前 言本文件按照 GB/T1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由中国人民银行保定市分行和保定银行股份有限公司提出。本文件由河北省金融学会归口。本文件起草单位:中国人民银行保定市分行 保定银行股份有限公司 秦皇岛银行股份有限公司 衡水银行股份有限公司 北京科蓝软件系统股份有限公司本文件的主要起草人:吴强 林振英 杨钊 孙莉 陈桂兰 王林芳 王震 刘继勇 王钊 郭丰灶王亚萱 项海南 尹子平 张保新学兔兔 标准下载T/HBPFS 005-20233移动金融客户端应用标准1、范围本文件规定了移动金融客户端应用标准,明确了安全性、规范性、技术先进性、创新及前瞻性的规范要求。本文件适用于移动金融客户端应用。2、规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 35273-2020 信息安全技术个人信息安全规范JR/T 00922019 移动金融客户端应用软件安全管理规范JR/T 0171-2020 个人金融信息保护技术规范JR/T 0068-2020 网上银行系统信息安全通用规范JR/T 0071-2020 金融行业网络安全等级保护实施指引JR/T 0118-2015 金融电子认证规范JR/T 0149-2016 中国金融移动支付支付标记化技术规范3、术语和定义下列术语和定义适用于本文件。3.1 移动金融客户端应用软件 financial mobile application software在移动终端上为用户提供金融交易服务的应用软件。注 1:包括但不限于可执行文件、组件等。注 2:JR/T 0092-2019,定义 2.13.2 资金交易类客户端应用软件 capital transaction client application software直接面向用户提供资金交易服务的移动金融客户端应用软件。注 1:包括但不限于手机银行、支付 APP 等。注 2:JR/T 0092-2019,定义 2.23.3 个人信息 personal Information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。学兔兔 标准下载T/HBPFS 005-20234注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号、密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注 2:GB/T352732017,定义 3.13.4 个人金融信息 personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注 1:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注 2:JR/T 0092-2019,定义 2.53.5 个人金融信息主体 personal financial information subject个人金融信息所标识的自然人。注:JR/T 0071-2020,定义 3.43.6 个人金融信息控制者 personal financial information controller有权决定个人金融信息处理目的、方式等机构。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0071-2020,定义 3.53.7 个人敏感信息 personal Sensitive Information一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注 1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。注 2:GB/T352732017,定义 3.23.8 收集 collect获得个人金融信息的控制权的行为。注 1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注 2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问的,则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后,指纹特征信息不回传至提供者,则不属于用户指纹特征信息的收集行为。注 3:JR/T 0171-2020,定义 3.6学兔兔 标准下载T/HBPFS 005-202353.9 公开披露 public disclosure向社会或不特定群体发布信息的行为。注:GB/T 352732020,定义 3.103.10 转让 transfer of control将个人金融信息控制权由一个控制者向另一个控制者转移的过程。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0171-2020,定义 3.83.11 共享 sharing个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。注:JR/T 0171-2020,定义 3.93.12 支付账号 payment account具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0171-2020,定义 3.113.13 支付标记 payment token(Token)作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。注:JR/T 01492016,定义 3.23.14 短信验证码 SMS code后台系统以短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。注 1:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。注 2:JR/T 0088.12012,定义 2.443.15 匿名化 anonymization通过对交易信息的技术处理,使得交易信息主体无法被识别,且处理后的信息不能被复原的过程。注:JR/T 0171-2020,定义 3.23学兔兔 标准下载T/HBPFS 005-202363.16 去标识化 de-identification通过对交易信息的技术处理,使其在不借助额外信息的情况下,无法识别交易信息主体的过程。注 1:去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。注 2:JR/T 0171-2020,定义 3.243.17 删除 delete在金融产品和服务所涉及的系统中去除交易信息的行为,使其保持不可被检索、访问的状态。注:JR/T 0171-2020,定义 3.253.18 语音识别automatic speech recognition将人类语音中的词汇内容转换为计算机可读的输入。示例:按键、二进制编码或者字符序列。3.19 语音合成text to speech将文本信息转化为语音数据的技术,涉及声学、语言学、数字信号处理、多媒体等多种前沿的高新科技。3.20 自然语言理解natural language processing使用自然语言同计算机进行通讯的技术。3.21 第三方信源the third party source客户端应用软件调用语音能力时可以接入的第三方服务。学兔兔 标准下载T/HBPFS 005-202374、缩略语下列缩略语适用于本文件。APP:客户端应用软件(Application Software)URI:统一资源标识符(Uniform Resource Identifier)TEE:可信执行环境(Trusted Execution Environment)SDK:软件开发工具包(Software Development Kit)SE:安全单元(Secure Element)5、安全性5.1 总则移动金融客户端软件的开发、设计、运维、身份认证安全、逻辑安全、安全功能设计、密码算法以及密钥管理、数据安全、个人金融信息保护等均应符合 JR/T 00922019移动金融客户端应用软件安全管理规范、JR/T 01712020个人金融信息保护技术规范、JR/T 0068-2020网上银行系统信息安全通用规范。5.2 基本安全要求5.2.1密码算法a)客户端应用软件应使用密码算法对资金有关交易或重要业务操作进行保护。b)密码算法、密钥长度及密钥管理方式应符合国家密码主管机构要求的国产商用密码算法提出要求。c)密钥在传输过程中应使用密码算法对密钥进行保护。d)随机生成的密钥应具有一定的随机性与不可预测性。e)密钥应加密存储,并确保密钥储存位置和形式的安全。JR/T 0092-2019,定义 5.45.2.2风险提示应对客户端运行环境进行安全评测,并根据安全评测情况对客户进行风险提示:a)应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。b)应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风学兔兔 标准下载T/HBPFS 005-20238险控制措施。c)应在门户站点等渠道发布客户端环境安全的提示。d)当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交易。e)当移动金融客户端软件进入后台时,对客户进行风险提示。JR/T 0068-2020,定义 6.2.1.25.2.3缺陷解决率应每年对移动金融客户端及服务器进行渗透测试和安全评估,对于在渗透测试、安全评估等过程中发现的缺陷和漏洞应及时予以解决:a)显著影响声誉的漏洞,较易利用并可影响客户资金安全的漏洞,较易利用并可导致客户信息大量泄露的漏洞,较易利用并可导致获得管理员权限、完全控制系统的漏洞,较易利用并可导致重要服务器故障或响应异常的漏洞,以及其它可能引起级突发事件的漏洞属于高危风险,高危风险的缺陷解决率=100%。b)可能影响声誉的漏洞,可利用并影响客户资金安全的漏洞,可致使客户信息泄露的漏洞,可获得部分访问权限但不能完全控制系统的漏洞,可利用并可导致一般服务器故障或响应异常的漏洞,可间接影响信息系统运行的漏洞,以及其它可能引起级突发事件的漏洞属于中危风险,中危风险的缺陷解决率=90%。5.3 客户端安全5.3.1客户端设计移动金融客户端软件设计过程中应遵守以下规则:a)客户端应用软件设计应遵循安全、可靠、易用、可维护和可扩展等原则,制定用于指导客户端应用软件设计与开发的总体方案。b)客户端应用软件应提供易用、适老、风格统一、体验良好的用户界面。c)客户端应用软件应遵循合法、正当、必要的原则,不收集与所提供服务无关的交易信息。d)客户端应用软件收集个人金融信息或用户授权等操作前,要以通俗易懂、简单明了的方式展示个人金融信息收集使用规则,并经个人金融信息主体自主选择同意。e)
    展开阅读全文
    提示  文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:T_HBPFS 005-2023 移动金融客户端应用标准.pdf
    链接地址:https://www.wdfxw.net/doc100794080.htm
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 

    联系QQ: 200681278 或 335718200

    收起
    展开