T_HBPFS 001-2023 网上银行应用标准.pdf

ICS03.060CCSA11团体标准T/HBPFS 001-2023网上银行应用标准Online Banking Client Application Enterprise Standard2023-12-26 发布2023-12-31 实施河北省金融学会发 布学兔兔 标准下载学兔兔 标准下载T/HBPFS 001-20231目 次前 言.21、范围.32、规范性引用文件.33、术语和定义.34、网上银行客户端管理规范.45、安全规范.56、兼容性及性能要求.177、业务运营安全规范.188、服务行为规范.229、客户培训及权益保护.2310、组织保障.24学兔兔 标准下载T/HBPFS 001-20232前 言本文件按照 GB/T1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由中国人民银行保定市分行和保定银行股份有限公司提出。本文件由河北省金融学会归口。本文件起草单位：中国人民银行保定市分行 保定银行股份有限公司 秦皇岛银行股份有限公司 衡水银行股份有限公司 北京科蓝软件系统股份有限公司本文件的主要起草人：吴强 林振英 杨钊 孙莉 陈桂兰 王林芳 王震 刘继勇 王钊 郭丰灶王亚萱 项海南 尹子平 张保新学兔兔 标准下载T/HBPFS 001-20233网上银行应用标准1、范围本文件规定了网上银行客户端应用标准，明确了安全性、规范性、技术先进性、创新及前瞻性的规范要求。本文件适用于网上银行客户端应用。2、规范性引用文件下列文件对于本服务标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 32315-2015 银行业客户服务中心基本要求GB/T 35273-2020 信息安全技术 个人信息安全规范JR/T 0171-2020 个人金融信息保护技术规范JR/T 0068-2020 网上银行系统信息安全通用规范JR/T 0071-2020 金融行业网络安全等级保护实施指引JR/T 0118-2015 金融电子认证规范3、术语和定义3.1网上银行Online Banking网上银行是传统银行业务系统的扩充和延伸。商业银行通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。3.2个人网银 personal internet banking商业银行等银行业面向个人用户提供的网上金融服务。3.3企业网银 corporate internet banking商业银行等银行业面向企事业单位和其他组织提供的网上金融服务。3.4网上银行客户端Online Banking Client通过电脑端为用户提供金融交易服务的应用软件。3.5网上银行数字证书Digital Certificate of Online Banking网上银行数字证书是指由中国金融认证中心发放，包含了证书持有人身份信息以及学兔兔 标准下载T/HBPFS 001-20234公开密钥等相关信息，用于证实客户身份、保证网上信息安全，且能确认持有人唯一身份的电子文件。3.6短信验证码 SMS code后台系统以手机短信形式发送到用户绑定手机上的随机数，用户通过回复该随机数进行身份认证。3.7个人金融信息 personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注：包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。3.8支付敏感信息 payment sensitive information影响网上银行安全的密码、密钥以及交易敏感数据等。注：密码包括但不限于交易密码、查询密码、登录密码、证书的 PIN 等，密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2 等。4、网上银行客户端管理规范4.1网上银行客户端设计网上银行客户端软件设计过程中应遵守以下规则：a)客户端应用软件设计应遵循安全、可靠、易用、可维护和可扩展等原则，制定用于指导客户端应用软件设计与开发的总体方案。b)客户端应用软件应提供易用、风格统一、体验良好的用户界面。c)客户端应用软件应遵循合法、正当、必要的原则，不收集与所提供服务无关的个人金融信息。d)客户端应用软件收集个人金融信息或用户授权等操作前，要以通俗易懂、简单明了的方式展示个人金融信息收集使用规则，并经个人金融信息主体自主选择同意。e)客户端应用软件不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反与用户的约定收集使用个人金融信息。f)客户端应用软件设计在遵循易用性原则的基础上，应采用人工智能技术。g)客户端应用软件应提供访问、更正个人金融信息，以及授权撤销、账户注销等功能。学兔兔 标准下载T/HBPFS 001-202354.2客户端开发网上银行客户端软件开发过程中应遵守以下规则：a)客户端应用软件开发过程中应遵守严格的开发流程、项目管理流程和编码安全规范，进行完整的测试，避免在请求、响应、存储、配置等功能中存在漏洞。b)客户端应用软件开发过程中应建立并维护开发文档。c)客户端应用软件开发完成后，应同步完成产品手册、用户手册或提供在线帮助说明功能。d)客户端应用软件的每次重要更新、升级，都必须经过严格归档、源代码扫描、发布审核等步骤。4.3客户端发布网上银行客户端软件发布过程中应遵守以下规则：a)客户端应用软件应有规范的上线发布流程，由应用软件的所有方对应用软件进行签名和保护，标识应用软件的来源和发布者，提供安全可靠的应用软件下载、发布、升级渠道。b)客户端应用软件应当删除调试或测试中存留的敏感数据。c)客户端应用软件安装过程中，应拥有独立的安装目录，唯一的应用标识符，明确的版本序号，不得篡改、覆盖、删除系统文件和其他软件。d)客户端应用软件有新版本时，不能未经用户允许自动安装新版本。e)若客户端应用软件支持动态模块更新，应使用加密信道与服务端通信传输更新模块或对更新模块进行签名校验；动态模块更新后不得影响用户使用，不得修改用户已有的安全配置。4.4客户端运维网上银行客户端软件运行及维护过程中应遵守以下规则：a)应制定科学、合理的管理策略和执行制度，指导各类角色的工作协同、实施步骤、质量管控、安全检测等，规范日常运维流程。b)客户端应用软件应具有明确的应用标识符和版本序号，设计合理的更新接口，当某一版本被证明存在安全隐患时，应及时进行修复更新。c)以 SDK 等形式对外提供金融交易类服务时，应记录 SDK 信息及引用本 SDK的外部应用软件信息。5、安全规范网上银行客户端软件的开发、设计、运维、身份认证安全、逻辑安全、安全功能设计、密码算法以及密钥管理、数据安全、个人金融信息保护等均应符合 JR/T 00922019学兔兔 标准下载T/HBPFS 001-20236网上银行客户端应用软件安全管理规范、JR/T 01712020个人金融信息保护技术规范规定。5.1安全技术规范5.1.1 客户端程序安全a)客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK 存在的安全风险，应对开发框架和技术路线进行严格的论证，必要时应进行选型安全测试。b)客户端程序应具有明确的应用标识符和版本序号，设计合理的更新接口，当某一版本被证明存在重大安全隐患时，提示并强制要求用户更新客户端。c)客户端程序的每次更新、升级，应进行源代码审计、渗透测试、安全活动审查和严格归档，以保证客户端程序不存在隐藏的非法功能和后门。d)应采用安全的方式对客户端程序进行签名，标识客户端程序的来源和发布者，保证客户所下载的客户端程序来源于所信任的机构。e)客户端程序在启动和更新时应进行真实性、完整性校验(例如，联机动态校验等)，防范客户端程序被篡改或替换。f)客户端程序应采取代码混淆、加壳等安全机制，防止客户端程序被逆向分析，确保客户端的敏感逻辑及数据的机密性、完整性。g)客户端程序应保证自身的安全性，避免代码注入、缓冲区溢出、非法提权等漏洞。h)客户端程序应采取进程保护措施，防止非法程序获取该进程的访问权限，扫描内存中的敏感数据或替换客户端页面等。i)客户端程序应对关键界面采用反录屏等技术，防范非法程序通过拷屏等方式获取支付敏感信息。j)客户端程序应提供客户输入支付敏感信息的即时防护功能，并对内存中的支付敏感信息进行保护，例如，采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。k)客户端软件不应以任何形式在本地存储用户的支付敏感信息，存储位置包括但不限于 Cookies、本地临时文件和移动数据库文件等。l)客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。m)客户端程序应采取措施对密码复杂度进行校验，保证用户设置的密码达到一定的强度。n)客户端程序密码框应禁止明文显示密码，应使用同一特殊字符(例如，*或)代替。o)客户端程序登录后在一段时间内无任何操作，应自动登出，重新登录才能继续使用。客户端程序无操作退出默认设为 15 分钟，用户可自主设置时间，上限时间不超过默认值。学兔兔 标准下载T/HBPFS 001-20237p)客户端程序应配合服务器端采取有效措施，对登录请求、服务请求以及数据库查询等资源消耗较高行为的频率进行合理限制。q)客户端程序具备二维码生成、展示功能，应用于网银登录环节，符合条码支付安全技术规范(试行)(银办发2017242 号文印发)要求。r)客户端程序应能够有效屏蔽系统技术错误信息，不将系统产生的错误信息直接反馈给客户。s)客户端程序应支持通过IPv6连接访问网络服务，在IPv4/IPv6双栈支持的情况下，优先采用 IPv6 连接访问。t)客户端应保留最少的客户信息，并限制数据存储量和保留时间。u)客户端程序退出时，应清除暂存的客户敏感信息以及非业务功能运行所必须留存的业务数据，保证客户信息的安全性。v)应采取渠道监控等措施对仿冒客户端程序进行监测。5.1.2 客户端环境a)应对客户端运行环境的安全状况进行检测并向后台系统反馈，并将此作为风控策略的依据。b)应采取有效措施提升客户端环境安全级别，针对不同的安全等级采取相应的风险控制措施。c)应在门户站点等渠道发布客户端环境安全的提示。d)当发现客户端环境存在重大安全缺陷或安全威胁时，应采取必要措施对用户进行警示或拒绝交易。5.1.3 智能密码钥匙本标准所涉及的智能密码钥匙包含目前网上银行系统普遍应用的 USB Key、蓝牙Key。基本要求：a)应使用经国家或行业主管部门认可的第三方专业测评机构检测通过的智能密码钥匙。b)应在安全环境下完成智能密码钥匙的个人化过程。c)智能密码钥匙应采用具有密钥生成和数字签名运算能力的智能卡芯片，保证敏感操作在智能密码钥匙内进行。d)智能密码钥匙的主文件(Master File)应受到 COS 安全机制保护，防止非授权的删除和重建。e)密钥文件在启用期应封闭。学兔兔 标准下载T/HBPFS 001-20238f)应保证私钥在生成、存储和使用等阶段的安全：签名私钥应在智能密码钥匙内部生成，不得固化密钥对和用于生成密钥对的素数。应保证私钥的唯一性。禁止以任何形式从智能密码钥匙读取私钥或写入签名私钥。私钥文件应与普通文件类型不同，应与密钥文件类型相同或类似。在每次执行签名等敏感操作前，均应首先进行认证。智能密码钥匙在执行签名等敏感操作时，应具备操作提示功能，包括但不限于声音、指示灯、屏幕显示等形式。智能密码钥匙内部产生的私钥，不再需要时应及时销毁。g)签名交易完成后，状态机应立即复位。h)应保证 PIN 码和密钥的安全：PIN 码应具有复杂度要求:密码应支持 6-16 位字母、数字、包括空格在内的特殊字符。采用安全的方式存储和访问 PIN 码、密钥等支付敏感信息。PIN 码和密钥(除公钥外)不能以任何形式输出。经客户端输入进行验证的 PIN 码在其传输到智能密码钥匙的过程中进