近日, 中国人民银行下发了《关于发布金融行业标准,加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号)(以下简称“237号文”)。237号文不仅提出要加强金融APP的监管力度,更是明确了金融APP在保险、证券等泛金融行业的安全建设标准,强调要进行实名备案。
237号文将安全治理工作真正贯彻到了金融领域的方方面面。预示着金融监管持续升级,深入贯彻落实个人信息在金融领域的保护。保险、证券、基金乃至互联网金融行业要明晰自身移动金融客户端应用软件分类,并参照相关规定的标准去执行。
《移动金融客户端应用软件安全管理规范》以下称《管理规范》提出的安全要求分为基本要求和增强要求,所有相关客户端都应在满足基本要求的基础上,建议满足增强要求。
1.针对不同类型的软件应该做到
资金交易类 应符合资金交易、信息保护等所有技术及管理安全要求;
信息采集类 应重点符合信息保护相关技术及管理安全要求;
资讯查询类 应符合相关客户端软件安全和管理要求。
2.对各类金融机构提出五点实施要求
主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范,并对备受关注的个人金融信息保护划定了四大红线。
3.客户端应用软件安全要求
安全要求中包含 身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全 等五大类要求。
· 身份认证安全
此部分包含认证方式、认证信息安全、认证失败处理、密码的设定与重置4大项若干小项要求,涉及到应用安全、个人账户安全、个人金融信息安全等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。
· 逻辑安全
此部分包含逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等5大项若干小项要求,涉及到业务逻辑漏洞、软件权限获取、个人金融信息安全、业务风向等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
· 安全功能设计
此部分包含组件安全、接口安全、抗攻击能力、客户端应用软件环境检测等4大项若干小项要求,涉及到不安全的第三方组件对于客户端安全的影响以及用户个人信息的获取、接口的非授权调用、抵御攻击的能力、客户端运行环境的监测等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
· 密码算法及密钥管理
此部分包含密码算法、密钥管理等2大项若干小项要求,涉及到对交易或重要操作的保护、密钥本身的保护等。所有金融App都应满足其基本要求,其中应重点关注资金交易类。
· 数据安全
此部分包含数据获取、数据访问控制、数据传输、数据存储、数据展示、数据销毁等6大项若干小项要求,涉及到支付等敏感信息的泄露、关键交易数据的篡改、个人信息的保护、敏感信息的销毁等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。
4.客户端应用软件管理要求
管理要求中包括设计要求、开发要求、发布要求、维护要求等四大类要求。针对软件的全生命周期提出了要求。
