标准简介
本标准规定了移动金融客户端应用软件的安全要求,以及客户端应用软件设计、开发、维护和发布的管理要求。本标准适用于移动金融客户端应用软件的设计、开发、维护及发布过程,也适用于评估机构对相关应用进行安全性和标准符合性评估。英文名称:Financial mobile application software security management specification
标准状态:现行
替代情况:替代JR/T 0092-2012
中标分类:综合>>经济、文化>>A11金融、保险
ICS分类:信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
发布部门:中国人民银行
发布日期:2019-09-27
实施日期:2019-09-27
页数:214页
前言
本标准按照GB/T 1.1—2009给出的规则起草。本标准代替JR/T 0092—2012《中国金融移动支付 客户端技术规范》,与JR/T 0092—2012相比,主要技术变化如下:——修改了范围描述(见第 1 章,2012 年版第 1 章);——增加了术语和定义(见第 2 章);——删除了规范性引用文件(2012 年版第 2 章);——删除了“应用场景”(2012 版第 3 章);——删除了“客户端软件系统架构”(2012 年版第 4 章);——删除了“客户端基本功能及流程”(2012 年版第 5 章);——增加了总体要求(见第 4 章);——全面梳理完善客户端应用软件安全要求,区分基本要求和增强要求(见第 5、6 章,2012 年版第 6、7 章);——将“人机交互安全”改为“身份认证安全”,包括身份认证、认证信息安全(安全输入、敏感数据显示、认证失败处理)、密码的设定与重置三部分安全要求(见 5.1,2012 年版 6.1);——增加了逻辑安全,包括逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等安全要求(见 5.2);——增加了安全功能设计,包括组件安全、接口安全、抗攻击能力、客户端环境检测安全(见 5.3);——增加了密码算法及密钥管理(见 5.4);——修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出具体安全要求(见 5.5,2012 年版 6.3);——修改了客户端应用软件管理要求,增加了设计、开发、发布等环节的要求(见第 6 章,2012年版第 7 章);——增加了不收集与所提供服务无关的个人金融信息、收集个人金融信息前需经用户的明示同意、不得变相强迫用户授权、不得违反约定收集使用个人金融信息的要求(见 6.1);——客户端软件发布环节明确了由客户端应用软件所有方进行签名的要求(见 6.3,2012 年版 7.4);——增加了以 SDK 等形式对外提供金融交易类服务时对于信息记录的要求(见 6.4);——增加了敏感数据的相关描述(见资料性附录 A);——增加了客户端应用软件应用智能语音交互技术(见资料性附录 B)。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC 180)归口。本标准负责起草单位:中国人民银行科技司、中国金融电子化公司。本标准参加起草单位:中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国民生银行股份有限公司、中信银行股份有限公司、中移电子商务有限公司、天翼电子商务有限公司、联通支付有限公司、浙江蚂蚁小微金融服务集团股份有限公司、财付通支付科技有限公司、京东数字科技控股有限公司、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、信息产业信息安全测评中心、工业和信息化部计算机与微电子发展研究中心、北京软件产品质量检测检验中心、科大讯飞股份有限公司。本标准主要起草人:李伟、李兴锋、杨倩、聂丽琴、王晓燕、程胜、汤沁莹、关晓辉、刘雨露、郭栋、刘运、刘力慷、付小康、张行、高志民、高强裔、黄本涛、王飞宇、吴永强、陈伟、宋立国、黄江、张健、高原、陈龙、周思捷、周小淋、李宇、朱克雷、韩璐、刘健松、刘宪伟、赵亮、姚建伟、黄晓培、刘磊、曹炜、孙朝阳、宋铮、邓凡平、赖穆彬、史立龙、王鸿娴、王冠华、王秀君、马洪涛、孙款、纪崇廉、马松松、胡一鸣、于泉、吴振宇、吕坤、马万钟、蒯天祥、张文博、曹小龙、李盛昌、任旭龙、陕晨阳、杨银鹏、刘婷、刘琼瑶。本标准所代替标准的历次版本发布情况为:——JR/T 0092—2012,JR/T 0092—2012于2012年12月首次发布,本次为第1次修订。