標準簡介

本標準規定了移動金融客戶端應用軟件的安全要求，以及客戶端應用軟件設計、開發、維護和發布的管理要求。本標準適用于移動金融客戶端應用軟件的設計、開發、維護及發布過程，也適用于評估機構對相關應用進行安全性和標準符合性評估。
英文名稱：Financial mobile application software security management specification
標準狀態：現行
替代情況：替代JR/T 0092-2012
中標分類：綜合>>經濟、文化>>A11金融、保險
ICS分類：信息技術、辦公機械設備>>信息技術應用>>35.240.40信息技術在銀行中的應用
發布部門：中國人民銀行
發布日期：2019-09-27
實施日期：2019-09-27
頁數：214頁

前言

本標準按照GB/T 1.1—2009給出的規則起草。本標準代替JR/T 0092—2012《中國金融移動支付 客戶端技術規范》，與JR/T 0092—2012相比，主要技術變化如下：——修改了范圍描述（見第 1 章，2012 年版第 1 章）；——增加了術語和定義（見第 2 章）；——刪除了規范性引用文件（2012 年版第 2 章）；——刪除了“應用場景”（2012 版第 3 章）；——刪除了“客戶端軟件系統架構”（2012 年版第 4 章）；——刪除了“客戶端基本功能及流程”（2012 年版第 5 章）；——增加了總體要求（見第 4 章）；——全面梳理完善客戶端應用軟件安全要求，區分基本要求和增強要求（見第 5、6 章，2012 年版第 6、7 章）；——將“人機交互安全”改為“身份認證安全”，包括身份認證、認證信息安全（安全輸入、敏感數據顯示、認證失敗處理）、密碼的設定與重置三部分安全要求（見 5.1，2012 年版 6.1）；——增加了邏輯安全，包括邏輯安全設計、軟件權限控制、風險控制、回退處理、異常處理等安全要求（見 5.2）；——增加了安全功能設計，包括組件安全、接口安全、抗攻擊能力、客戶端環境檢測安全（見 5.3）；——增加了密碼算法及密鑰管理（見 5.4）；——修改了數據安全要求，在數據獲取、數據訪問控制、數據傳輸、數據存儲、數據銷毀等方面提出具體安全要求（見 5.5，2012 年版 6.3）；——修改了客戶端應用軟件管理要求，增加了設計、開發、發布等環節的要求（見第 6 章，2012年版第 7 章）；——增加了不收集與所提供服務無關的個人金融信息、收集個人金融信息前需經用戶的明示同意、不得變相強迫用戶授權、不得違反約定收集使用個人金融信息的要求（見 6.1）；——客戶端軟件發布環節明確了由客戶端應用軟件所有方進行簽名的要求（見 6.3，2012 年版 7.4）；——增加了以 SDK 等形式對外提供金融交易類服務時對于信息記錄的要求（見 6.4）；——增加了敏感數據的相關描述（見資料性附錄 A）；——增加了客戶端應用軟件應用智能語音交互技術（見資料性附錄 B）。本標準由中國人民銀行提出。本標準由全國金融標準化技術委員會（SAC/TC 180）歸口。本標準負責起草單位：中國人民銀行科技司、中國金融電子化公司。本標準參加起草單位：中國工商銀行股份有限公司、中國農業銀行股份有限公司、中國銀行股份有限公司、中國郵政儲蓄銀行股份有限公司、中國銀聯股份有限公司、中國民生銀行股份有限公司、中信銀行股份有限公司、中移電子商務有限公司、天翼電子商務有限公司、聯通支付有限公司、浙江螞蟻小微金融服務集團股份有限公司、財付通支付科技有限公司、京東數字科技控股有限公司、拉卡拉支付股份有限公司、北京中金國盛認證有限公司、北京銀聯金卡科技有限公司、中金金融認證中心有限公司、信息產業信息安全測評中心、工業和信息化部計算機與微電子發展研究中心、北京軟件產品質量檢測檢驗中心、科大訊飛股份有限公司。本標準主要起草人：李偉、李興鋒、楊倩、聶麗琴、王曉燕、程勝、湯沁瑩、關曉輝、劉雨露、郭棟、劉運、劉力慷、付小康、張行、高志民、高強裔、黃本濤、王飛宇、吳永強、陳偉、宋立國、黃江、張健、高原、陳龍、周思捷、周小淋、李宇、朱克雷、韓璐、劉健松、劉憲偉、趙亮、姚建偉、黃曉培、劉磊、曹煒、孫朝陽、宋錚、鄧凡平、賴穆彬、史立龍、王鴻嫻、王冠華、王秀君、馬洪濤、孫款、紀崇廉、馬松松、胡一鳴、于泉、吳振宇、呂坤、馬萬鐘、蒯天祥、張文博、曹小龍、李盛昌、任旭龍、陜晨陽、楊銀鵬、劉婷、劉瓊瑤。本標準所代替標準的歷次版本發布情況為：——JR/T 0092—2012，JR/T 0092—2012于2012年12月首次發布，本次為第1次修訂。