标准号:JR/T 0092—2019
标准性质:推荐性行业标准
金融分类:研发测试运维及管理
中文标准名称:移动金融客户端应用软件安全管理规范
英文标准名称:Financial mobile application software security management specification
标准状态:现行
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替JR/T 0092-2012《中国金融移动支付 客户端技术规范》,与JR/T 0092-2012相比,主要技术变化如下:
——修改了范围描述(见第1章,2012年版第1章);
——增加了术语和定义(见第2章);
——删除了规范性引用文件(2012年版第2章);
——删除了“应用场景”(2012版第3章);
——删除了“客户端软件系统架构”(2012年版第4章);
——删除了“客户端基本功能及流程”(2012年版第5章);
——增加了总体要求(见第4章);
——全面梳理完善客户端应用软件安全要求,区分基本要求和增强要求(见第5、6章,2012年版第6、7章);
——将“人机交互安全”改为“身份认证安全”,包括身份认证、认证信息安全(安全输入、敏感数据显示、认证失败处理)、密码的设定与重置三部分安全要求(见5.1,2012年版6.1);
——增加了逻辑安全,包括逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等安全要求(见5.2);
——增加了安全功能设计,包括组件安全、接口安全、抗攻击能力、客户端环境检测安全(见5.3);
——增加了密码算法及密钥管理(见5.4);
——修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出具体安全要求(见5.5,2012年版6.3)
——修改了客户端应用软件管理要求,增加了设计、开发、发布等环节的要求(见第6章,2012年版第7章);
——增加了不收集与所提供服务无关的个人金融信息、收集个人金融信息前需经用户的明示同意、不得变相强迫用户授权、不得违反约定收集使用个人金融信息的要求(见6.1);
——客户端软件发布环节明确了由客户端应用软件所有方进行签名的要求(见6.3,2012年版7.4);
——增加了以SDK等形式对外提供金融交易类服务时对于信息记录的要求(见6.4);
——增加了敏感数据的相关描述(见资料性附录A);
——增加了客户端应用软件应用智能语音交互技术(见资料性附录B)。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准负责起草单位:中国人民银行科技司、中国金融电子化公司。
本标准参加起草单位:中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国民生银行股份有限公司、中信银行股份有限公司、中移电子商务有限公司、天翼电子商务有限公司、联通支付有限公司、浙江蚂蚁小微金融服务集团股份有限公司、财付通支付科技有限公司、京东数字科技控股有限公司、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、信息产业信息安全测评中心、工业和信息化部计算机与微电子发展研究中心、北京软件产品质量检测检验中心、科大讯飞股份有限公司。
3995
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
