當前位置:熱點 > 正文

首批23家移動金融App試點備案名單出爐

2019-12-10 10:47:57  來源:財聯社

財聯社記者最新了解到,多數券商收到人民銀行印發的《關于發布金融行業標準,加強移動金融客戶端應用軟件安全管理通知》(銀發〔2019〕237號,下稱"《237號》"),要求各金融機構積極開展加強客戶端軟件行業自律管理的職責。

當前中國互聯網協會正在按照人民銀行《關于發布金融行業標準,加強移動金融客戶端應用軟件安全管理通知》的要求,積極開展加強客戶端軟件行業自律管理的職責,牽頭開展App實名備案的工作。

財聯社記者獨家獲悉,第一批備案金融機構有:中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、交通銀行、中信銀行、民生銀行、招商銀行、廣發銀行、平安銀行、西安銀行、國泰君安、海通證券、眾安保險、匯添富基金、螞蟻金服服務集團、財付通、京東數科、重慶三峽銀行股份有限公司、徽商銀行、安徽省農信聯社、吉林九臺農村商業銀行股份有限公司、廣州農村商業銀行股份有限公司。

值得注意的是,此次第一批備案金融機構中,券商只有兩家,分別是國泰君安和海通證券。

金融機構App整改緊鑼密鼓

12月3日,中國互聯網金融協會(以下簡稱“互金協會”)在京召開金融業移動金融客戶端應用軟件(以下簡稱“客戶端軟件”)備案管理工作試點啟動會議,部署相關工作。來自銀行、證券、基金、保險、支付等領域的23家試點機構相關負責人參加會議。

據悉,會議要求,各試點機構應于2019年年底前通過客戶端軟件備案管理系統完成第一批試點客戶端軟件的材料提交和備案申請,互金協會完成備案審核工作后,將擇期發布第一批通過備案的客戶端軟件清單。下一步,在全國范圍內分批次組織開展客戶端軟件備案推廣并逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。

有券商業內人士認為,這次第一批名單券商只有兩家,可能與監管半徑有關。但如果這個監管內容后續會對券商App發布有影響,那大家一定都會跟進。

據了解,此次券商App整改,是中央網信辦、工信部、公安部、市場監管總局年初伊始開展的關于App違法違規收集使用個人信息專項治理行動下的重要一環,是該項治理行動在券商業的延續。

海通證券相關負責人表示,公司正在積極配合中國互聯網金融協會推進備案工作,已先后參加兩次籌備會議,對本次App實名備案的意義和流程也有深入了解。由于備案需要提供的材料較多,還需引入第三方認證機構出具報告,因此,備案籌備時間也相應的有所拉長。

在App信息安全方面,早在今年年初,海通證券已就網信辦等四部委聯合發布的《關于開展App違法違規手機使用個人信息專項治理的公告》,更新相關隱私協議并規范相關客戶信息收集方式。

另外,國泰君安相關負責人也表示,近年來君弘App在信息安全上的投入大致大致有七個方面。首先是多方位進行安全掃描及滲透測試,通過阿里、愛加密、中證信息、中國信息安全測評中心等安全公司或檢測機構,對君弘App做了多輪安全掃描、滲透性測試,并針對這些漏洞進行修復;在App代碼安全上,與專業安全廠商緊密合作,使用反調試、文件混淆、安裝包加固等多種方法提高客戶端被反編譯的成本,防止代碼和業務邏輯被惡意分析和篡改;在保護交易數據安全方面,引入FIDO生物認證系統,提供指紋、3D人臉登錄,保護登錄信息安全;在保護用戶手機信息安全時,采用權限最小化原則,最小化申請君弘App業務需求的手機權限,并且所有權限申請明確告知用戶、均需用戶同意,防止Android權限被濫用,防止用戶手機隱私信息泄漏。;通信安全方面,在通信協議上進行加密傳輸,并加入防重放防篡改機制。在券商行業率先支持通過ipv6網絡接入,提高了整體自主掌控能力和安全性。

五點實施要求

《移動金融客戶端應用軟件安全管理規范》(以下簡稱“《規范》)提出的安全要求分為基本要求和增強要求,所有相關客戶端都應在滿足基本要求的基礎上,建議滿足增強要求。

《規范》要求針對不同類型的軟件應該做到:資金交易類,應符合資金交易、信息保護等所有技術及管理安全要求;信息采集類,應重點符合信息保護相關技術及管理安全要求;資訊查詢類,應符合相關客戶端軟件安全和管理要求。

《規范》對各類金融機構提出五點實施要求,分別是提升安全防護能力、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制和加強行業自律管理。

其中,在安全防護能力上,人民銀行要求各金融機構加強客戶端軟件設計、開發、發布、維護等環節的安全管理,構建覆蓋全生命周期的管理機制,切實保障客戶端軟件安全。對于資金交易類客戶端軟件,應從資金安全、信息保護等方面開展外部評估;對于信息采集類客戶端軟件,應重點從信息保護方面開展外部評估。外部評估應每年至少開展一次,形成報告存檔備查。外部評估應每年至少開展一次,形成報告存檔備查。

在加強個人金融信息保護上,人民銀行要求各金融機構應采取有效措施加強客戶端軟件個人金融信息保護。

一是收集、使用個人金融信息時應遵循合法、正當、必要的原則,明示收集使用信息的目的、方式和范圍,并經用戶同意。不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息。

二是應采取數據加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。

三是信息使用結束后應立即刪除敏感信息,在客戶端軟件卸載后不得留存個人金融信息。

四是不得違反法律法規與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。

七大類客戶端應用軟件安全要求

另外,人民銀行還制定了移動金融客戶端應用軟件安全管理規范,客戶端應用軟件安全要求分別有身份認證安全、認證信息安全、認證失敗處理、邏輯安全、安全功能設計、密碼算法及密鑰管理和數據安全。

身份認證安全。此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求,涉及到應用安全、個人賬戶安全、個人金融信息安全等方面。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類。

邏輯安全。此部分包含邏輯安全設計、軟件權限控制、風險控制、回退處理、異常處理等5大項若干小項要求,涉及到業務邏輯漏洞、軟件權限獲取、個人金融信息安全、業務風向等方面。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類、資訊查詢類。

安全功能設計。此部分包含組件安全、接口安全、抗攻擊能力、客戶端應用軟件環境檢測等4大項若干小項要求,涉及到不安全的第三方組件對于客戶端安全的影響以及用戶個人信息的獲取、接口的非授權調用、抵御攻擊的能力、客戶端運行環境的監測等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類、資訊查詢類。

密碼算法及密鑰管理。此部分包含密碼算法、密鑰管理等2大項若干小項要求,涉及到對交易或重要操作的保護、密鑰本身的保護等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類。

數據安全。此部分包含數據獲取、數據訪問控制、數據傳輸、數據存儲、數據展示、數據銷毀等6大項若干小項要求,涉及到支付等敏感信息的泄露、關鍵交易數據的篡改、個人信息的保護、敏感信息的銷毀等。所有金融App都應滿足其基本要求,其中應重點關注資金交易類、信息采集類。

推薦閱讀

Alphabet任命女科學家為董事會成員

北京時間12月10日早間消息,Alphabet周一表示,該公司已將備受贊譽的生物學家弗朗西斯·阿諾德(Frances Arnold)任命為董事會成員。阿諾德 【詳細】

智能手環手表和耳機市場高速增長 手機市場萎靡不振

智能可穿戴設備出貨量排名前五的廠商12月10日上午消息,調研機構IDC的數據顯示,2019年第三季度全球可穿戴設備出貨量共計8450萬臺,同比增 【詳細】

電子煙網售禁令一個月后:“斷網”不斷貨線下成主戰場

一直都在,從未離開。一位電子煙銷售人員在朋友圈中寫道。隨著電子煙市場的監管不斷加碼,網上銷售電子煙已被國家煙草專賣局等部門明確發文 【詳細】

京東云總裁申元慶年底離職

12月7日晚間消息,針對京東云事業部總裁申元慶即將離職的消息,京東方面回應稱,申元慶由于個人及家庭原因,將從2019年12月31日起卸任京東 【詳細】

微軟Surface Duo支持現有安卓應用

微軟的Surface Duo手機和配備Windows 10X的Surface Neo仍需近一年的時間才能與大家見面,但微軟已承諾現有的應用程序將可在這些新設備上 【詳細】



科技新聞網版權
世界电子竞技大赛 湖北11选五的走势图彩经网 亿乐红包扫雷福利平台 捕鱼大亨小说 海南4+1开奖结果查询电话 今天喜乐彩中奖查询 买涨停的股票 快乐八开奖记录 辽宁快乐11选5技巧规律 二分彩不会输的方法 吉林11选5遗漏数据