首批23家金融機(jī)構(gòu)APP備案管理工作正在開展
多數(shù)券商收到人民銀行印發(fā)的《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn),加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理通知》(銀發(fā)〔2019〕237號(hào),下稱"《237號(hào)》"),要求各金融機(jī)構(gòu)積極開展加強(qiáng)客戶端軟件行業(yè)自律管理的職責(zé)。
當(dāng)前中國互聯(lián)網(wǎng)協(xié)會(huì)正在按照人民銀行《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn),加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理通知》的要求,積極開展加強(qiáng)客戶端軟件行業(yè)自律管理的職責(zé),牽頭開展APP實(shí)名備案的工作。
財(cái)聯(lián)社記者獨(dú)家獲悉,第一批備案金融機(jī)構(gòu)有:中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、中信銀行、民生銀行、招商銀行、廣發(fā)銀行、平安銀行、西安銀行、國泰君安、海通證券、眾安保險(xiǎn)、匯添富基金、螞蟻金服服務(wù)集團(tuán)、財(cái)付通、京東數(shù)科、重慶三峽銀行股份有限公司、徽商銀行、安徽省農(nóng)信聯(lián)社、吉林九臺(tái)農(nóng)村商業(yè)銀行股份有限公司、廣州農(nóng)村商業(yè)銀行股份有限公司。
值得注意的是,此次第一批備案金融機(jī)構(gòu)中,券商只有兩家,分別是國泰君安和海通證券。
金融機(jī)構(gòu)APP整改緊鑼密鼓
12月3日,中國互聯(lián)網(wǎng)金融協(xié)會(huì)(以下簡(jiǎn)稱“互金協(xié)會(huì)”)在京召開金融業(yè)移動(dòng)金融客戶端應(yīng)用軟件(以下簡(jiǎn)稱“客戶端軟件”)備案管理工作試點(diǎn)啟動(dòng)會(huì)議,部署相關(guān)工作。來自銀行、證券、基金、保險(xiǎn)、支付等領(lǐng)域的23家試點(diǎn)機(jī)構(gòu)相關(guān)負(fù)責(zé)人參加會(huì)議。
據(jù)悉,會(huì)議要求,各試點(diǎn)機(jī)構(gòu)應(yīng)于2019年年底前通過客戶端軟件備案管理系統(tǒng)完成第一批試點(diǎn)客戶端軟件的材料提交和備案申請(qǐng),互金協(xié)會(huì)完成備案審核工作后,將擇期發(fā)布第一批通過備案的客戶端軟件清單。下一步,在全國范圍內(nèi)分批次組織開展客戶端軟件備案推廣并逐步落實(shí)風(fēng)險(xiǎn)信息共享、投訴處置機(jī)制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。
有券商業(yè)內(nèi)人士認(rèn)為,這次第一批名單券商只有兩家,可能與監(jiān)管半徑有關(guān)。但如果這個(gè)監(jiān)管內(nèi)容后續(xù)會(huì)對(duì)券商APP發(fā)布有影響,那大家一定都會(huì)跟進(jìn)。
據(jù)了解,此次券商APP整改,是中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局年初伊始開展的關(guān)于APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動(dòng)下的重要一環(huán),是該項(xiàng)治理行動(dòng)在券商業(yè)的延續(xù)。
海通證券相關(guān)負(fù)責(zé)人表示,公司正在積極配合中國互聯(lián)網(wǎng)金融協(xié)會(huì)推進(jìn)備案工作,已先后參加兩次籌備會(huì)議,對(duì)本次APP實(shí)名備案的意義和流程也有深入了解。由于備案需要提供的材料較多,還需引入第三方認(rèn)證機(jī)構(gòu)出具報(bào)告,因此,備案籌備時(shí)間也相應(yīng)的有所拉長。
在APP信息安全方面,早在今年年初,海通證券已就網(wǎng)信辦等四部委聯(lián)合發(fā)布的《關(guān)于開展APP違法違規(guī)手機(jī)使用個(gè)人信息專項(xiàng)治理的公告》,更新相關(guān)隱私協(xié)議并規(guī)范相關(guān)客戶信息收集方式。
另外,國泰君安相關(guān)負(fù)責(zé)人也表示,近年來君弘APP在信息安全上的投入大致大致有七個(gè)方面。首先是多方位進(jìn)行安全掃描及滲透測(cè)試,通過阿里、愛加密、中證信息、中國信息安全測(cè)評(píng)中心等安全公司或檢測(cè)機(jī)構(gòu),對(duì)君弘APP做了多輪安全掃描、滲透性測(cè)試,并針對(duì)這些漏洞進(jìn)行修復(fù);在APP代碼安全上,與專業(yè)安全廠商緊密合作,使用反調(diào)試、文件混淆、安裝包加固等多種方法提高客戶端被反編譯的成本,防止代碼和業(yè)務(wù)邏輯被惡意分析和篡改;在保護(hù)交易數(shù)據(jù)安全方面,引入FIDO生物認(rèn)證系統(tǒng),提供指紋、3D人臉登錄,保護(hù)登錄信息安全;在保護(hù)用戶手機(jī)信息安全時(shí),采用權(quán)限最小化原則,最小化申請(qǐng)君弘APP業(yè)務(wù)需求的手機(jī)權(quán)限,并且所有權(quán)限申請(qǐng)明確告知用戶、均需用戶同意,防止Android權(quán)限被濫用,防止用戶手機(jī)隱私信息泄漏。;通信安全方面,在通信協(xié)議上進(jìn)行加密傳輸,并加入防重放防篡改機(jī)制。在券商行業(yè)率先支持通過ipv6網(wǎng)絡(luò)接入,提高了整體自主掌控能力和安全性。
五點(diǎn)實(shí)施要求
《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》(以下簡(jiǎn)稱“《規(guī)范》)提出的安全要求分為基本要求和增強(qiáng)要求,所有相關(guān)客戶端都應(yīng)在滿足基本要求的基礎(chǔ)上,建議滿足增強(qiáng)要求。
《規(guī)范》要求針對(duì)不同類型的軟件應(yīng)該做到:資金交易類,應(yīng)符合資金交易、信息保護(hù)等所有技術(shù)及管理安全要求;信息采集類,應(yīng)重點(diǎn)符合信息保護(hù)相關(guān)技術(shù)及管理安全要求;資訊查詢類,應(yīng)符合相關(guān)客戶端軟件安全和管理要求。
《規(guī)范》對(duì)各類金融機(jī)構(gòu)提出五點(diǎn)實(shí)施要求,分別是提升安全防護(hù)能力、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制和加強(qiáng)行業(yè)自律管理。
其中,在安全防護(hù)能力上,人民銀行要求各金融機(jī)構(gòu)加強(qiáng)客戶端軟件設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)等環(huán)節(jié)的安全管理,構(gòu)建覆蓋全生命周期的管理機(jī)制,切實(shí)保障客戶端軟件安全。對(duì)于資金交易類客戶端軟件,應(yīng)從資金安全、信息保護(hù)等方面開展外部評(píng)估;對(duì)于信息采集類客戶端軟件,應(yīng)重點(diǎn)從信息保護(hù)方面開展外部評(píng)估。外部評(píng)估應(yīng)每年至少開展一次,形成報(bào)告存檔備查。外部評(píng)估應(yīng)每年至少開展一次,形成報(bào)告存檔備查。
在加強(qiáng)個(gè)人金融信息保護(hù)上,人民銀行要求各金融機(jī)構(gòu)應(yīng)采取有效措施加強(qiáng)客戶端軟件個(gè)人金融信息保護(hù)。
一是收集、使用個(gè)人金融信息時(shí)應(yīng)遵循合法、正當(dāng)、必要的原則,明示收集使用信息的目的、方式和范圍,并經(jīng)用戶同意。不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán),不得收集與其提供金融服務(wù)無關(guān)的個(gè)人金融信息。
二是應(yīng)采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認(rèn)證等措施,防止個(gè)人金融信息在傳輸、存儲(chǔ)、使用等過程被非法竊取、泄露或篡改。
三是信息使用結(jié)束后應(yīng)立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)€人金融信息。
四是不得違反法律法規(guī)與用戶約定,不得泄露、非法出售或非法向他人提供個(gè)人金融信息。
七大類客戶端應(yīng)用軟件安全要求
另外,人民銀行還制定了移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范,客戶端應(yīng)用軟件安全要求分別有身份認(rèn)證安全、認(rèn)證信息安全、認(rèn)證失敗處理、邏輯安全、安全功能設(shè)計(jì)、密碼算法及密鑰管理和數(shù)據(jù)安全。
身份認(rèn)證安全。此部分包含認(rèn)證方式、認(rèn)證信息安全、認(rèn)證失敗處理、密碼的設(shè)定與重置4大項(xiàng)若干小項(xiàng)要求,涉及到應(yīng)用安全、個(gè)人賬戶安全、個(gè)人金融信息安全等方面。所有金融App都應(yīng)滿足其基本要求,其中應(yīng)重點(diǎn)關(guān)注資金交易類、信息采集類。
邏輯安全。此部分包含邏輯安全設(shè)計(jì)、軟件權(quán)限控制、風(fēng)險(xiǎn)控制、回退處理、異常處理等5大項(xiàng)若干小項(xiàng)要求,涉及到業(yè)務(wù)邏輯漏洞、軟件權(quán)限獲取、個(gè)人金融信息安全、業(yè)務(wù)風(fēng)向等方面。所有金融App都應(yīng)滿足其基本要求,其中應(yīng)重點(diǎn)關(guān)注資金交易類、信息采集類、資訊查詢類。
安全功能設(shè)計(jì)。此部分包含組件安全、接口安全、抗攻擊能力、客戶端應(yīng)用軟件環(huán)境檢測(cè)等4大項(xiàng)若干小項(xiàng)要求,涉及到不安全的第三方組件對(duì)于客戶端安全的影響以及用戶個(gè)人信息的獲取、接口的非授權(quán)調(diào)用、抵御攻擊的能力、客戶端運(yùn)行環(huán)境的監(jiān)測(cè)等。所有金融App都應(yīng)滿足其基本要求,其中應(yīng)重點(diǎn)關(guān)注資金交易類、信息采集類、資訊查詢類。
密碼算法及密鑰管理。此部分包含密碼算法、密鑰管理等2大項(xiàng)若干小項(xiàng)要求,涉及到對(duì)交易或重要操作的保護(hù)、密鑰本身的保護(hù)等。所有金融App都應(yīng)滿足其基本要求,其中應(yīng)重點(diǎn)關(guān)注資金交易類。
數(shù)據(jù)安全。此部分包含數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)展示、數(shù)據(jù)銷毀等6大項(xiàng)若干小項(xiàng)要求,涉及到支付等敏感信息的泄露、關(guān)鍵交易數(shù)據(jù)的篡改、個(gè)人信息的保護(hù)、敏感信息的銷毀等。所有金融App都應(yīng)滿足其基本要求,其中應(yīng)重點(diǎn)關(guān)注資金交易類、信息采集類。