THBPFS 005-2023 移動金融客戶端應(yīng)用標(biāo)準(zhǔn)

T/HBPFS005-2023T/HBPFS005-2023ICS CCS A11團(tuán) 體 標(biāo) 準(zhǔn)T/HBPFS005-2023移動金融客戶端應(yīng)用標(biāo)準(zhǔn)FinancialMobileApplicationSoftwareEnterpriseStandard2023-12-26發(fā)布 2023-12-31實(shí)施河省金學(xué)會 發(fā)布T/HBPFS005-2023T/HBPFS005-2023PAGE1PAGE1目次前言 21、范圍 32、規(guī)范性引用文件 33、術(shù)語和定義 34、縮略語 75、安全性 76、技術(shù)先進(jìn)性 227、創(chuàng)新及前瞻性 23T/HBPFS005-2023T/HBPFS005-2023前言本文件按照GB/T 1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由中國人民銀行保定市分行和保定銀行股份有限公司提出。本文件由河北省金融學(xué)會歸口。本文件的主要起草人：吳強(qiáng)林振英楊釗孫莉陳桂蘭王林芳王震劉繼勇王釗郭豐灶王亞萱項(xiàng)海南尹子平張保新2T/HBPFS005-2023T/HBPFS005-2023移動金融客戶端應(yīng)用標(biāo)準(zhǔn)1、范圍本文件適用于移動金融客戶端應(yīng)用。2、規(guī)范性引用文件GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范JR/T0092—2019移動金融客戶端應(yīng)用軟件安全管理規(guī)范JR/T0171-2020個人金融信息保護(hù)技術(shù)規(guī)范JR/T0068-2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范JR/T0071-2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引JR/T0118-2015金融電子認(rèn)證規(guī)范JR/T0149-2016中國金融移動支付支付標(biāo)記化技術(shù)規(guī)范3、術(shù)語和定義下列術(shù)語和定義適用于本文件。financialmobileapplicationsoftware在移動終端上為用戶提供金融交易服務(wù)的應(yīng)用軟件。注1：包括但不限于可執(zhí)行文件、組件等。注2：[JR/T0092-2019，定義2.1]資金交易類客戶端應(yīng)用軟件capitaltransactionclientapplicationsoftware直接面向用戶提供資金交易服務(wù)的移動金融客戶端應(yīng)用軟件。注1：包括但不限于手機(jī)銀行、支付APP等。注2：[JR/T0092-2019，定義2.2]個人信息personalInformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。3注1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、注2:[GB/T35273—2017，定義3.1]個人金融信息personalfinancialinformation金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息。注1：包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。注2：[JR/T0092-2019，定義2.5]個人金融信息主體personalfinancialinformationsubject個人金融信息所標(biāo)識的自然人。注:[JR/T0071-2020，定義3.4]personalfinancialinformationcontroller有權(quán)決定個人金融信息處理目的、方式等機(jī)構(gòu)。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0071-2020，定義3.5]個人敏感信息personalSensitiveInformation注1:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下(含)兒童的個人信息等。注2:[GB/T35273—2017，定義3.2]收集collect獲得個人金融信息的控制權(quán)的行為。注注注3：[JR/T0171-2020，定義3.6]4公開披露publicdisclosure向社會或不特定群體發(fā)布信息的行為。注:[GB/T35273—2020，定義3.10]transferofcontrol將個人金融信息控制權(quán)由一個控制者向另一個控制者轉(zhuǎn)移的過程。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0171-2020，定義3.8]sharing個人金融信息控制者向其他控制者提供個人金融信息，且雙方分別對個人金融信息擁有獨(dú)立控制權(quán)的過程。注:[JR/T0171-2020，定義3.9]paymentaccount具有金融交易功能的銀行賬戶、非銀行支付機(jī)構(gòu)支付賬戶及銀行卡卡號。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0171-2020，定義3.11]paymenttoken(Token)作為支付賬號等原始交易要素的替代值，用于完成特定場景支付交易。注:[JR/T0149—2016，定義3.2]SMScode后臺系統(tǒng)以短信形式發(fā)送到用戶綁定手機(jī)上的隨機(jī)數(shù)，用戶通過回復(fù)該隨機(jī)數(shù)進(jìn)行身份認(rèn)證。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0088.1—2012，定義2.44]anonymization通過對交易信息的技術(shù)處理，使得交易信息主體無法被識別，且處理后的信息不能被復(fù)原的過程。注:[JR/T0171-2020，定義3.23]5de-identification通過對交易信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別交易信息主體的過程。注1：去標(biāo)識化仍建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、加鹽的哈希函數(shù)等技術(shù)手段替代對個人金融信息的標(biāo)識。注2:[JR/T0171-2020，定義3.24]delete在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除交易信息的行為，使其保持不可被檢索、訪問的狀態(tài)。JR/T0171-20203.25]語音識別 automaticspeechrecognition將人類語音中的詞匯內(nèi)容轉(zhuǎn)換為計(jì)算機(jī)可讀的輸入。示例：按鍵、二進(jìn)制編碼或者字符序列。語音合成 texttospeech自然語言理解 naturallanguageprocessing使用自然語言同計(jì)算機(jī)進(jìn)行通訊的技術(shù)。第三方信源 thethirdpartysource客戶端應(yīng)用軟件調(diào)用語音能力時可以接入的第三方服務(wù)。64、縮略語下列縮略語適用于本文件。APP：客戶端應(yīng)用軟件（ApplicationSoftware）URI：統(tǒng)一資源標(biāo)識符（UniformResourceIdentifier）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）SE：安全單元（SecureElement）5、安全性總則JR/T0092—2019《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》、JR/T0171—2020《個人金融信息保護(hù)技術(shù)規(guī)范》、JR/T0068-2020《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》?；景踩竺艽a算法密碼算法、密鑰長度及密鑰管理方式應(yīng)符合國家密碼主管機(jī)構(gòu)要求的國產(chǎn)商用0092-2019，定義5.4]風(fēng)險提示應(yīng)對客戶端運(yùn)行環(huán)境進(jìn)行安全評測，并根據(jù)安全評測情況對客戶進(jìn)行風(fēng)險提示：應(yīng)采取有效措施提升客戶端環(huán)境安全級別，針對不同的安全等級采取相應(yīng)的風(fēng)7險控制措施。當(dāng)發(fā)現(xiàn)客戶端環(huán)境存在重大安全缺陷或安全威脅時，應(yīng)采取必要措施對用戶進(jìn)0068-2020，定義6.2.1.2]缺陷解決率應(yīng)每年對移動金融客戶端及服務(wù)器進(jìn)行滲透測試和安全評估，對于在滲透測試、安全評估等過程中發(fā)現(xiàn)的缺陷和漏洞應(yīng)及時予以解決：=100?？赡苡绊懧曌u(yù)的漏洞，可利用并影響客戶資金安全的漏洞，可致使客戶信息泄?？蛻舳税踩蛻舳嗽O(shè)計(jì)移動金融客戶端軟件設(shè)計(jì)過程中應(yīng)遵守以下規(guī)則：老、客戶端應(yīng)用軟件收集個人金融信息或用戶授權(quán)等操作前，要以通俗易懂、簡單客戶端應(yīng)用軟件應(yīng)提供訪問、更正個人金融信息，以及授權(quán)撤銷、賬戶注銷等8客戶端開發(fā)移動金融客戶端軟件開發(fā)過程中應(yīng)遵守以下規(guī)則：客戶端應(yīng)用軟件的每次重要更新、升級，都必須經(jīng)過嚴(yán)格歸檔、源代碼掃描、客戶端發(fā)布移動金融客戶端軟件發(fā)布過程中應(yīng)遵守以下規(guī)則：客戶端運(yùn)維移動金融客戶端軟件運(yùn)行及維護(hù)過程中應(yīng)遵守以下規(guī)則：客戶端應(yīng)用軟件應(yīng)具有明確的應(yīng)用標(biāo)識符和版本序號，設(shè)計(jì)合理的更新接口，以SDKSDK信息及引用本SDK9客戶端邏輯安全移動移動金融客戶端軟件業(yè)務(wù)、功能邏輯設(shè)計(jì)中應(yīng)遵守以下規(guī)則：對于交易處理功能邏輯設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保證客戶端應(yīng)用軟件應(yīng)配合業(yè)務(wù)交易風(fēng)險控制策略，以安全的方式將相關(guān)信息上送[JR/T0092-2019，定義5.2]安全功能設(shè)計(jì)組件安全移動金融客戶端應(yīng)用軟件在嵌入組件時應(yīng)確保組件安全：客戶端應(yīng)用軟件在使用第三方組件時，應(yīng)避免第三方組件未經(jīng)授權(quán)收集客戶端接口安全10移動金融客戶端應(yīng)用軟件應(yīng)對接口提供保護(hù)：客戶端應(yīng)用軟件應(yīng)對傳入的URI進(jìn)行校驗(yàn)與安全處理，防止客戶端應(yīng)用軟件運(yùn)當(dāng)客戶端應(yīng)用軟件需要與TEESE抗攻擊能力移動金融客戶端應(yīng)用軟件應(yīng)通過加殼、完整性校驗(yàn)等方式，使客戶端具備抗攻擊能力：客戶端代碼應(yīng)使用代碼加殼、代碼混淆、檢測調(diào)試器等手段對客戶端應(yīng)用軟件0092-2019，定義5.3]身份認(rèn)證安全認(rèn)證方式安全移動金融客戶端從身份認(rèn)證安全角度滿足以下要求：應(yīng)確保采用的身份驗(yàn)證要素相互獨(dú)立，即部分要素的損壞或者泄露不應(yīng)導(dǎo)致其對于手勢密碼、短信驗(yàn)證碼、生物特征信息作為驗(yàn)證要素或驗(yàn)證要素組合中的若采用手勢密碼作為驗(yàn)證要素，手勢密碼應(yīng)至少設(shè)置連續(xù)不間斷的4個點(diǎn)；若采用短信驗(yàn)證碼作為驗(yàn)證要素，短信驗(yàn)證碼應(yīng)隨機(jī)產(chǎn)生，長度不應(yīng)少于6位；短511若采用生物特征識別作為驗(yàn)證要素，應(yīng)當(dāng)符合國家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止非法存儲、復(fù)制和重放。認(rèn)證信息安全客戶端應(yīng)用軟件應(yīng)提供客戶輸入銀行卡交易密碼的即時防護(hù)功能，客戶端應(yīng)提供以下安全控制措施，或其他經(jīng)攻擊測試無法獲取明文的安全防護(hù)措施：（例如或?）客戶端應(yīng)用軟件展示個人金融信息時，應(yīng)符合以下要求：處于未登錄狀態(tài)時，）（）（）12和自動退出等措施。、個人金融信息安全數(shù)據(jù)獲取通過移動金融客戶端收集客戶交易信息時，具體技術(shù)要求如下：客戶端應(yīng)用軟件的臨時文件中不應(yīng)出現(xiàn)支付敏感信息，臨時文件包括但不限于Cookies客戶端應(yīng)用軟件運(yùn)行日志中不應(yīng)打印支付敏感信息，不應(yīng)打印完整的敏感數(shù)據(jù)用戶輸入關(guān)鍵交易數(shù)據(jù)時，如：收款人信息、交易金額、訂單號等，應(yīng)采取防客戶端應(yīng)用軟件在數(shù)據(jù)獲取時提供有效性校驗(yàn)功能，確保通過人機(jī)接口或通信[JR/T0092-2019，定義5.5.1]13數(shù)據(jù)訪問控制移動金融客戶端應(yīng)對可獲取客戶個人金融信息的操作應(yīng)進(jìn)行訪問控制：0092-2019，定義5.5.2]數(shù)據(jù)傳輸移動金融客戶端與服務(wù)端進(jìn)行數(shù)據(jù)傳輸時，具體技術(shù)要求如下：應(yīng)在客戶端應(yīng)用軟件與服務(wù)器之間建立安全的信息傳輸通道，協(xié)議版本應(yīng)及時敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在客戶端應(yīng)用軟件與本地其他應(yīng)敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在通過公共網(wǎng)絡(luò)傳輸時，應(yīng)采取等）確保其完整性，關(guān)鍵的交易數(shù)據(jù)、個人身份信息，如：收款人信息、交易金額、訂單號、身份證號碼等，在通過公共網(wǎng)絡(luò)傳輸時，應(yīng)采取措施（如：數(shù)字簽名、MAC等）確保其完通過客戶端應(yīng)用軟件發(fā)起的資金類交易報文，應(yīng)確保交易報文的不可抵賴性，0092-2019，定義5.5.3]數(shù)據(jù)存儲移動金融客戶端存儲交易信息時，具體技術(shù)要求如下：14在滿足法律、管理規(guī)定的前提下，客戶端應(yīng)用軟件應(yīng)僅保存業(yè)務(wù)必需的交易信客戶端應(yīng)用軟件應(yīng)確保無法通過逆向工程等手段直接從本地文件系統(tǒng)中恢復(fù)完[JR/T0092-2019，定義5.5.4]數(shù)據(jù)使用信息展示移動金融客戶端應(yīng)用軟件，對交易信息展示要求詳見本標(biāo)準(zhǔn)5.4.2。應(yīng)用軟件的后臺管理與業(yè)務(wù)支撐系統(tǒng)，對交易信息展示具體技術(shù)要求如下：C3對于確有明文查看需要的業(yè)務(wù)場景可以保留明文查看權(quán)限，后臺系統(tǒng)應(yīng)對所有“”共享和轉(zhuǎn)讓移動金融客戶端軟件在對交易信息進(jìn)行共享和轉(zhuǎn)讓的過程中，應(yīng)充分重視信息轉(zhuǎn)移或交換過程中的安全風(fēng)險，具體技術(shù)要求如下：在共享和轉(zhuǎn)讓前，應(yīng)開展交易信息安全影響評估，并依據(jù)評估結(jié)果采取有效措在共享和轉(zhuǎn)讓前，應(yīng)開展交易信息接收方信息安全保障能力評估，并與其簽署（）15”“”應(yīng)執(zhí)行嚴(yán)格的審核程序，并準(zhǔn)確記錄和保存交易信息共享和轉(zhuǎn)讓情況。記錄內(nèi)應(yīng)采取有效技術(shù)防護(hù)措施，防范信息轉(zhuǎn)移過程中被除信息發(fā)送方與接收方之外公開披露應(yīng)事先開展個人金融信息安全影響評估，并依據(jù)評估結(jié)果采取有效的保護(hù)個人[JR/T0171-2020，定義6.1.4.3]匯聚融合匯聚融合的數(shù)據(jù)不應(yīng)超出收集時所聲明的使用范圍。因業(yè)務(wù)需要確需超范圍使應(yīng)根據(jù)匯聚融合后的個人金融信息類別及使用目的，開展個人金融信息安全影[JR/T0171-2020，定義6.1.4.6]開發(fā)測試個人金融信息在開發(fā)測試過程中的具體技術(shù)要求如下：16開發(fā)環(huán)境、測試環(huán)境不應(yīng)使用真實(shí)的個人金融信息，應(yīng)使用虛構(gòu)的或經(jīng)過去標(biāo)[JR/T0171-2020，定義6.1.4.7]刪除個人金融信息在刪除過程中的具體技術(shù)要求如下：應(yīng)采取技術(shù)手段，在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個人金融信息，使其[JR/T0171-2020，定義6.1.5]數(shù)據(jù)銷毀個人金融信息在銷毀過程中的具體技術(shù)要求如下：客戶端應(yīng)用軟件應(yīng)支持頁面返回后自動清除銀行卡密碼、網(wǎng)絡(luò)支付交易密碼、當(dāng)客戶端應(yīng)用軟件從前臺進(jìn)入后臺時，超過設(shè)定時限后應(yīng)清除頁面中已輸入的客戶端應(yīng)用軟件在安全退出登錄時，應(yīng)向服務(wù)器發(fā)送會話結(jié)束請求，使當(dāng)前會[JR/T0171-2020，定義6.1.6]17業(yè)務(wù)運(yùn)營安全規(guī)范業(yè)務(wù)申請與開通基本要求：應(yīng)遵守相關(guān)法律法規(guī)，嚴(yán)格落實(shí)《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險管號)、《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)支付結(jié)算管理防范電信網(wǎng)絡(luò)新型違法犯罪有關(guān)事項(xiàng)的通知》(銀發(fā)〔2019〕85號)等相關(guān)規(guī)定，嚴(yán)格落實(shí)通過移動銀行渠道開立個人Ⅱ、Ⅲ類銀行結(jié)算賬戶時，應(yīng)嚴(yán)格落實(shí)《中國人民銀行關(guān)于改進(jìn)個人銀行賬戶服務(wù)加強(qiáng)賬戶管理的通知》(銀發(fā)〔2015〕392號)、《中國人民銀行關(guān)于落實(shí)個人銀行賬戶分類管理制度的通知》(銀發(fā)〔2016〕302號)、《中國201816移動銀行資金類業(yè)務(wù)關(guān)閉后，申請重新開通該功能，應(yīng)要求客戶本人持有效身企業(yè)移動銀行開通應(yīng)由本企業(yè)委托人到柜臺申請，銀行應(yīng)審查其申請材料的真企業(yè)移動銀行客戶加掛賬戶可通過銀行柜臺或通過使用專用安全機(jī)制進(jìn)行身份通過移動終端訪問網(wǎng)上銀行的資金類交易開通應(yīng)有效驗(yàn)證客戶身份，客戶應(yīng)通18移動銀行初始登錄密碼以短信方式發(fā)送給客戶，客戶首次登錄時強(qiáng)制修改初始移動銀行專用安全設(shè)備在暫停、終止、掛失或注銷后，如需要恢復(fù)、解除掛失[JR/T0068-2020，定義6.4.1]業(yè)務(wù)安全交易機(jī)制身份認(rèn)證基本要求：應(yīng)采取交易驗(yàn)證強(qiáng)度與交易額度相匹配的技術(shù)措施，提高交易的安全性。高風(fēng)190118—2015等有關(guān)規(guī)定，確保數(shù)字采用一次性密碼作為支付交易驗(yàn)證要素的，應(yīng)將一次性密碼有效期嚴(yán)格限制在使用企業(yè)手機(jī)銀行進(jìn)行資金類交易時，應(yīng)至少使用硬件承載的數(shù)字證書等方式客戶登錄移動銀行或登錄后執(zhí)行資金類交易時，若身份認(rèn)證連續(xù)失敗超過一定5銀行用于發(fā)送移動銀行交易提示短信、動態(tài)驗(yàn)證碼等信息的客戶預(yù)留手機(jī)號碼客戶持有效身份證件到柜臺辦理。交易流程基本要求：應(yīng)為客戶提供銀行卡交易安全鎖服務(wù)，并落實(shí)《中國人民銀行辦公廳關(guān)于強(qiáng)化2017〕120資金類交易中，如客戶端對交易數(shù)據(jù)簽名，簽名數(shù)據(jù)除流水號、交易金額、轉(zhuǎn)20銀行應(yīng)采取有效措施鑒別客戶身份，保證支付敏感信息和交易數(shù)據(jù)的機(jī)密性、CPUID、IPMAC在客戶確認(rèn)交易信息后，再次提交交易信息(例如，收款方、交易金額)時，應(yīng)應(yīng)采取適當(dāng)?shù)陌踩胧┐_保客戶對所做重要信息及業(yè)務(wù)變更類交易的抗抵賴，應(yīng)根據(jù)業(yè)務(wù)類別、開通渠道及身份驗(yàn)證方式的不同設(shè)置不同的交易限額，同時交易監(jiān)控基本要求：建立完善的移動銀行異常交易監(jiān)控體系，識別并及時處理異常交易，交易監(jiān)測21實(shí)施差異化風(fēng)險防控。應(yīng)建立風(fēng)險交易監(jiān)控系統(tǒng)，對具備頻次異常、賬戶非法、批量交易、用戶習(xí)慣應(yīng)對存在異常交易的終端和商戶，采取調(diào)查核實(shí)、風(fēng)險提示、延遲結(jié)