文：馬瑤瑤、紀崇廉

來源：中國(guó)電子銀行網 

自互聯網金融誕生以來發(fā)展迅猛，移動金融類APP層出不窮，但同時也出現了各種(zhǒng)問題。長(cháng)期以來網上充斥著(zhe)各種(zhǒng)假冒、仿冒APP，嚴重影響了互聯網金融的正常發(fā)展。由于之前沒(méi)有針對(duì)移動金融APP的強制性技術标準和檢測标準，使得移動金融APP産品猶如雜草般肆意生長(cháng)，個人信息安全問題時有發(fā)生，直接威脅著(zhe)人民群衆的财産安全。

爲了整頓雜亂無章的移動金融APP市場，人民銀行印發(fā)了《關于發(fā)布金融行業标準加強移動金融客戶端應用軟件安全管理的通知》（銀發(fā)〔2019〕237号）（以下簡稱“237号文”），237号文不僅提出要加強移動金融APP的監管力度，更是明确了移動金融APP在保險、證券等泛金融行業的安全建設标準，強調要進(jìn)行實名備案，堪稱“史上最嚴”監管。

日前，爲了落實237号文要求，“移動金融APP”備案工作正在如火如荼的進(jìn)行。中國(guó)互聯網金融協會(huì)（以下簡稱“互金協會(huì)”）已經(jīng)公布了第一批參與備案的試點機構名單，所涉及企業紛紛提交待測APP版本到備案檢測工作所指定的檢測機構，認證檢測工作正在有條不紊的開(kāi)展。

據悉，第一批測試完成(chéng)的試點産品涉及“手機銀行” 、“信用卡APP”等知名産品，部分已暴露出來的問題主要集中在 “數據敏感性”、“數據通信”、“數據完整性”等方面(miàn)。各問題清單已經(jīng)反饋至各軟件廠商，進(jìn)入整改階段。

根據“237号文”精神，政策性銀行、商業銀行、證券公司、基金公司、保險集團、支付機構等均在參與範疇之列，今後(hòu)會(huì)在一批認證試點的基礎上擴展到整個金融行業。那麼(me)問題來了：早晚都(dōu)要備案的移動金融APP，有哪些危險的“紅線”需要注意呢？接下來爲您詳細解讀：

·“紅線”源于“标準”

由于認證工作開(kāi)展的是圍繞标準展開(kāi)的，因而各單位所不能(néng)觸及的危險“紅線”均是來源現行标準，标準包括：

JR/T 0092《移動金融客戶端應用軟件安全管理規範》

JR/T 0098.3《中國(guó)金融移動支付檢測規範第3部分：客戶端軟件》

T/PACA 0006《條碼支付移動客戶端軟件檢測規範》

其中《移動金融客戶端應用軟件安全管理規範》是移動金融APP檢測的主要技術依托，裡(lǐ)面(miàn)涵蓋金融客戶端應滿足的安全要求以及相關管理要求。針對(duì)相關要求提出了以下細則：

細則分爲：安全管理規範總體要求、客戶端應用軟件安全要求、客戶端應用軟件管理要求三個大類。

其中客戶端應用軟件安全要求分爲：身份認證安全、邏輯安全、安全功能(néng)設計、密碼算法以及密鑰管理、數據安全。客戶端應用軟件管理要求包括：設計要求、開(kāi)發(fā)要求、發(fā)布要求、維護要求。

共計三大類，9項要求。每項要求又包含1-10餘項不等的具體細則要求，例如：在“個人金融信息展示”基本要求中規定了“不應明文顯示銀行卡密碼和網絡支付交易密碼”。

《中國(guó)金融移動支付檢測規範第3部分：客戶端軟件》分爲“基本檢測項”、“功能(néng)檢測項”、“性能(néng)檢測項”和“安全檢測項”。分别在上述四個方面(miàn)進(jìn)行了約束和要求：

《條碼支付移動客戶端軟件檢測規範》移動終端安全分爲“移動終端安全”、“交易安全”和“兼容性測試”三大類要求：

上述三個規範，百餘項具體細則要求共同支撐起(qǐ)了整個移動金融APP備案體系，而每一項要求也正是我們企業所不能(néng)夠觸及的危險紅線。

·尋“紅線”宜“咨詢”

如果您的企業在移動金融APP備案過(guò)程中對(duì)标準的解讀或對(duì)技術要求中不應觸及的紅線不盡清楚的話，建議您向(xiàng)指定的檢測機構咨詢，這(zhè)樣(yàng)可以用最少的時間精準把握各項指标。CFCA等專業的移動金融APP備案指定檢測機構能(néng)夠提供幫助，直接和認證機構對(duì)接，可以提供 “咨詢”、“檢測”、“認證”、“年檢複測”的一站式服務，準确解讀相關政策，對(duì)認證進(jìn)行全面(miàn)把控，幫助您的APP遠離危險“紅線”，全程爲您保駕護航。