安全資訊

多數券商收到人民銀行印發(fā)的《關(guān)于發(fā)布金融行業(yè)標準，加強移動(dòng)金融客戶(hù)端應用軟件安全管理通知》（銀發(fā)〔2019〕237號，下稱(chēng)"《237號》"），要求各金融機構積極開(kāi)展加強客戶(hù)端軟件行業(yè)自律管理的職責。

當前中國互聯(lián)網(wǎng)協(xié)會(huì )正在按照人民銀行《關(guān)于發(fā)布金融行業(yè)標準，加強移動(dòng)金融客戶(hù)端應用軟件安全管理通知》的要求，積極開(kāi)展加強客戶(hù)端軟件行業(yè)自律管理的職責，牽頭開(kāi)展APP實(shí)名備案的工作。

財聯(lián)社記者獨家獲悉，第一批備案金融機構有：中國工商銀行、中國農業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信銀行、民生銀行、招商銀行、廣發(fā)銀行、平安銀行、西安銀行、國泰君安、海通證券、眾安保險、匯添富基金、螞蟻金服服務(wù)集團、財付通、京東數科、重慶三峽銀行股份有限公司、徽商銀行、安徽省農信聯(lián)社、吉林九臺農村商業(yè)銀行股份有限公司、廣州農村商業(yè)銀行股份有限公司。

值得注意的是，此次第一批備案金融機構中，券商只有兩家，分別是國泰君安和海通證券。

金融機構APP整改緊鑼密鼓

12月3日,中國互聯(lián)網(wǎng)金融協(xié)會(huì )(以下簡(jiǎn)稱(chēng)“互金協(xié)會(huì )”)在京召開(kāi)金融業(yè)移動(dòng)金融客戶(hù)端應用軟件(以下簡(jiǎn)稱(chēng)“客戶(hù)端軟件”)備案管理工作試點(diǎn)啟動(dòng)會(huì )議,部署相關(guān)工作。來(lái)自銀行、證券、基金、保險、支付等領(lǐng)域的23家試點(diǎn)機構相關(guān)負責人參加會(huì )議。

據悉，會(huì )議要求,各試點(diǎn)機構應于2019年年底前通過(guò)客戶(hù)端軟件備案管理系統完成第一批試點(diǎn)客戶(hù)端軟件的材料提交和備案申請,互金協(xié)會(huì )完成備案審核工作后,將擇期發(fā)布第一批通過(guò)備案的客戶(hù)端軟件清單。下一步,在全國范圍內分批次組織開(kāi)展客戶(hù)端軟件備案推廣并逐步落實(shí)風(fēng)險信息共享、投訴處置機制以及行業(yè)公約、黑白名單、自律檢查、違規約束等自律管理工作。

有券商業(yè)內人士認為，這次第一批名單券商只有兩家，可能與監管半徑有關(guān)。但如果這個(gè)監管內容后續會(huì )對券商APP發(fā)布有影響，那大家一定都會(huì )跟進(jìn)。

據了解，此次券商APP整改，是中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局年初伊始開(kāi)展的關(guān)于A(yíng)PP違法違規收集使用個(gè)人信息專(zhuān)項治理行動(dòng)下的重要一環(huán)，是該項治理行動(dòng)在券商業(yè)的延續。

海通證券相關(guān)負責人表示，公司正在積極配合中國互聯(lián)網(wǎng)金融協(xié)會(huì )推進(jìn)備案工作，已先后參加兩次籌備會(huì )議，對本次APP實(shí)名備案的意義和流程也有深入了解。由于備案需要提供的材料較多，還需引入第三方認證機構出具報告，因此，備案籌備時(shí)間也相應的有所拉長(cháng)。

在A(yíng)PP信息安全方面，早在今年年初，海通證券已就網(wǎng)信辦等四部委聯(lián)合發(fā)布的《關(guān)于開(kāi)展APP違法違規手機使用個(gè)人信息專(zhuān)項治理的公告》，更新相關(guān)隱私協(xié)議并規范相關(guān)客戶(hù)信息收集方式。

另外，國泰君安相關(guān)負責人也表示，近年來(lái)君弘APP在信息安全上的投入大致大致有七個(gè)方面。首先是多方位進(jìn)行安全掃描及滲透測試，通過(guò)阿里、愛(ài)加密、中證信息、中國信息安全測評中心等安全公司或檢測機構，對君弘APP做了多輪安全掃描、滲透性測試，并針對這些漏洞進(jìn)行修復；在A(yíng)PP代碼安全上，與專(zhuān)業(yè)安全廠(chǎng)商緊密合作，使用反調試、文件混淆、安裝包加固等多種方法提高客戶(hù)端被反編譯的成本，防止代碼和業(yè)務(wù)邏輯被惡意分析和篡改；在保護交易數據安全方面，引入FIDO生物認證系統，提供指紋、3D人臉登錄，保護登錄信息安全；在保護用戶(hù)手機信息安全時(shí)，采用權限最小化原則，最小化申請君弘APP業(yè)務(wù)需求的手機權限，并且所有權限申請明確告知用戶(hù)、均需用戶(hù)同意，防止Android權限被濫用，防止用戶(hù)手機隱私信息泄漏。；通信安全方面，在通信協(xié)議上進(jìn)行加密傳輸，并加入防重放防篡改機制。在券商行業(yè)率先支持通過(guò)ipv6網(wǎng)絡(luò )接入，提高了整體自主掌控能力和安全性。

五點(diǎn)實(shí)施要求

《移動(dòng)金融客戶(hù)端應用軟件安全管理規范》（以下簡(jiǎn)稱(chēng)“《規范》）提出的安全要求分為基本要求和增強要求，所有相關(guān)客戶(hù)端都應在滿(mǎn)足基本要求的基礎上，建議滿(mǎn)足增強要求。

《規范》要求針對不同類(lèi)型的軟件應該做到：資金交易類(lèi)，應符合資金交易、信息保護等所有技術(shù)及管理安全要求；信息采集類(lèi)，應重點(diǎn)符合信息保護相關(guān)技術(shù)及管理安全要求；資訊查詢(xún)類(lèi)，應符合相關(guān)客戶(hù)端軟件安全和管理要求。

《規范》對各類(lèi)金融機構提出五點(diǎn)實(shí)施要求，分別是提升安全防護能力、加強個(gè)人金融信息保護、提高風(fēng)險監測能力、健全投訴處理機制和加強行業(yè)自律管理。

其中，在安全防護能力上，人民銀行要求各金融機構加強客戶(hù)端軟件設計、開(kāi)發(fā)、發(fā)布、維護等環(huán)節的安全管理，構建覆蓋全生命周期的管理機制，切實(shí)保障客戶(hù)端軟件安全。對于資金交易類(lèi)客戶(hù)端軟件，應從資金安全、信息保護等方面開(kāi)展外部評估；對于信息采集類(lèi)客戶(hù)端軟件，應重點(diǎn)從信息保護方面開(kāi)展外部評估。外部評估應每年至少開(kāi)展一次，形成報告存檔備查。外部評估應每年至少開(kāi)展一次，形成報告存檔備查。

在加強個(gè)人金融信息保護上，人民銀行要求各金融機構應采取有效措施加強客戶(hù)端軟件個(gè)人金融信息保護。

一是收集、使用個(gè)人金融信息時(shí)應遵循合法、正當、必要的原則,明示收集使用信息的目的、方式和范圍,并經(jīng)用戶(hù)同意。不得以默認、捆綁、停止安裝使用等手段變相強迫用戶(hù)授權,不得收集與其提供金融服務(wù)無(wú)關(guān)的個(gè)人金融信息。

二是應采取數據加密、訪(fǎng)問(wèn)控制、安全傳輸、簽名認證等措施,防止個(gè)人金融信息在傳輸、存儲、使用等過(guò)程被非法竊取、泄露或篡改。

三是信息使用結束后應立即刪除敏感信息,在客戶(hù)端軟件卸載后不得留存個(gè)人金融信息。

四是不得違反法律法規與用戶(hù)約定,不得泄露、非法出售或非法向他人提供個(gè)人金融信息。

七大類(lèi)客戶(hù)端應用軟件安全要求

另外，人民銀行還制定了移動(dòng)金融客戶(hù)端應用軟件安全管理規范，客戶(hù)端應用軟件安全要求分別有身份認證安全、認證信息安全、認證失敗處理、邏輯安全、安全功能設計、密碼算法及密鑰管理和數據安全。

身份認證安全。此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求，涉及到應用安全、個(gè)人賬戶(hù)安全、個(gè)人金融信息安全等方面。所有金融A(yíng)pp都應滿(mǎn)足其基本要求，其中應重點(diǎn)關(guān)注資金交易類(lèi)、信息采集類(lèi)。

邏輯安全。此部分包含邏輯安全設計、軟件權限控制、風(fēng)險控制、回退處理、異常處理等5大項若干小項要求，涉及到業(yè)務(wù)邏輯漏洞、軟件權限獲取、個(gè)人金融信息安全、業(yè)務(wù)風(fēng)向等方面。所有金融A(yíng)pp都應滿(mǎn)足其基本要求，其中應重點(diǎn)關(guān)注資金交易類(lèi)、信息采集類(lèi)、資訊查詢(xún)類(lèi)。

安全功能設計。此部分包含組件安全、接口安全、抗攻擊能力、客戶(hù)端應用軟件環(huán)境檢測等4大項若干小項要求，涉及到不安全的第三方組件對于客戶(hù)端安全的影響以及用戶(hù)個(gè)人信息的獲取、接口的非授權調用、抵御攻擊的能力、客戶(hù)端運行環(huán)境的監測等。所有金融A(yíng)pp都應滿(mǎn)足其基本要求，其中應重點(diǎn)關(guān)注資金交易類(lèi)、信息采集類(lèi)、資訊查詢(xún)類(lèi)。

密碼算法及密鑰管理。此部分包含密碼算法、密鑰管理等2大項若干小項要求，涉及到對交易或重要操作的保護、密鑰本身的保護等。所有金融A(yíng)pp都應滿(mǎn)足其基本要求，其中應重點(diǎn)關(guān)注資金交易類(lèi)。

數據安全。此部分包含數據獲取、數據訪(fǎng)問(wèn)控制、數據傳輸、數據存儲、數據展示、數據銷(xiāo)毀等6大項若干小項要求，涉及到支付等敏感信息的泄露、關(guān)鍵交易數據的篡改、個(gè)人信息的保護、敏感信息的銷(xiāo)毀等。所有金融A(yíng)pp都應滿(mǎn)足其基本要求，其中應重點(diǎn)關(guān)注資金交易類(lèi)、信息采集類(lèi)。