金融APP何去何从?BCTC“实问实答”央行237号文

今年9月,央行印发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),从风险防控、信息保护、实名备案、监督处置等方面针对性提出了加强移动金融客户端应用软件安全管理(以下简称金融APP)的工作措施,并配套发布《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)

今年9月,央行印发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),从风险防控、信息保护、实名备案、监督处置等方面针对性提出了加强移动金融客户端应用软件安全管理(以下简称金融APP)的工作措施,并配套发布《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)。237号文的出台,推动了金融业建立涵盖事前评估备案、事中风险监测、事后联防共治的金融APP风险防控体系,健全“机构自治+协会自律+行业监管”的管理机制,标志着金融APP治理进入新时代。

  1Q:央行237号文和谁相关?

  A:央行237号文聚焦金融APP安全,所有开发、运营、维护金融APP的机构和人员都需关注237号文的相关要求。

  ⊹ 金融机构。金融机构是金融APP的合法运营主体,也是与237号文直接相关的机构。金融机构包括了国家开发银行、各政策性银行、国有及股份制商业银行、邮储银行;各证券公司、基金公司、期货公司、私募投资基金管理机构;各保险集团(控股)公司、保险公司、保险资产管理公司;银联、支付清算协会、互联网金融协会、网联;支付机构等。

  ⊹ 其他开发者。当前,越来越多的金融APP集成第三方SDK,这些第三方SDK也应满足金融APP治理的相关要求,所以央行237号文也与金融APP的开发者息息相关。

  2Q:央行237号文提到哪些要求?

  A:央行237号文以“机构自治+协会自律+行业监管”为基本思路,明确要求金融业要建立涵盖金融APP“事前、事中、事后”全过程的风险防控管理体系。金融机构要加强自身能力建设,还要与外部评估机构、互联网金融协会联动做好金融APP的综合管理。237号文对金融机构提出四方面要点:

  ⊹ 保障金融APP安全,加强个人金融信息保护。这是落实《网络安全法》的基本要求,也是网络时代个人信息保护的基本要求。

  ⊹ 金融APP要每年至少开展一次外部评估工作。外部评估可为金融APP“把关号脉”,也可增强金融监管部门和金融消费者的信心。

  ⊹ 建立金融APP风险监测能力,提高APP使用过程中的安全防控水平。风险监测平台可以实现对金融APP信息泄露、权限滥用等风险的7×24实时监控,是金融科技风险防范的有效应用。

  ⊹ 配合互联网金融协会健全投诉处理机制,做好金融APP备案工作。只有消费者的监督才能促进金融APP真正做好安全、提高客户满意度,金融APP备案也将成为行业自律管理的有力抓手。

  3Q:实名备案怎么做?

  A:237号文明确由中国互联网金融协会负责客户端软件实名备案管理工作。互联网金融协会于12月3日组织23家试点金融机构、国家金融IC卡安全检测中心(银行卡检测中心)等单位召开启动会,正式启动了金融APP备案试点工作。

  金融APP备案要向互联网金融协会提供基本材料,包括:机构信息(如“某银行”)、APP信息(如“显示名称”“版本”“包名称”等)、安全证明材料(如权威、独立第三方机构出具的检测认证报告)以及其他涉及APP内部管理、个人信息保护等相关制度。

  金融APP需要在首次发布、信息发生变化、重大变更、服务停止或下架等节点按要求完成备案。其中,首次发布和重大变更均需进行外部安全评估,重大变更时可以仅针对变更内容进行差异化评估。

  4Q:外部评估机构怎么选?

  A:根据备案管理要求,应由具备相关资质的权威、独立第三方认证机构对要申请备案的金融APP进行检测认证。

  2019年10月16日,市场监管总局联合人民银行发布《金融科技产品认证目录(第一批)》《金融科技产品认证规则》的公告,将客户端软件、TEE、SE、云计算平台等11类金融科技产品纳入“国推”认证体系。

  国家金融IC卡安全检测中心(银行卡检测中心)作为金融行业的权威专业化检测机构,在支付技术产品检测领域拥有深厚积累与丰富经验,深度参与JR/T 0092、JR/T 0098.3、T/PCAC 0006等规范编写和修订,成为在第一批“国推”认证中拥有全项资质授权的检测机构。目前,中心已具备业内领先的金融APP检测服务能力,已获得以金融科技产品认证客户端软件测试、移动金融客户端安全测试、PCI PA-DSS、银联支付应用软件安全测试为代表的国内外金融APP检测资质8项,累计完成金融APP检测超过1030款,可为产业方提供权威、专业的金融APP检测服务。

  5Q:风险监测机制怎么建?

  A:237号文中提到,金融APP风险监测机制应通过技术手段实现对潜在仿冒、安全漏洞、权限滥用、敏感信息泄露等风险的全面感知,在不同机构之间进行风险信息共享,从而达到金融行业APP风险联防联控的目标。

  国家金融IC卡安全检测中心(银行卡检测中心)在人民银行的指导下承建了移动金融风险监测平台,监测平台作为金融风险防控基础设施,与互联网金融协会的备案平台接口互通,为金融机构提供“一键式”接入服务和风险数据监测分析,助力金融机构高效构建风险监测机制。

  6Q:金融APP安全怎么搞?

  A:JR/T 0092-2019规范是金融APP的安全基准线。规范从APP安全要求、APP安全管理要求两个方面明确APP安全的基本要素,规定了APP应保护的敏感信息范围包括APP采集与处理的支付敏感信息、除支付敏感信息外的用户鉴别信息、可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及金融消费者用于金融产品服务的关键信息三类。

  开发者和应用方应当按照相关要求进行APP的设计、开发、维护和发布,第三方评估机构和监管机构也将根据规范对APP安全性进行评估。

人民网

0 篇新闻