财联社记者最新了解到,多数券商收到人民银行印发的《关于发布金融行业标准,加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号,下称"《237号》"),要求各金融机构积极开展加强客户端软件行业自律管理的职责。
当前中国互联网协会正在按照人民银行《关于发布金融行业标准,加强移动金融客户端应用软件安全管理通知》的要求,积极开展加强客户端软件行业自律管理的职责,牵头开展App实名备案的工作。
财联社记者独家获悉,第一批备案金融机构有:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、民生银行、招商银行、广发银行、平安银行、西安银行、国泰君安、海通证券、众安保险、汇添富基金、蚂蚁金服服务集团、财付通、京东数科、重庆三峡银行股份有限公司、徽商银行、安徽省农信联社、吉林九台农村商业银行股份有限公司、广州农村商业银行股份有限公司。
值得注意的是,此次第一批备案金融机构中,券商只有两家,分别是国泰君安和海通证券。
金融机构App整改紧锣密鼓
12月3日,中国互联网金融协会(以下简称“互金协会”)在京召开金融业移动金融客户端应用软件(以下简称“客户端软件”)备案管理工作试点启动会议,部署相关工作。来自银行、证券、基金、保险、支付等领域的23家试点机构相关负责人参加会议。
据悉,会议要求,各试点机构应于2019年年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请,互金协会完成备案审核工作后,将择期发布第一批通过备案的客户端软件清单。下一步,在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
有券商业内人士认为,这次第一批名单券商只有两家,可能与监管半径有关。但如果这个监管内容后续会对券商App发布有影响,那大家一定都会跟进。
据了解,此次券商App整改,是中央网信办、工信部、公安部、市场监管总局年初伊始开展的关于App违法违规收集使用个人信息专项治理行动下的重要一环,是该项治理行动在券商业的延续。
海通证券相关负责人表示,公司正在积极配合中国互联网金融协会推进备案工作,已先后参加两次筹备会议,对本次App实名备案的意义和流程也有深入了解。由于备案需要提供的材料较多,还需引入第三方认证机构出具报告,因此,备案筹备时间也相应的有所拉长。
在App信息安全方面,早在今年年初,海通证券已就网信办等四部委联合发布的《关于开展App违法违规手机使用个人信息专项治理的公告》,更新相关隐私协议并规范相关客户信息收集方式。
另外,国泰君安相关负责人也表示,近年来君弘App在信息安全上的投入大致大致有七个方面。首先是多方位进行安全扫描及渗透测试,通过阿里、爱加密、中证信息、中国信息安全测评中心等安全公司或检测机构,对君弘App做了多轮安全扫描、渗透性测试,并针对这些漏洞进行修复;在App代码安全上,与专业安全厂商紧密合作,使用反调试、文件混淆、安装包加固等多种方法提高客户端被反编译的成本,防止代码和业务逻辑被恶意分析和篡改;在保护交易数据安全方面,引入FIDO生物认证系统,提供指纹、3D人脸登录,保护登录信息安全;在保护用户手机信息安全时,采用权限最小化原则,最小化申请君弘App业务需求的手机权限,并且所有权限申请明确告知用户、均需用户同意,防止Android权限被滥用,防止用户手机隐私信息泄漏。;通信安全方面,在通信协议上进行加密传输,并加入防重放防篡改机制。在券商行业率先支持通过ipv6网络接入,提高了整体自主掌控能力和安全性。
五点实施要求
《移动金融客户端应用软件安全管理规范》(以下简称“《规范》)提出的安全要求分为基本要求和增强要求,所有相关客户端都应在满足基本要求的基础上,建议满足增强要求。
《规范》要求针对不同类型的软件应该做到:资金交易类,应符合资金交易、信息保护等所有技术及管理安全要求;信息采集类,应重点符合信息保护相关技术及管理安全要求;资讯查询类,应符合相关客户端软件安全和管理要求。
《规范》对各类金融机构提出五点实施要求,分别是提升安全防护能力、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制和加强行业自律管理。
其中,在安全防护能力上,人民银行要求各金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。对于资金交易类客户端软件,应从资金安全、信息保护等方面开展外部评估;对于信息采集类客户端软件,应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次,形成报告存档备查。外部评估应每年至少开展一次,形成报告存档备查。
在加强个人金融信息保护上,人民银行要求各金融机构应采取有效措施加强客户端软件个人金融信息保护。
一是收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。
二是应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。
三是信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。
四是不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。
七大类客户端应用软件安全要求
另外,人民银行还制定了移动金融客户端应用软件安全管理规范,客户端应用软件安全要求分别有身份认证安全、认证信息安全、认证失败处理、逻辑安全、安全功能设计、密码算法及密钥管理和数据安全。
身份认证安全。此部分包含认证方式、认证信息安全、认证失败处理、密码的设定与重置4大项若干小项要求,涉及到应用安全、个人账户安全、个人金融信息安全等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。
逻辑安全。此部分包含逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等5大项若干小项要求,涉及到业务逻辑漏洞、软件权限获取、个人金融信息安全、业务风向等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
安全功能设计。此部分包含组件安全、接口安全、抗攻击能力、客户端应用软件环境检测等4大项若干小项要求,涉及到不安全的第三方组件对于客户端安全的影响以及用户个人信息的获取、接口的非授权调用、抵御攻击的能力、客户端运行环境的监测等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
密码算法及密钥管理。此部分包含密码算法、密钥管理等2大项若干小项要求,涉及到对交易或重要操作的保护、密钥本身的保护等。所有金融App都应满足其基本要求,其中应重点关注资金交易类。
数据安全。此部分包含数据获取、数据访问控制、数据传输、数据存储、数据展示、数据销毁等6大项若干小项要求,涉及到支付等敏感信息的泄露、关键交易数据的篡改、个人信息的保护、敏感信息的销毁等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。