Notice by the People's Bank of China of Issuing the Financial Industry Standard to Strengthen the Commercial Bank Application Programming Interface Secure Management | | 中国人民银行关于发布金融行业标准加强商业银行应用程序接口安全管理的通知 |
(No. 44 [2020] of the People's Bank of China) | | (银发〔2020〕44号) |
The Shanghai Head Office of the People's Bank of China ("PBC"), all branches and operations offices of the PBC, all central sub-branches of the PBC in capital cities of provinces (autonomous regions), and all central sub-branches of the PBC in sub-provincial cities; all state-owned commercial banks, joint-stock commercial banks, and the Postal Savings Bank of China; and China UnionPay Co., Ltd., Payment & Clearing Association of China, National Internet Finance Association of China: | | 中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联股份有限公司、中国支付清算协会、中国互联网金融协会: |
The financial industry standard entitled “Commercial Bank Application Programming Interface Secure Management Specification” (JR/T 0185-2020, hereinafter referred to as the “Specification”), as examined and adopted by the China Financial Standardization Technical Committee, is hereby issued, and you are hereby notified of the following matters: | | 《商业银行应用程序接口安全管理规范》(JR/T 0185-2020,以下简称《规范》)金融行业标准已经全国金融标准化技术委员会审查通过,现予以发布,并就有关事项通知如下: |
I. Banking financial institutions may, in light of their actual conditions and according to the Specification, strengthen the application programming interface lifecycle secure management, effectively conduct ex-ante technical management in terms of interface security design, development, and services, enhance the interim operation management in terms of data protection, interface access and service operation, and strengthen ex-post risk management in terms of risk control and prevention and protection of the rights and interests of consumers. | | 一、银行业金融机构可结合实际按照《规范》加强应用程序接口全生命周期安全管理,事前从接口安全设计、开发、服务等方面做好技术管理,事中从数据保护、接口访问、服务运行等方面增强运行管理,事后从风险防控、消费者权益保护等方面强化风险管理。 |
II. Industry associations may, as needed in work, establish and improve mechanisms for self-regulatory inspection, restraints on violations, and sharing of risk information, strengthen the industry's self-regulatory management of application programming interfaces, and report relevant information to the PBC on a regular basis. | | 二、行业协会可根据工作需要建立健全自律检查、违规约束,风险信息共享等机制,加强应用程序接口行业自律管理,定期向人民银行报送相关情况。 |
The PBC branch offices at and above the level of a central sub-branch in a sub-provincial city shall forward this Notice to the branches and banking financial institutions within their respective jurisdictions. | | 请人民银行副省级城市中心支行以上分支机构将本通知告知辖区内分支机构和银行业金融机构。 |
Annex: Commercial Bank Application Programming Interface Secure Management Specification (Omitted) | | 附件:商业银行应用程序接口安全管理规范 |
| | 附件 |
| | 商业银行应用程序接口安全管理规范 |
| | Commercial bank application programming interface secure management specification |
| | 目次 |
| | 前言 |
| | 1范围 |
| | 2规范性引用文件 |
| | 3术语和定义 |
| | 4缩略语 |
| | 5概述 |
| | 6接口类型与安全级别 |
| | 7安全设计 |
| | 8安全部署 |
| | 9安全集成 |
| | 10安全运维 |
| | 11服务终止与系统下线 |
| | 12安全管理 |
| | 附录A (规范性附录)商业银行应用程序接口关系示意 |
| | 附录B (规范性附录)商业银行应用程序接口统一识别码编码规则 |
| | 参考文献 |
| | 前言 |
| | 本标准按照GB/T 1.1—2009给出的规则起草。 |
| | 本标准由中国人民银行提出。 |
| | 本标准由全国金融标准化技术委员会(SAC/TC 180)归口。 |
| | 本标准起草单位:中国人民银行科技司、中国金融电子化公司、中国银联股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、上海浦东发展银行股份有限公司、中信银行股份有限公司、兴业银行股份有限公司、中国民生银行股份有限公司、中国光大银行股份有限公司、平安银行股份有限公司、广发银行股份有限公司、北京银行股份有限公司、徽商银行股份有限公司、山东省城市商业银行合作联盟有限公司、齐鲁银行股份有限公司、浙江网商银行股份有限公司、中信百信银行股份有限公司、山东省农村信用社联合社、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、中国外汇交易中心。 |
| | 本标准主要起草人:李伟、李兴锋、曲维民、程胜、郭栋、段力畑、郭晶莹、刘运、高强裔、陈聪、蒋慧科、姜城、孟宪哲、卓越、文韬、孙垚、孔鹏志、赵思琪、白帆、李培钊、李屹秦、何伟明、赵鹏、耿丽、刘会明、李言平、蒋向超、王建华、张培承、刘伟伟、胡琳珑、贾海明、云婧、刘书洪、陈淼、叶黎明、方绍全、谢振哲、丘佳成、江泓、沈天乐、全成、刘嘉文、王效飞、伏开佐、杜守伟、左敏、邓翔、丁芃、刘巍巍、涂鼎。 |
| | 商业银行应用程序接口安全管理规范 |
| | 1 范围 |
| | 本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。 |
| | 本标准适用于商业银行对外互联的应用程序接口的设计和应用,以指导从事或参与商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方开展相关工作,并为第三方安全评估机构等单位开展安全检查与评估工作提供参考(接口类型关系详见附录A)。其他类型应用程序接口的设计和应用可参照本标准执行。 |
| | 2 规范性引用文件 |
| | 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 |
| | GB/T 25069 信息安全技术 术语 |
| | JR/T 0071 金融行业信息系统信息安全等级保护实施指引 |
| | JR/T 0124-2014 金融机构编码规范 |
| | 3 术语和定义 |
| | GB/T 25069界定的以及下列术语和定义适用于本文件。 |
| | 3.1 应用程序接口 application programming interface |
| | 一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注服务的设计与实现。 |
| | 3.2 应用方 application agency |
| | 调用商业银行应用程序接口的机构。 |
| | 3.3 应用程序接口唯一标识 application programming interface unique ID |
| | 由商业银行自行定义,用于区分商业银行应用程序接口功能的唯一标识。 |
| | 3.4 应用程序接口统一识别码 uniform application programming interface ID |
| | 商业银行依据行业主管部门发布的编码规则,生成的商业银行应用程序接口统一识别码。 |
| | 注:用于标识商业银行机构代码、接口类型、服务类别、接口顺序号等内容。 |
| | 3.5 应用软件开发工具包 software development kit |
| | 基于特定软件包、软件框架、硬件平台、操作系统等建立应用程序时所使用的软件开发工具集合。 |
| | 3.6 应用唯一标识 application unique ID |
| | 在应用方身份核验通过后,根据其调用的金融产品与服务类型,由商业银行为其授予的唯一标识。 |
| | 注:包括服务器端应用标识与移动终端应用软件标识两种。 |
| | 3.7 应用鉴别密文 application secret |
| | 应用合法性鉴别凭证,与应用唯一标识配套使用,以验证通过API方式接入的应用合法性,接入验证通过后,即可完成系统对接,调用应用程序接口或使用应用程序接口提供的功能和数据。 |
| | 3.8 移动金融客户端应用软件 financial mobile application software |
| | 在移动终端上为用户提供金融交易服务的应用软件。 |
| | 注:包括但不限于可执行文件、组件等。 |
| | 3.9 个人金融信息personal financial information |
| | 金融机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息。 |
| | 注1:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应特定个人某些情况的信息。 |
| | 注2:改写GB/T 35273-2017,定义3.1。 |
| | 3.10 支付敏感信息 payment sensitive information |
| | 支付信息中涉及支付主体隐私和身份识别的重要信息。 |
| | 注:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。 |
| | 3.11 支付账号 payment account |
| | 具有金融交易功能的银行账户、非银行支付机构支付账户的编码及银行卡卡号。 |
| | [JR/T 0149-2016,定义3.1] |
| | 3.12 明示同意explicit consent |
| | 个人金融信息主体通过书面声明或主动做出肯定性动作,对其个人金融信息进行特定处理做出明确授权的行为。 |
| | 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。 |
| | [GB/T 35273-2017,定义3.6] |
| | 4 缩略语 |
| | 下列缩略语适用于本文件。 |
| | API:应用程序接口(Application Programming Interface) |
| | API_ID:接口唯一标识(Application Programming Interface unique ID) |
| | App_ID:应用唯一标识(Application unique ID) |
| | App_Secret:应用鉴别密文(Application Secret) |
| | DDoS:分布式拒绝服务攻击(Distributed Denial of Service) |
| | U_API_ID:应用程序接口统一识别码(Uniform Application Programming Interface ID) |
| | SDK:应用软件开发工具包(Software Development Kit) |
| | SSL:安全套接层协议(Secure Sockets Layer) |
| | TLS:安全传输层协议(Transport Layer Security) |
| | MAC:消息鉴别码(Message Authentication Code) |
| | 5 概述 |
| | 商业银行应用程序接口服务是一种依托API技术实现内部与外部互联的金融服务模式。商业银行通过为合作伙伴提供用以互联的应用程序接口,输出自身金融服务能力与信息技术能力,为增加金融生态黏性提供有益补充。外部机构能够通过互联网渠道,调用商业银行应用程序接口(外部API,详见附录A),获取商业银行提供的各类服务,其逻辑结构见图1。 |
| | 商业银行应用程序接口服务的参与方主要包括用户、应用方以及商业银行,商业银行通过API直接连接或SDK间接连接方式向应用方和用户提供应用程序接口服务,实现商业银行服务的对外输出。 |
| | 用户发起商业银行应用程序接口应用请求,并接收由应用方或商业银行返回的处理结果。 |
| | 应用方负责接收并处理用户请求,通过应用程序接口向商业银行提交相关请求、接收返回结果,依照流程进行服务请求处理或反馈用户。 |
| | 商业银行构建商业银行应用程序接口、应用程序接口服务层和银行业务系统以提供商业银行应用程序接口服务。商业银行应用程序接口服务层将应用方请求转发至银行业务系统处理,并将处理结果反馈应用方或用户,包含认证鉴权、流量控制、监控分析、报文交换、服务组合等功能,不涉及具体业务逻辑处理,实现对商业银行应用程序接口和应用方的管理。 |
| | |
| | 图1商业银行应用程序接口逻辑结构图 |
| | 6 接口类型与安全级别 |
| | 6.1 接口类型 |
| | 商业银行应用程序接口按照应用集成方式,分为服务端对服务端集成方式与移动终端对服务端集成方式两种。 |
| | 对于服务端对服务端集成方式,主要包含两种实现形式: |
| | --应用方服务端直接调用商业银行应用程序接口(如REST、SOAP协议)。 |
| | --应用方服务端使用商业银行提供的服务端SDK,间接访问商业银行应用程序接口。 |
| | 其中,服务端SDK主要实现商业银行通用接入算法的封装,为降低应用方接入开发难度,一般此类SDK不包含业务逻辑。 |
| | 对于移动终端对服务端集成方式,主要包含两种实现形式: |
| | --应用方移动终端应用软件直接调用商业银行应用程序接口。 |
| | --应用方移动终端应用软件使用商业银行提供的移动终端应用SDK,间接访问商业银行应用程序接口。 |
| | 其中,应用方移动终端应用软件直接调用商业银行应用程序接口的方式,主要以与用户个体无直接关联的金融服务为主,如提供商业银行公开信息查询、公开服务查询等。 |
| | 移动终端应用SDK除封装商业银行通用接入算法外,还可封装业务逻辑、个人金融信息安全保护(例如密码数据的安全加固)等功能。 |
| | 在移动终端对服务端模式下,对于仅使用H5(超文本标记语言版本5.0)技术,提供银行金融产品和服务访问链接的情况,由于H5页面本身并未直接调用(或封装)商业银行应用程序接口,不将其单独列为商业银行应用程序接口的一种类型。 |
| | 6.2 安全级别 |
| | 按照服务类型将商业银行应用程序接口安全级别划分为两级,安全保护要求从A2至A1递减: |
| | --A2:资金交易与账户信息查询应用类,此类金融产品和服务与用户个体直接关联,实施高等级安全保护强度,此类商业银行应用程序接口包括但不限于: |
| | ·商业银行通过SDK,提供资金交易类服务,如支付、转账以及金融产品与服务购买等; |
| | ·商业银行通过SDK,提供用户账户信息查询类服务,如账户余额、交易历史、账户限额、付款时间、金融产品和服务持有情况等; |
| | ·对于上述服务,若确需使用API直接连接方式进行服务调用,商业银行应对接入风险进行评估,并制定专门的接口与应用方进行对接,实施高等级的安全保护强度要求。 |
| | --A1:金融产品和服务信息查询应用类,此类金融产品和服务与用户个体并无直接关联,实施通用的安全保护强度,此类商业银行应用程序接口包括但不限于:商业银行提供银行金融产品和服务的详细信息的“只读”查询服务。 |
| | 7 安全设计 |
| | 7.1 设计基本要求 ...... |
|
| | 您好:您现在要进入的是北大法宝英文库会员专区。 如您是我们英文用户可直接 登录,进入会员专区查询您所需要的信息;如您还不是我们 的英文用户;您可通过网上支付进行单篇购买,支付成功后即可立即查看本篇内容。 Tel: +86 (10) 82689699, +86 (10) 82668266 ext. 153 Mobile: +86 13311570713 Fax: +86 (10) 82668268 E-mail:info@chinalawinfo.com |
| | |
| | |