今年9月,央行印发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),从风险防控、信息保护、实名备案、监督处置等方面针对性提出了加强移动金融客户端应用软件安全管理(以下简称金融APP)的工作措施,并配套发布《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)。237号文的出台,推动了金融业建立涵盖事前评估备案、事中风险监测、事后联防共治的金融APP风险防控体系,健全“机构自治+协会自律+行业监管”的管理机制,标志着金融APP治理进入新时代。
1Q:央行237号文和谁相关?
A:央行237号文聚焦金融APP安全,所有开发、运营、维护金融APP的机构和人员都需关注237号文的相关要求。
⊹ 金融机构。金融机构是金融APP的合法运营主体,也是与237号文直接相关的机构。金融机构包括了国家开发银行、各政策性银行、国有及股份制商业银行、邮储银行;各证券公司、基金公司、期货公司、私募投资基金管理机构;各保险集团(控股)公司、保险公司、保险资产管理公司;银联、支付清算协会、互联网金融协会、网联;支付机构等。
⊹ 其他开发者。当前,越来越多的金融APP集成第三方SDK,这些第三方SDK也应满足金融APP治理的相关要求,所以央行237号文也与金融APP的开发者息息相关。
2Q:央行237号文提到哪些要求?
A:央行237号文以“机构自治+协会自律+行业监管”为基本思路,明确要求金融业要建立涵盖金融APP“事前、事中、事后”全过程的风险防控管理体系。金融机构要加强自身能力建设,还要与外部评估机构、互联网金融协会联动做好金融APP的综合管理。237号文对金融机构提出四方面要点:
⊹ 保障金融APP安全,加强个人金融信息保护。这是落实《 *** 安全法》的基本要求,也是 *** 时代个人信息保护的基本要求。
⊹ 金融APP要每年至少开展一次外部评估工作。外部评估可为金融APP“把关号脉”,也可增强金融监管部门和金融消费者的信心。
⊹ 建立金融APP风险监测能力,提高APP使用过程中的安全防控水平。风险监测平台可以实现对金融APP信息泄露、权限滥用等风险的7×24实时监控,是金融科技风险防范的有效应用。
⊹ 配合互联网金融协会健全投诉处理机制,做好金融APP备案工作。只有消费者的监督才能促进金融APP真正做好安全、提高客户满意度,金融APP备案也将成为行业自律管理的有力抓手。
3Q:实名备案怎么做?
A:237号文明确由中国互联网金融协会负责客户端软件实名备案管理工作。互联网金融协会于12月3日组织23家试点金融机构、国家金融IC卡安全检测中心(银行卡检测中心)等单位召开启动会,正式启动了金融APP备案试点工作。
金融APP备案要向互联网金融协会提供基本材料,包括:机构信息(如“某银行”)、APP信息(如“显示名称”“版本”“包名称”等)、安全证明材料(如权威、独立第三方机构出具的检测认证报告)以及其他涉及APP内部管理、个人信息保护等相关制度。
金融APP需要在首次发布、信息发生变化、重大变更、服务停止或下架等节点按要求完成备案。其中,首次发布和重大变更均需进行外部安全评估,重大变更时可以仅针对变更内容进行差异化评估。
4Q:外部评估机构怎么选?
A:根据备案管理要求,应由具备相关资质的权威、独立第三方认证机构对要申请备案的金融APP进行检测认证。
2019年10月16日,市场监管总局联合人民银行发布《金融科技产品认证目录(之一批)》《金融科技产品认证规则》的公告,将客户端软件、TEE、SE、云计算平台等11类金融科技产品纳入“国推”认证体系。
国家金融IC卡安全检测中心(银行卡检测中心)作为金融行业的权威专业化检测机构,在支付技术产品检测领域拥有深厚积累与丰富经验,深度参与JR/T 0092、JR/T 0098.3、T/PCAC 0006等规范编写和修订,成为在之一批“国推”认证中拥有全项资质授权的检测机构。目前,中心已具备业内领先的金融APP检测服务能力,已获得以金融科技产品认证客户端软件测试、移动金融客户端安全测试、PCI PA-DSS、银联支付应用软件安全测试为代表的国内外金融APP检测资质8项,累计完成金融APP检测超过1030款,可为产业方提供权威、专业的金融APP检测服务。
5Q:风险监测机制怎么建?
A:237号文中提到,金融APP风险监测机制应通过技术手段实现对潜在仿冒、安全漏洞、权限滥用、敏感信息泄露等风险的全面感知,在不同机构之间进行风险信息共享,从而达到金融行业APP风险联防联控的目标。
国家金融IC卡安全检测中心(银行卡检测中心)在人民银行的指导下承建了移动金融风险监测平台,监测平台作为金融风险防控基础设施,与互联网金融协会的备案平台接口互通,为金融机构提供“一键式”接入服务和风险数据监测分析,助力金融机构高效构建风险监测机制。
6Q:金融APP安全怎么搞?
A:JR/T 0092-2019规范是金融APP的安全基准线。规范从APP安全要求、APP安全管理要求两个方面明确APP安全的基本要素,规定了APP应保护的敏感信息范围包括APP采集与处理的支付敏感信息、除支付敏感信息外的用户鉴别信息、可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及金融消费者用于金融产品服务的关键信息三类。
开发者和应用方应当按照相关要求进行APP的设计、开发、维护和发布,第三方评估机构和监管机构也将根据规范对APP安全性进行评估。
我国手机网民常常陷入两难选择,一方面,工作、生活已对各类APP形成严重依赖,另一方面,又担心个人信息被APP窃取,隐私无法得到保护。日前,工业和信息化部再度出手,向各有关单位发出《关于开展APP侵害用...
很多人出差或者因公消费都会遇到发票报销的问题。而发票开具不规范,即使你报销成功,以后税务局来单位查账,也会发现很多问题,造成不必要的麻烦,在这里,我们根据最新政策总结一下发票开具的规范操作:...
小编教你如何追踪别人的IP地址 (一)使用QQ显示IP的补丁程序 显IP补丁程序是由编程喜好者自发编写的,程序晋级速度几乎与QQ原版同步,腾讯公司每发布一个QQ新版本,显IP补丁程序也会很快问世。 Q...
内容转载自丨阿何有话说 撰文 | 阿何 1 大家应该有过类似的经历吧: 你租房的时候在中介那里留了电话,结果没过几天就开始遭受不同人的电话骚扰。卖房的,租房的,贷款的...
正在举行的北京市新型冠状病毒感染的肺炎疫情防控工作新闻发布会上,市发改委、市人力社保局、市金融局和市卫健委等有关单位发布最新防控信息。市卫生健康委新闻发言人高小俊介绍,北京市民服务热线从1月29日到2...
找先办后付的黑客QQ(真正的黑客联系方式 ),当前,每个领域的注册信息和支出账号都绑定了每片面的手机号。 用户在获得海量信息和生存便当的同时,也存在信息被泄漏的危害。 现在,网上公示发售百姓片面信...