JR_T 0098.3-2012 中国金融移动支付 检测规范 第3部分_客户端软件
|
ID: |
6D0124E3BB444B7F8DBA67B02FB5B0EA |
|
文件大小(MB): |
0.96 |
|
页数: |
15 |
|
文件格式: |
|
|
日期: |
2024-8-14 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35. 240. 40,A 11 JR,中华人民共和国金融行业标准,JR/T 0098. 3—2012,中国金融移动支付检测规范,第3部分:客户端软件,China financial mobile payment-Test specifications-,Part 3: Client software,2012-12-12 发布2012-12-12 实施,中国人民银行发布,JR/T 0098. 3—2012,目 次,前言.. II,引言. TIT,范围1,2规范性引用文件. 1,3客户端软件系统架构 1,4基本检测项.. 1,5功能检测项.. 3,6性能检测项.. 5,7安全检测项.. 6,参考文献.11,I,JR/T 0098.3—2012,刖 B,《中国金融移动支付检测规范》标准由以下8部分构成:,— 第1部分:移动终端祚接触式接口:,— —第2部分:安全芯片:,— —第3部分:客户端软件:,— —第4部分:安全单元(SE)应用管理终端:,— —第5部分:安全单元(SE)嵌入式软件安全:,— 第6部分:业务系统:,— —第7部分:可信服务管理系统;,— —第8部分:个人信息保护<,本部分为该标准的第3部分,本部分按照GB" 1.1 -2009给出的规则起草°,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC180)归UC,本部分负责起草单位:中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司,本部分参加起草单位:北京银联金卡科技冇限公司(银行卡检测中心)、中金国盛认证中心、工业,和信息化部计算机与微电子发展研究中心(中国软件评测中心)、上海市信息安全测评认证中心、信息,产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集,成电路打限责任公司、上海复旦微电广股份オ限公司、东信和平智能卡股份冇限公司、大唐微电子技术,冇限公司、武汉天喻信息产业股份有限公司、恩智浦半导体冇限公司,本部分主要起草人:李晓枫、陆书春,潘涧红、杜宇、李兴锋、张雯华、刘カ慷、刘志刚、聂丽琴、,李晓、尚可、郭栋、熊文韬、宋铮、李宏达、王冠华、胡ー鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、,李微、陈吉、程恒,II,JR/T 0098. 3—2012,引 言,随者智能移动终端的普及和移动百联网相关产亜的快速发展,移动互联网应用对支付能力的需求变,得越来越迫切。客户端软件作为应用与支付结合的新兴产品,以其便捷的操作、良好的用户体验,成为,移动支付一个新的发展趋势,考虑到客户端软件运行平台的多样化,软件作为用户支付服务的窗口,选用安全可旅的客户端软件,是极其重要的。为确保移动支付业务的安全,在收集、分析和评估移动支付客户端软件风险的基础上.,标准的本部分从客户端软件的基本要求、功能、性能和安全四个方面提出对客户端软件的检测要求,III,JR/T 0098. 3—2012,中国金融移动支付 检测规范 第3部分:客户端软件,1范围,本部分规定了于支持支付业务(包括处理订单)的移动终端客戸端软件的检测要求,包括:移动终,端客户端程序、支付控件等。对于仅支持内容浏览等关联业务、不直接集成支付功能的应用软件的安全、,移动支付终端操作系统安全、SE的安全均不属于本部分的规定范用,本部分适用于移动支付客户端软件检测机构以及设计、开发、集成、维护、运营单位,2规范性引用文件,下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文,件。凡是不注日期的引用文件,其最新版本(包括所冇的修改单)适用于本文件c,JR/T0092-2012中国金融移动支付客户端技术规范,3客户端软件系统架构,见JR/TOO92 2012中第4章,4基本检测项,4. 1开发与维护,4.1.I 开发环境,检测目的:枪査开发环境是否具冇配套的维护机制.发现开发环境中可能存在的漏洞,检测流程:检杏开发环境工具淸单、 维护机制指引.并访谈、分析实际情况是否属实,通过标准:具有明确的开发环境工具清单和维护机制,未发现开发环境存在明显漏洞,4.1.2 编码漏洞,检测目的:检査编码是否遵守标准的开发流程和编码安全规范,是否配套单元测试,发现请求、响,应、存储.配置等功能中可能存在的漏洞.,检测流程:检査编码规范、关键源代码是否存在安全漏洞,通过标准:编码符合安全规范.未发现漏洞,4.1.3 安全补丁,检测冃的:检査客户端软件安全补丁的管理程序是否合理,检测流程:检査客户端软件安全补丁的管理程序' 更新记录,通过标准:应具备完整的安全补丁管理程序.安全补丁应通过充分的评估和测试.确保安装的补丁,不与现冇的安全配置相冲突,JR/T 0098. 3—2012,4. 1.4配置管理,检测目的:检査客户端软件配置的变更是否遵守变更控制规范,检测流程:检查变更控制规范(包括软件版本管理),抽样检査变更记录「,通过标准:具有变更控制规范,执行记录符合规范耍求,4.1.5 质量检测,检测目的:检査客户端软件质量检测是否具有规范的测试流程和完整的测试记录和报告,检测流程:检查测试流程规范、测试记录、测试报告,通过标准:测试流程规范,测试记录、测试报告完整,41.6发布管理,检测目的:检査是否具有规范的发布流程,在获取到许可后,根据许可来投产发布,检测流程:检查发布流程、发布记录,并访谈、分析情况是否属实”,通过标准:符合发布流程,发布前实施签名并获得许可,4. 2安装与卸载,4. 2.1下载获取,检测目的:检査是否提供安全可靠的客户端下载发布渠道,检测流程:根据指定渠道和路径……
……