JR∕T 0231—2021 银行业第三方软件开发工具包(SDK)安全接入指南(金融)

ID

C22FA741304E402F9B711347B9D287EE

文件大小(MB)

0.58

页数:

16

文件格式:

pdf

日期:

2021-12-23

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

附件8,ICS 35.240.40,CCS A 11 JR,中华人民共和国金融行业标准,JR/T 0231—2021,银行第三方软件开发工具包(SDK)安全,接入指南,Guidelines for security access of importing third party software,development kit in bank,2021 - 07 - 22 发布2021 - 07 - 22 实施,中国人民银行发布,JR/T 0231—2021,I,目 次,前言.. II,引言 III,1 范围. 1,2 规范性引用文件..1,3 术语和定义. 1,4 缩略语 2,5 工具包分类. 2,6 总体原则.. 3,6.1 信息保护3,6.2 信息透明3,6.3 无主观恶意..4,6.4 全周期管理..4,7 第三方工具包设计安全..4,7.1 资源控制4,7.2 身份认证4,7.3 访问控制5,7.4 数据安全5,7.5 软件容错5,7.6 攻击防护6,7.7 安全审计6,7.8 个人信息收集.6,7.9 第三方工具包交付..7,附录A (资料性) 第三方工具包恶意行为. 8,附录B (资料性) 银行集成第三方软件开发工具包的安全指南.. 10,参考文献 12,JR/T 0231—2021,II,前 言,本文件按照GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定,起草,请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由中国银行业协会提出,本文件由全国金融标准化技术委员会(SAC/TC 180)归口,本文件起草单位:中国银行业协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中,国银行股份有限公司、兴业银行股份有限公司、北京银联金卡科技有限公司、北京梆梆安全科技有限公,司、北京奇虎科技有限公司、网神信息技术(北京)股份有限公司,本文件主要起草人:潘光伟、张芳、高峰、李宽、王阳、敦宏程、苏建明、刘涌、叶红、蒋家堂、,孟宪哲、金驰、戴心齐、马强、牟天宇、李亚敏、赵成刚、陈嘉、胡江海、谢振哲、高强裔、贝松涛、,郭显杰、林宝晶,JR/T 0231—2021,III,引 言,随着银行网上应用功能的日益丰富,软件开发工具包(SDK,software development kit)越来越多,地集成到了银行网络金融应用当中,在支持方便快捷开发的同时,也在金融信息安全等方面带来了一些,隐患和问题,银行应用系统中集成第三方软件开发工具包关系金融信息系统的稳定可靠,不安全的第三方软件开,发工具包引入银行应用系统可能带来用户信息泄露、资产窃取等风险,需要对银行引进第三方软件开发,工具包的过程进行约束,规范第三方软件开发工具包引进的安全性,促进第三方软件开发工具包在银行,各类应用中集成的安全、健康发展,JR/T 0231—2021,1,银行第三方软件开发工具包(SDK)安全接入指南,1 范围,本文件提供了第三方软件开发工具包(以下简称第三方工具包)引入的总体原则、工具包分类以及,安全技术指南,本文件适用于银行引入第三方软件开发工具包的安全技术参考,也供保险、证券等其他金融行业参,考,2 规范性引用文件,下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本,文件,GB/T 35273—2020 信息安全技术个人信息安全规范,GB/T 36328—2018 信息技术软件资产管理标识规范,JR/T 0068—2020 网上银行系统信息安全通用规范,JR/T 0171—2020 个人金融信息保护技术规范,3 术语和定义,JR/T 0068—2020和JR/T 0171—2020界定的以及下列术语和定义适用于本文件,3.1,软件开发工具包software development kit; SDK,基于特定软件包、软件框架、硬件平台、操作系统等建立应用软件时所使用的软件开发工具集合,3.2,宿主应用host application,引用工具包的应用,3.3,支付敏感信息payment sensitive information,影响网上银行安全的密码、密钥以及交易敏感数据,注:密码包括转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性,等的对称密钥、私钥等,交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2,[来源:JR/T 0068—2020,3.4],JR/T 0231—2021,2,3.4,个人金融信息personal financial information,金融机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息,注:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应特定个人某些情况,的信息,[来源:JR/T 0171—2020,3.2],4 缩略语,下列缩略语适用于本文件,CVN:安全验证码(Card Verification Number),CVN2:安全验证码2(Card Verification Number 2),DNS:域名服务器(Domain Name System),PIN:个人识别密码(Personal Identification Number),SSL:加密套接字协议层(Secure Socket Layer),TLS:安全传输层协议(Transport Layer Securi……

……