JR∕T 0185-2020 商业银行应用程序接口安全管理规范.pdf-资料库

weixin_36746889-12275392-4744302542936181807.pdf-第1页.png

第1页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第2页.png

第2页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第3页.png

第3页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第4页.png

第4页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第5页.png

第5页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第6页.png

第6页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第7页.png

第7页 / 共24页

weixin_36746889-12275392-4744302542936181807.pdf-第8页.png

第8页 / 共24页

ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0185—2020 商业银行应用程序接口安全管理规范 Commercial bank application programming interface secure management specification 2020 - 02 - 13 发布 2020 - 02 - 13 实施中国人民银行发布

JR/T 0185—2020 目次前言 ................................................................................ II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 3 5 概述 ............................................................................... 3 6 接口类型与安全级别 ................................................................. 4 7 安全设计 ........................................................................... 5 8 安全部署 ........................................................................... 7 9 安全集成 ........................................................................... 9 10 安全运维 ......................................................................... 11 11 服务终止与系统下线 ............................................................... 13 12 安全管理 ......................................................................... 13 附录 A （规范性附录）商业银行应用程序接口关系示意 ................................... 15 附录 B （规范性附录）商业银行应用程序接口统一识别码编码规则 ......................... 16 参考文献 ............................................................................ 18 I

JR/T 0185—2020 前言本标准按照GB/T 1.1—2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（SAC/TC 180）归口。本标准起草单位：中国人民银行科技司、中国金融电子化公司、中国银联股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、上海浦东发展银行股份有限公司、中信银行股份有限公司、兴业银行股份有限公司、中国民生银行股份有限公司、中国光大银行股份有限公司、平安银行股份有限公司、广发银行股份有限公司、北京银行股份有限公司、徽商银行股份有限公司、山东省城市商业银行合作联盟有限公司、齐鲁银行股份有限公司、浙江网商银行股份有限公司、中信百信银行股份有限公司、山东省农村信用社联合社、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、中国外汇交易中心。本标准主要起草人：李伟、李兴锋、曲维民、程胜、郭栋、段力畑、郭晶莹、刘运、高强裔、陈聪、蒋慧科、姜城、孟宪哲、卓越、文韬、孙垚、孔鹏志、赵思琪、白帆、李培钊、李屹秦、何伟明、赵鹏、耿丽、刘会明、李言平、蒋向超、王建华、张培承、刘伟伟、胡琳珑、贾海明、云婧、刘书洪、陈淼、叶黎明、方绍全、谢振哲、丘佳成、江泓、沈天乐、全成、刘嘉文、王效飞、伏开佐、杜守伟、左敏、邓翔、丁芃、刘巍巍、涂鼎。 II

商业银行应用程序接口安全管理规范 JR/T 0185—2020 1 范围本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。本标准适用于商业银行对外互联的应用程序接口的设计和应用，以指导从事或参与商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方开展相关工作，并为第三方安全评估机构等单位开展安全检查与评估工作提供参考（接口类型关系详见附录A）。其他类型应用程序接口的设计和应用可参照本标准执行。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术术语 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0124—2014 金融机构编码规范 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 应用程序接口 application programming interface 一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现。 3.2 应用方 application agency 调用商业银行应用程序接口的机构。 3.3 应用程序接口唯一标识 application programming interface unique ID 由商业银行自行定义，用于区分商业银行应用程序接口功能的唯一标识。 3.4 应用程序接口统一识别码 uniform application programming interface ID 商业银行依据行业主管部门发布的编码规则，生成的商业银行应用程序接口统一识别码。注：用于标识商业银行机构代码、接口类型、服务类别、接口顺序号等内容。 1

JR/T 0185—2020 3.5 应用软件开发工具包 software development kit 基于特定软件包、软件框架、硬件平台、操作系统等建立应用程序时所使用的软件开发工具集合。 3.6 应用唯一标识 application unique ID 在应用方身份核验通过后，根据其调用的金融产品与服务类型，由商业银行为其授予的唯一标识。注：包括服务器端应用标识与移动终端应用软件标识两种。 3.7 应用鉴别密文 application secret 应用合法性鉴别凭证，与应用唯一标识配套使用，以验证通过 API 方式接入的应用合法性，接入验证通过后，即可完成系统对接，调用应用程序接口或使用应用程序接口提供的功能和数据。 3.8 移动金融客户端应用软件 financial mobile application software 在移动终端上为用户提供金融交易服务的应用软件。注：包括但不限于可执行文件、组件等。 3.9 个人金融信息 personal financial information 金融机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息。注1：包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应特定个人某些情况的信息。注2：改写 GB/T 35273—2017，定义 3.1。 3.10 支付敏感信息 payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。注：包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。 3.11 支付账号 payment account 具有金融交易功能的银行账户、非银行支付机构支付账户的编码及银行卡卡号。 [JR/T 0149—2016，定义 3.1] 3.12 明示同意 explicit consent 个人金融信息主体通过书面声明或主动做出肯定性动作，对其个人金融信息进行特定处理做出明确授权的行为。注：肯定性动作包括个人信息主体主动作出声明（电子或纸质形式）、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。 2

资料库

JR∕T 0185-2020 商业银行应用程序接口安全管理规范.pdf

相关推荐

安全技术

热门标签

最新资料