ICS 35.240.40
A 11
JR
中 华 人 民 共 和 国 金 融 行 业 标 准
JR/T 0185—2020
商业银行应用程序接口安全管理规范
Commercial bank application programming interface secure management
specification
2020 - 02 - 13 发布
2020 - 02 - 13 实施
中 国 人 民 银 行 发 布
JR/T 0185—2020
目 次
前言 ................................................................................ II
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 缩略语 ............................................................................. 3
5 概述 ............................................................................... 3
6 接口类型与安全级别 ................................................................. 4
7 安全设计 ........................................................................... 5
8 安全部署 ........................................................................... 7
9 安全集成 ........................................................................... 9
10 安全运维 ......................................................................... 11
11 服务终止与系统下线 ............................................................... 13
12 安全管理 ......................................................................... 13
附录 A (规范性附录) 商业银行应用程序接口关系示意 ................................... 15
附录 B (规范性附录) 商业银行应用程序接口统一识别码编码规则 ......................... 16
参考文献 ............................................................................ 18
I
JR/T 0185—2020
前 言
本标准按照GB/T 1.1—2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准起草单位:中国人民银行科技司、中国金融电子化公司、中国银联股份有限公司、中国工商
银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、
中国邮政储蓄银行股份有限公司、招商银行股份有限公司、上海浦东发展银行股份有限公司、中信银行
股份有限公司、兴业银行股份有限公司、中国民生银行股份有限公司、中国光大银行股份有限公司、平
安银行股份有限公司、广发银行股份有限公司、北京银行股份有限公司、徽商银行股份有限公司、山东
省城市商业银行合作联盟有限公司、齐鲁银行股份有限公司、浙江网商银行股份有限公司、中信百信银
行股份有限公司、山东省农村信用社联合社、北京中金国盛认证有限公司、北京银联金卡科技有限公司、
中金金融认证中心有限公司、中国外汇交易中心。
本标准主要起草人:李伟、李兴锋、曲维民、程胜、郭栋、段力畑、郭晶莹、刘运、高强裔、陈聪、
蒋慧科、姜城、孟宪哲、卓越、文韬、孙垚、孔鹏志、赵思琪、白帆、李培钊、李屹秦、何伟明、赵鹏、
耿丽、刘会明、李言平、蒋向超、王建华、张培承、刘伟伟、胡琳珑、贾海明、云婧、刘书洪、陈淼、
叶黎明、方绍全、谢振哲、丘佳成、江泓、沈天乐、全成、刘嘉文、王效飞、伏开佐、杜守伟、左敏、
邓翔、丁芃、刘巍巍、涂鼎。
II
商业银行应用程序接口安全管理规范
JR/T 0185—2020
1 范围
本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运
维、服务终止与系统下线、安全管理等安全技术与安全保障要求。
本标准适用于商业银行对外互联的应用程序接口的设计和应用,以指导从事或参与商业银行应用程
序接口服务的银行业金融机构、集成接口服务的应用方开展相关工作,并为第三方安全评估机构等单位
开展安全检查与评估工作提供参考(接口类型关系详见附录A)。其他类型应用程序接口的设计和应用
可参照本标准执行。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
JR/T 0071 金融行业信息系统信息安全等级保护实施指引
JR/T 0124—2014 金融机构编码规范
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
应用程序接口 application programming interface
一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注
服务的设计与实现。
3.2
应用方 application agency
调用商业银行应用程序接口的机构。
3.3
应用程序接口唯一标识 application programming interface unique ID
由商业银行自行定义,用于区分商业银行应用程序接口功能的唯一标识。
3.4
应用程序接口统一识别码 uniform application programming interface ID
商业银行依据行业主管部门发布的编码规则,生成的商业银行应用程序接口统一识别码。
注:用于标识商业银行机构代码、接口类型、服务类别、接口顺序号等内容。
1
JR/T 0185—2020
3.5
应用软件开发工具包 software development kit
基于特定软件包、软件框架、硬件平台、操作系统等建立应用程序时所使用的软件开发工具集合。
3.6
应用唯一标识 application unique ID
在应用方身份核验通过后,根据其调用的金融产品与服务类型,由商业银行为其授予的唯一标识。
注:包括服务器端应用标识与移动终端应用软件标识两种。
3.7
应用鉴别密文 application secret
应用合法性鉴别凭证,与应用唯一标识配套使用,以验证通过 API 方式接入的应用合法性,接入验
证通过后,即可完成系统对接,调用应用程序接口或使用应用程序接口提供的功能和数据。
3.8
移动金融客户端应用软件 financial mobile application software
在移动终端上为用户提供金融交易服务的应用软件。
注:包括但不限于可执行文件、组件等。
3.9
个人金融信息 personal financial information
金融机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息。
注1:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应特定个人某些情
况的信息。
注2:改写 GB/T 35273—2017,定义 3.1。
3.10
支付敏感信息 payment sensitive information
支付信息中涉及支付主体隐私和身份识别的重要信息。
注:包括但不限于银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等。
3.11
支付账号 payment account
具有金融交易功能的银行账户、非银行支付机构支付账户的编码及银行卡卡号。
[JR/T 0149—2016,定义 3.1]
3.12
明示同意 explicit consent
个人金融信息主体通过书面声明或主动做出肯定性动作,对其个人金融信息进行特定处理做出明确
授权的行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发
送”“拨打”等。
2