身处移动互联、万物互联的时代,金融服务顺应潮流,不断推进数字化、移动化、场景化转型。应用程序接口(API)成为银行拓展服务边界的重要抓手,第三方合作伙伴可以通过API调取金融服务。
因此,经由API的延展,银行数字金融的安全边界逐渐由独立的局域网络扩展到开放的公共网络,加强商业银行API的安全管理势在必行。
PART/1监管政策速览
2020年2月,中国人民银行发布《JR/T0185-2020 商业银行应用程序接口安全管理规范》,对商业银行应用程序接口的设计、部署、集成、运维等全生命周期过程提出了安全技术与安全管理要求。
2022年1月,中国人民银行、国家市场监督管理总局发布《金融科技产品认证目录(第二批)》 ,将商业银行应用程序接口列入目录,纳入国家统一推行的认证体系。
PART/2提升安全,可以这样做
银行可委托专业检测机构按照《JR/T0185-2020 商业银行应用程序接口安全管理规范》进行安全测评,并获取全方位的安全建议和指导,提升API整体安全。
2022年12月,中国金融认证中心(CFCA)通过《金融科技产品认证目录(第二批)》检测机构能力核查,成为国内首批具备商业银行应用程序接口检测资质单位之一。
CFCA商业银行应用程序接口检测,依据《JR/T0185-2020 商业银行应用程序接口安全管理规范》和《T/PCAC 0008-2020 商业银行应用程序接口安全管理检测规范》的要求,分别从:接口类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止及系统下线、安全管理等七个方面建立检测项,客观、公正评估商业银行API的标准符合性和系统安全性。
商业银行应用程序接口安全管理检测测评项覆盖情况
商业银行应用程序接口安全管理检测框架
同时,CFCA根据各个商业银行API的特点提出针对性安全建议,帮助商业银行全方位提升API安全水平。目前,CFCA已与多家商业银行开展合作交流,助其完善并提高API安全性,获得行方一致好评。
作为我国重要的信息安全基础设施,CFCA立足金融行业,深悉商业银行应用程序接口安全之重,愿与银行机构精诚合作,共同守护金融服务安全阵线。
免责声明
本文转载自网络平台,发布此文仅为传递信息,本文观点不代表本站立场,版权归原作者所有;不代表赞同其观点,不对内容真实性负责,仅供用户参考之用,不构成任何投资、使用等行为的建议。请读者使用之前核实真实性,以及可能存在的风险,任何后果均由读者自行承担。
本网站提供的草稿箱预览链接仅用于内容创作者内部测试及协作沟通,不构成正式发布内容。预览链接包含的图文、数据等内容均为未定稿版本,可能存在错误、遗漏或临时性修改,用户不得将其作为决策依据或对外传播。
因预览链接内容不准确、失效或第三方不当使用导致的直接或间接损失(包括但不限于数据错误、商业风险、法律纠纷等),本网站不承担赔偿责任。用户通过预览链接访问第三方资源(如嵌入的图片、外链等),需自行承担相关风险,本网站不对其安全性、合法性负责。
禁止将预览链接用于商业推广、侵权传播或违反公序良俗的行为,违者需自行承担法律责任。如发现预览链接内容涉及侵权或违规,用户应立即停止使用并通过网站指定渠道提交删除请求。
本声明受中华人民共和国法律管辖,争议解决以本网站所在地法院为管辖法院。本网站保留修改免责声明的权利,修改后的声明将同步更新至预览链接页面,用户继续使用即视为接受新条款。
