TPCAC 0008-2020商業(yè)銀行應(yīng)用程序接口安全管理檢測規(guī)范

1ICS5.240.40團體標準TPCAC范estingspecificationoncommercialbankapplicationprogramminginterfaceremanagement中國支付清算協(xié)會發(fā)布2目錄前言 3 3商業(yè)銀行安全設(shè)計檢測 44商業(yè)銀行安全部署檢測 85商業(yè)銀行安全集成檢測 96商業(yè)銀行安全運維檢測 127商業(yè)銀行服務(wù)終止與系統(tǒng)下線檢測 158商業(yè)銀行安全管理檢測 169應(yīng)用方安全設(shè)計檢測 1810應(yīng)用方安全部署檢測 1911應(yīng)用方安全集成檢測 1912應(yīng)用方安全運維檢測 2213應(yīng)用方安全管理檢測 24TPCAC0203前言行股份有限公司、民生銀行股份商銀行股份有限公司、中國銀化發(fā)展中心、上海云從企業(yè)發(fā)展有限公司、航天中認軟件測評科技(北京)有限責(zé)任公司等單位。本規(guī)范主要起草人：陳波、馬國光、刑桂偉、于沛、何一江、陳旭東、薛宇、相海飛、姜城、卓越、、許劭華、李軍、孫明慧、石躍超等。4服引用文件用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語JRT金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引JRT—2014金融機構(gòu)編碼規(guī)范JRT—2020商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范安全設(shè)計檢測本要求。獲得具備資質(zhì)(國家密碼管理部門和行業(yè)主管部門授權(quán))的商用密碼認證機構(gòu)頒發(fā)的商否制定了安全編碼規(guī)范；成，并形成更新記錄；否得到妥善處置；包TPCAC0205管理部門和行業(yè)主管部門授權(quán))的商用密碼認證機構(gòu)頒發(fā)的商用密碼產(chǎn)品認證證書；全編碼規(guī)范；編碼規(guī)范要求；包時更新相關(guān)組件，具有更新記錄；用版本管理符合規(guī)程要求，具有變更記錄和說明；信安全設(shè)計口身份認證安全c)App_ID、公私鑰對；用戶認證安全檢查不同級別的用戶身份認證機制的有效性和安全性；6證機制；3.2.3接口交互安全(連通性)序接口及平臺設(shè)計具有連通有效性驗證機制，且實現(xiàn)和設(shè)計保持一致。3.2.4接口交互安全(數(shù)據(jù)完整性)。1)商業(yè)銀行應(yīng)用程序接口具有對交互數(shù)據(jù)的完整性保護機制，且安全有效；碼主管部門要求。3.2.5接口交互安全(個人金融信息保護)互過程中支付敏感信息(如取支付敏感信息明文；2)檢查商業(yè)銀行應(yīng)用程序接口相關(guān)設(shè)計方案對個人金融信息(如賬號、卡號、卡有效期、姓名、證件號碼、手機號碼等)在傳輸過程中的加密機制，包括但不限于使用集成在完整性保護措施；3)檢查商業(yè)銀行A2類只讀信息查詢(金融產(chǎn)品持有份額、用戶積分等)的連接方式，核(如加密)保證查詢信息的完整性與保密性。TPCAC0207安全和有效，無法獲取支付敏感信息明文；2)商業(yè)銀行應(yīng)用程序接口相關(guān)設(shè)計方案具有對個人金融信息(如賬號、卡號、卡有效期、姓名、證件號碼、手機號碼等)在傳輸過程中的加密機制，包括但不限于使用集成在等)具有防護措施(如加密)保護信息的完整性與保密性。安全設(shè)計授權(quán)管理需求對相應(yīng)接口權(quán)限進行授權(quán)管理機制據(jù)不同應(yīng)用方的服務(wù)需求對相應(yīng)接口權(quán)限進行授權(quán)管理機制和最小授攻擊防護銀行應(yīng)用程序接口服務(wù)是否具有攻擊防護能力。8安全監(jiān)控間戳、返回結(jié)果(成功或失敗)等信息。接口訪問日志記錄完整；時間戳、返回結(jié)果(成功或失敗)等信息。密鑰管理銀行的密鑰管理和本地配置文件是否符合要求。2)檢查商業(yè)銀行應(yīng)用程序接口相關(guān)代碼是否包含私鑰明文(或密文)；查看商業(yè)銀行本地宜分配不同的密鑰，且相互分離；2)商業(yè)銀行應(yīng)用程序接口相關(guān)代碼未包含私鑰明文(或密文)，相關(guān)本地配置文件未存儲AppSecret或私鑰；商業(yè)銀行安全部署檢測1接口服務(wù)層部署要求JRT署邏輯程序接口的安全部署。的網(wǎng)規(guī)則；等；JRT別的安全控制措施。TPCAC0209全防的防護規(guī)則。JRT安全控制措施。商業(yè)銀行安全集成檢測1應(yīng)用方核準1.1應(yīng)用方準入要求對1.2應(yīng)用方身份核驗接入安全控制.2.1身份認證a)檢查商業(yè)銀行是否為準入審核通過的應(yīng)用方配置唯一標識App_ID及與之相匹配的應(yīng)用鑒別密文App_Secret、數(shù)字證書(或公私鑰對)或應(yīng)用鑒別密文App_Secretb)檢查商業(yè)銀行是否對應(yīng)用唯一標識App_ID進行存儲與統(tǒng)一管理并根據(jù)應(yīng)用唯一標否對應(yīng)用方進行身份認證：——基于應(yīng)用唯一標識App_ID和應(yīng)用鑒別密文App_Secret對應(yīng)用方身份進——基于應(yīng)用唯一標識App_ID和數(shù)字證書對應(yīng)用方身份進行認證；——基于應(yīng)用唯一標識App_ID和應(yīng)用鑒別密文App_Secret、數(shù)字證書(或公私鑰對)的組合，對應(yīng)用方身份進行認證。c)對于A2類，檢查應(yīng)用方身份認證是否使用a)中第二條至第四條給出的任意d接時間進行限制(如設(shè)置接口會話或令牌有效期)。e)檢查商業(yè)銀行是否具備對商業(yè)銀行應(yīng)用程序接口主動斷開連接(如主動失效令牌)別密文App_Secret、數(shù)字證書(或公私鑰對)或應(yīng)用鑒別密文App_Secret與數(shù)字整b)商業(yè)銀行應(yīng)對應(yīng)用唯一標識App_ID進行了存儲與統(tǒng)一管理，并根據(jù)應(yīng)用唯一標識為：TPCAC020——基于應(yīng)用唯一標識App_ID和應(yīng)用鑒別密文App_Secret對應(yīng)用方身份——基于應(yīng)用唯一標識App_ID和數(shù)字證書對應(yīng)用方身份進行認證；——基于應(yīng)用唯一標識App_ID和應(yīng)用鑒別密文App_Secret、數(shù)字證書(或公私鑰對)的組合，對應(yīng)用方身份進行認證。b)對于A2類，應(yīng)用方身份認證應(yīng)使用a)中第二條至第四條給出的任意一種方c)商業(yè)行對商業(yè)銀行應(yīng)用程序接口連接時間進行限制(如設(shè)置接口會話或令牌有效期)，依據(jù)業(yè)務(wù)必須的最小時間設(shè)計有效期，避免長期有效連接。d)商業(yè)銀行具備對商業(yè)銀行應(yīng)用程序接口主動斷開連接(如主動失效令牌)的功能，5.2.2安全傳輸2)檢查對于A2類，是否采用數(shù)字簽名等手段保證商業(yè)銀行與應(yīng)用方之間數(shù)據(jù)傳輸?shù)耐暾?)檢查業(yè)銀行與應(yīng)用方之間數(shù)據(jù)傳輸是否采用SSL/TLS等安全通道連接進行通信及使C；.3運行安全3.1用戶身份認證方式的合理性和安全性，確認是否必須在應(yīng)用方輸入；并檢查商業(yè)銀行是否對應(yīng)用方上送的用戶相關(guān)信息進行核驗；用方輸入；用方上送的用戶相關(guān)信息進行核驗；話。3.2權(quán)限控制按應(yīng)用方、應(yīng)用唯一標識App_lD、接口、用戶等維度，依據(jù)最小授API調(diào)用有效期進行控制；4應(yīng)用方退出行安全運維檢測安全監(jiān)測運維監(jiān)測否納入商業(yè)銀行統(tǒng)一監(jiān)測平臺并重點監(jiān)測；服務(wù)狀態(tài)(耗時、交易量、成功率等參數(shù))、監(jiān)控記錄、報警方式和報檢查系統(tǒng)交易日志。TPCAC020監(jiān)測；的運行狀況、服務(wù)狀態(tài)(耗時、交易量、成功率等參數(shù))、監(jiān)控記錄、報警方期限不少于1年。異常監(jiān)測單控制能力情況；某種方式(如短信、郵件等)主動通知相關(guān)人員及時處置；4)檢查系統(tǒng)是否具備故障監(jiān)測、故障恢復(fù)和應(yīng)用方黑名單管理能力。等內(nèi)容符合要求；種方式主動通知相關(guān)人員及時處置；4)系統(tǒng)具備故障監(jiān)測、故障恢復(fù)和應(yīng)用方黑名單管理能力。險控制服務(wù)風(fēng)險控制2)檢查是否建立應(yīng)用方信息(如運營能力、風(fēng)控能力等)更新和復(fù)審機制；2)建立了應(yīng)用方信息(運營能力、風(fēng)控能力等)更新和復(fù)審機制；交易流程控制務(wù)等授權(quán)類服務(wù)以何種方式識別是否經(jīng)過用戶本人授權(quán)；人發(fā)起(或本人授權(quán)發(fā)起)，核實用戶本人意愿；過用戶本人發(fā)起(或本人授權(quán)發(fā)起)，并能夠核實用戶本人意愿；4)發(fā)生資金類交易等高風(fēng)險金融服務(wù)時，系統(tǒng)應(yīng)向用戶提示相關(guān)安全風(fēng)險。交易風(fēng)險監(jiān)控否通過應(yīng)用程序接口實現(xiàn)；方和用戶賬戶資金活動情況進行實時監(jiān)控；足行業(yè)監(jiān)管部門對反洗錢、反欺詐方面的相關(guān)要求；結(jié)果中的監(jiān)測記錄、2)應(yīng)采取相應(yīng)措施對應(yīng)用方和用戶賬戶資金活動情況進行實時監(jiān)控。3)查看資金交易相關(guān)處理方式，滿足行業(yè)監(jiān)管部門對反洗錢、反欺詐方面的相關(guān)要求。4)定期對監(jiān)控到的風(fēng)險交易和核查記錄進行分析、評審、發(fā)現(xiàn)異常行為，形成分析報告，分析并形成記錄。變更控制文檔和記錄；TPCAC020運維巡檢用程況進行檢查，并及時處理安全漏洞，有效控制安全風(fēng)險；事件處理。處置，是否及時處理生產(chǎn)事件，并協(xié)調(diào)應(yīng)用方配合事件調(diào)查；對措施；理符合要求，具備對應(yīng)處理記錄；調(diào)應(yīng)用方配合事件調(diào)查；的管理職責(zé)；施；范圍、協(xié)調(diào)應(yīng)用方配合事件調(diào)查。務(wù)終止與系統(tǒng)下線檢測申請；商業(yè)銀行是否與應(yīng)用方就服務(wù)終止后相關(guān)數(shù)據(jù)歸檔、數(shù)據(jù)刪除(或銷毀)、個人金戶告知義務(wù)；置擋板(如服務(wù)終止提示信息)，明示應(yīng)用方服務(wù)已終止；申請；銀行與應(yīng)用方就服務(wù)終止后相關(guān)數(shù)據(jù)歸檔、數(shù)據(jù)刪除(或銷毀)、個人金融信息保務(wù)；在相關(guān)服務(wù)確認終止之后執(zhí)行，在下線之前設(shè)置擋板(如服務(wù)終止提示信息)，明示應(yīng)用方服務(wù)已終止；關(guān)規(guī)定與規(guī)則執(zhí)行。行安全管理檢測管理制度周期的安全管理；，JRT的附錄B；時更新；業(yè)銀行是否建立覆蓋商業(yè)銀行應(yīng)用程序接口全生命周期的應(yīng)用安全管理制度與，保障商業(yè)銀行應(yīng)用程序接口效率及安全性；集成要求、集成示例，以及測試環(huán)境的使用等。周期的安全管理；序接口采用統(tǒng)一格式的識別碼，并在相關(guān)平臺進行注冊和登記；TPCAC020行建立了覆蓋商業(yè)銀行應(yīng)用程序接口全生命周期的應(yīng)用安全管理制度與控制措商業(yè)銀行應(yīng)用程序接口效率及安全性；及測試環(huán)境的使用等。應(yīng)用安全責(zé)任口為理由不履行明示同意等個人金融信息保護義務(wù)；個人信息收集方并非商業(yè)銀行，也與商業(yè)銀行服務(wù)無關(guān)；否明確商業(yè)銀行與應(yīng)用方的信息安全責(zé)任；或協(xié)議中是否明確應(yīng)用方不應(yīng)將通過商業(yè)銀行應(yīng)用程序接口獲得的金融服務(wù)包給其他第三方；方若出于自身服務(wù)需求收集金融消費者應(yīng)用程序接口為理由不履行明示同意等個人金融信息保護義務(wù)；方的合同或協(xié)議中明確了應(yīng)用方若出于自身服務(wù)需求收集金融消費者的合同或協(xié)議中明確了商業(yè)銀行與應(yīng)用方的信息安全責(zé)任；行與應(yīng)用方的合同或協(xié)議中明確了應(yīng)用方不應(yīng)將通過商業(yè)銀行應(yīng)用程序接口獲據(jù)以任何方式轉(zhuǎn)移、共享或分包給其他第三方；用戶信息保密責(zé)任。應(yīng)用審計業(yè)銀行是否具備安全審計能力。流水號、應(yīng)用唯一標識、接口唯一標識、調(diào)用耗時、時間戳、返回結(jié)果(成功或失敗)方上送報文(全部或部分信息)；用唯一標識、接口唯一標識、調(diào)用耗時、時間戳、返回結(jié)果(成功或失敗)等；文(全部或部分信息)；錄有完整性保護措施，能夠確保日志不被篡改、刪除、覆蓋。應(yīng)用方安全設(shè)計檢測1接口安全設(shè)計6.1.1接口交互安全(個人金融信息保護)用方的個人金融信息保護是否滿足要求。1)檢查應(yīng)用方對于商業(yè)銀行A2類只讀信息查詢(如金融產(chǎn)品持有份額、用戶積分等)結(jié)1)應(yīng)用方對于商業(yè)銀行A2類只讀信息查詢(如金融產(chǎn)品持有份額、用戶積分等)結(jié)果未6.1.2接口交互安全(支付敏感信息保護)用方的支付敏感信息保護是否滿足要求。息的臨時文件或內(nèi)存數(shù)據(jù)應(yīng)具有及時清2服務(wù)安全設(shè)計6.2.1安全監(jiān)控方日志是否滿足安全監(jiān)控要求。錄支付賬號(或其等效信息)；除此外個人金融信息是否在應(yīng)用方日志中進行記錄。錄支付賬號(或其等效信息)；除此之外應(yīng)用方日志不應(yīng)記錄個人金融信息。.2.2密鑰管理方的密鑰管理和本地配置文件是否符合要求。TPCAC0201)應(yīng)用方本地配置文件中未存儲商業(yè)銀行應(yīng)用程序接口的App_Secret或私鑰。JRT邏輯結(jié)應(yīng)用程序接口的安全部署。方互聯(lián)網(wǎng)接入安全防護設(shè)備之后的邏輯隔離區(qū)域；護的防護規(guī)則；安全防護設(shè)備之后的邏輯隔離區(qū)域；提交必要的身份核驗資料，C3)檢查商業(yè)銀行與應(yīng)用方之間數(shù)據(jù)傳輸是否采用SSL/TLS等安全通道連接進行通信及C；STLS存相應(yīng)包含授權(quán)有效期。a付敏感信息；TPCAC020的恢復(fù)措施(或停止執(zhí)行請求)。2)數(shù)據(jù)機密性保護：a用戶個人金融信息或支付敏感信息；完整性，支付敏感信息與身份鑒別信息不應(yīng)在應(yīng)用方留存；商業(yè)銀行約定的方式刪除(或銷毀)通過商業(yè)銀行應(yīng)用程序接口獲取的商業(yè)銀行及主管反洗錢、反欺詐等義務(wù)。應(yīng)要求，進行了安全設(shè)計、安全建設(shè)和安全保護；提用戶手冊和安全規(guī)范進行了集成；應(yīng)設(shè)計、安全建設(shè)和安全保護；戶了集成；4)應(yīng)通過有效的技術(shù)手段和管理措施防止接口濫用。密SDK程序救措施并及時