人行办公厅于2018年8月15号印发了146号文《关于开展支付安全风险专向排查工作的通知》称为进一步加强支付领域网络与信息安全管理,有效防范支付风险,切实保障消费者合法权益,人民银行决定开展支付安全风险专项排查工作。146号文中提到需要对金融支付机构的APP进行全面的检测,检测项多达182项,要求各机构10月底前报送APP清单,2018年11月至12月进行自查,后续人行会进行抽样检测。
文件下发后,专业的移动信息安全服务商爱加密迅速组织相关人员研究文件内容,学习文件精神,深刻了解本次检查的必要性和对支付安全的深远意义。爱加密希望在此次核查中为各机构提供优质的产品和服务,协助各机构提升自身支付安全达到排查标准。
可以看出人民银行146号文中的排查项是2015年以来在支付安全风险检查文件中高度概括的一份。排查项大多来自于之前的政策文件,如在之前的170号文中对支付敏感信息的安全防护、客户端软件的安全管理都早已提出要求。此次再对这些内容进行检查,彰显了人行对于此类安全问题的重视程度,以及把人民财产安全放在首位,不希望每一位中国公民蒙受损失的美好愿景。
下面就来看一下文件内容:
检查对象
机构范围:商业银行、非银行支付机构、清算机构。
客户端应用软件范围:涵盖从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件。
系统范围:涵盖从业机构支付业务相关系统,包括但不限于行业银行的各种系统。
时间要求
从业机构自查整改
1. 2018年9月30日之前,从业机构向人民银行报送《客户端应用软件明细表》。
2. 从业机构严格对照《支付安全风险专项排查列表》进行自查,发现问题及时整改并建立问题清单管控和动态跟踪机制。
3. 对短期无法完成整改的问题,要采取补偿措施,明确整改计划和方案,按期整改,2018年10月31日前,形成自查报告报送人民银行。
人民银行核实
1. 2018年11月至12月开展全面核查工作和抽样检测工作。
2. 全面核查:人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。
3. 抽样检测:人民银行依据《客户端应用软件明细表》,开展客户端应用软件抽样检测工作。
排查内容
此次检查182项,共3个大类、29个子类,包含客户端应用软件安全、支付系统安全管理、支付交易安全管理等多个方面。其中客户端应用软件安全包括:身份验证信息管理、客户端数据录入安全、客户端数据传输安全、客户端应用软件自身安全。支付系统安全管理包括物理安全、网络安全、主机安全、应用安全、数据安全、业务连续性等方面。支付交易安全包括“交易安全基本要求、银行卡受理终端安全管理、银行卡交易安全、条码支付交易安全、线上交易业务开通身份认证安全管理、支付交易安全强度、交易验证与确认、交易过程安全、基于大数据技术的风险防控及2、3类银行的多种管理要求等。
爱加密助力各机构满足合规要求
爱加密作为专业的移动信息安全服务商对应146号文件中的排查项充分理解分析,结合自身服务及产品能力为银行及支付机构提供完整的解决方案。通过安全咨询、安全评估等服务,协助排查定位风险,并给出专业的咨询方案,最终落地到安全产品。爱加密可提供以下产品和服务,助力各机构满足合规要求。
移动应用安全加固系统(对应第1条、第2条、第13条、第14条、第18条):针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,通过行业领先的六代加固技术,爱加密为用户提供全面的移动应用加固加密技术和攻击防范服务。通过爱加密安全加固系统可以满足此次排查中对于身份认证、客户端应用软件自身安全的要求。
移动应用安全检测系统(对应第24条):移动应用安全检测平台是针对移动应用行业可能出现的安全风险推出的专业移动应用安全检测平台,该平台将为移动应用APP提供多方位全面体检,并为移动应用开发商提供专业的安全加固数据依据。协助对移动应用漏洞、硬编码、权限等问题进行检查,提供详细的修复建议及技术支持。
爱加密安全键盘(第6条、第7条):爱加密安全键盘SDK支持Android/iOS/H5等平台。可以有效解决发文中对于客户端数据录入安全的要求。主要有以下功能和特点:无明文显示、通讯数据加密、数字字母支持混排。
爱加密通讯协议加密SDK(第8条、第9条):爱加密通过集成协议加密SDK的技术,实现数据传输及通讯协议加密保护,保护App与服务器间的通信安全,保障通讯过程中的数据安全和接口安全。
InfoBeat智能数据平台(第15条、第16条、支付交易安全整个大类):以数据驱动为核心,实现无限数据接入、无限数据分析、有效数据应用。通过丰富的分析模型,根据实际业务需求,形成有价值的可视化报表。并运用无监督机器学习,对大量数据进行训练、建模、预测,实现持续智能运营。可以有效的发现发文中关于环境威胁、病毒木马的感知,并对支付交易的安全做到实时感知,为风控策略提供基础。
安全服务(渗透测试、安全咨询、安全评估、源代码审计等):对于此次发文中的要求,爱加密可以通过安全咨询、安全评估等方式为广大机构提供安全服务,出具相关评估报告,提供咨询服务。帮助用户建立安全规范、达到合规标准并配合用户完成此次核查工作。