为贯彻落实“网络安全法”加强移动金融客户端应用软件安全管理,中国人民银行印发了《移动金融客户端应用软件安全管理规范》,明确提出移动金融安全管理实施要求,要求金融机构和中互金协会要加强客户端软件行业自律管理,做好备案、认证、风险监测等工作。
12月3日,中国互联网金融协会依照人行【237号文】,在京召开了金融业移动金融客户端应用软件备案管理工作试点启动会议,会议明确,各试点机构应于2019年底前完成首批试点备案APP的材料提交和备案申请。下一步,协会将会在全国范围内分批次组织开展APP备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
备案流程:
1.依托备案管理系统开展全线上的资料上传和审核;
2.备案分为机构基本信息登记、APP信息登记和APP软件上传三部分系统所有项目均需填写;
3.试点期间各试点单位至少提交1款有代表性的资金交易类或个人信息采集类APP进行备案。
测评认证:
安全性审核认证:客户端软件安全评估、审核(依据《移动金融客户端应用软件安全管理规范》,JR/T0092-2019)。
用户个人信息合规审核认证:客户端软件合法合理使用用户个人信息评估、审核(依据四部委APP违法违规收集使用个人信息专项治理行动,《APP违法违规收集使用个人信息自评估指南》,APP违法违规收集使用个人信息行为认定方法等文件。
持续监督:
以备案应用为金融客户端软件基础清单,同时从APP公开发布渠道获取已发布的金融客户端软件,作为监督样本,将监督样本进行合规评估,并与备案金融客户端信息做比对,从而监督未备案应用及未达到安全合规标准的应用。
合规服务:
爱加密移动金融合规服务方案,通过协助备案、预测评并进行整改指导,从而实现金融移动应用安全的合法合规。
安全检测:
通过动态检测和静态检测相结合的方式,对金融移动应用基本信息、通讯传输风险、数据存储风险、源文件安全、组件风险、内容风险等内容进行检测,并针对每个安全监测项提供风险名称、风险等级、威胁描述、检测结果、结果描述、出现次数、检测详情、解决方案等信息。
通过爱加密移动应用安全检测平台,可对金融APP资产进行深度排查。平台提供深度一体化的安全评测、垂直行业的合规检测、内容违法检测服务,并出具专业的检测报告,支持Android应用自动化分析和iOS应用自动检测。有效地发现应用中的主流安全问题,并对问题进行快速发现及修复,同时可为金融移动应用开发商提供专业的安全加固数据依据。
渗透测试:
渗透技术工程师模拟黑客的方式对Android、iOS分别从程序/代码安全、数据安全、网络通信安全、安全漏洞分析、数据储存和隐私安全、认证安全、常见接口层安全等方面进行漏洞检测。
个人信息安全检测:
平台可针对个人信息安全合规问题,对移动应用提供多维度的验证,包括权限获取、权限分析、疑似违规分析、第三方SDK合规分析等,提供硬件级“手机沙箱仿真系统”,实现恶意代码应用“真实”运行分析。沙箱内核跟踪、识别、记录恶意代码的行为活动,检查数据传输过程中传输的个人敏感信息,提供可切实执行的整改建议,并出具专业的个人