《T_HBPFS 001-2023 网上银行应用标准.docx》由会员分享,可在线阅读,更多相关《T_HBPFS 001-2023 网上银行应用标准.docx(27页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICS03.060CCSA11团体标准T/HBPFS001-2023网上银行应用标准OnlineBankingClientApplicationEnterpriseStandard2023-12-26发布2023-12-31实施河北省金融学会发布T/HBPFS001-2023目次前言.21、范围.32、规范性引用文件.33、术语和定义.34、网上银行客户端管理规范.45、安全规范.56、兼容性及性能要求.177、业务运营安全规范.188、服务行为规范.229、客户培训及权益保护.2310、组织保障.241T/HBPFS001-2023前言本文件按照GB/T1.1-2020标准化工作导则第1部分
2、:标准化文件的结构和起草规则的规定起草。本文件由中国人民银行保定市分行和保定银行股份有限公司提出。本文件由河北省金融学会归口。本文件起草单位:中国人民银行保定市分行保定银行股份有限公司秦皇岛银行股份有限公司衡水银行股份有限公司北京科蓝软件系统股份有限公司本文件的主要起草人:吴强林振英杨钊孙莉陈桂兰王林芳王震刘继勇王钊郭丰灶王亚萱项海南尹子平张保新2T/HBPFS001-2023网上银行应用标准1、范围本文件规定了网上银行客户端应用标准,明确了安全性、规范性、技术先进性、创新及前瞻性的规范要求。本文件适用于网上银行客户端应用。2、规范性引用文件下列文件对于本服务标准的应用是必不可少的。凡是注日期
3、的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32315-2015银行业客户服务中心基本要求GB/T35273-2020信息安全技术个人信息安全规范JR/T0171-2020个人金融信息保护技术规范JR/T0068-2020网上银行系统信息安全通用规范JR/T0071-2020金融行业网络安全等级保护实施指引JR/T0118-2015金融电子认证规范3、术语和定义3.1网上银行OnlineBanking网上银行是传统银行业务系统的扩充和延伸。商业银行通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供
4、的网上金融服务。3.2个人网银personalinternetbanking商业银行等银行业面向个人用户提供的网上金融服务。3.3企业网银corporateinternetbanking商业银行等银行业面向企事业单位和其他组织提供的网上金融服务。3.4网上银行客户端OnlineBankingClient通过电脑端为用户提供金融交易服务的应用软件。3.5网上银行数字证书DigitalCertificateofOnlineBanking网上银行数字证书是指由中国金融认证中心发放,包含了证书持有人身份信息以及3T/HBPFS001-2023公开密钥等相关信息,用于证实客户身份、保证网上信息安全,且能
5、确认持有人唯一身份的电子文件。3.6短信验证码SMScode后台系统以手机短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。3.7个人金融信息personalfinancialinformation金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注:包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。3.8支付敏感信息paymentsensitiveinformation影响网上银行安全的密码、密钥以及交易敏感数据等。注:密码包括但不限于交易密码、查询密码、登录密码、证书的PIN等,密钥包括但不限
6、于用于确保通讯安全、报文完整性等的对称密钥、私钥等,交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。4、网上银行客户端管理规范4.1网上银行客户端设计网上银行客户端软件设计过程中应遵守以下规则:a)客户端应用软件设计应遵循安全、可靠、易用、可维护和可扩展等原则,制定用于指导客户端应用软件设计与开发的总体方案。b)客户端应用软件应提供易用、风格统一、体验良好的用户界面。c)客户端应用软件应遵循合法、正当、必要的原则,不收集与所提供服务无关的个人金融信息。d)客户端应用软件收集个人金融信息或用户授权等操作前,要以通俗易懂、简单明了的方式展示个人金融信息收集使用规则,并经个人金融信
7、息主体自主选择同意。e)客户端应用软件不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反与用户的约定收集使用个人金融信息。f)客户端应用软件设计在遵循易用性原则的基础上,应采用人工智能技术。g)客户端应用软件应提供访问、更正个人金融信息,以及授权撤销、账户注销等功能。4T/HBPFS001-20234.2客户端开发网上银行客户端软件开发过程中应遵守以下规则:a)客户端应用软件开发过程中应遵守严格的开发流程、项目管理流程和编码安全规范,进行完整的测试,避免在请求、响应、存储、配置等功能中存在漏洞。b)客户端应用软件开发过程中应建立并维护开发文档。c)客户端应用软件开发完成后,应同步完
8、成产品手册、用户手册或提供在线帮助说明功能。d)客户端应用软件的每次重要更新、升级,都必须经过严格归档、源代码扫描、发布审核等步骤。4.3客户端发布网上银行客户端软件发布过程中应遵守以下规则:a)客户端应用软件应有规范的上线发布流程,由应用软件的所有方对应用软件进行签名和保护,标识应用软件的来源和发布者,提供安全可靠的应用软件下载、发布、升级渠道。b)客户端应用软件应当删除调试或测试中存留的敏感数据。c)客户端应用软件安装过程中,应拥有独立的安装目录,唯一的应用标识符,明确的版本序号,不得篡改、覆盖、删除系统文件和其他软件。d)客户端应用软件有新版本时,不能未经用户允许自动安装新版本。e)若客
9、户端应用软件支持动态模块更新,应使用加密信道与服务端通信传输更新模块或对更新模块进行签名校验;动态模块更新后不得影响用户使用,不得修改用户已有的安全配置。4.4客户端运维网上银行客户端软件运行及维护过程中应遵守以下规则:a)应制定科学、合理的管理策略和执行制度,指导各类角色的工作协同、实施步骤、质量管控、安全检测等,规范日常运维流程。b)客户端应用软件应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存在安全隐患时,应及时进行修复更新。c)以SDK等形式对外提供金融交易类服务时,应记录SDK信息及引用本SDK的外部应用软件信息。5、安全规范网上银行客户端软件的开发、设计、运
10、维、身份认证安全、逻辑安全、安全功能设计、密码算法以及密钥管理、数据安全、个人金融信息保护等均应符合JR/T009220195T/HBPFS001-2023网上银行客户端应用软件安全管理规范、JR/T01712020个人金融信息保护技术规范规定。5.1安全技术规范5.1.1客户端程序安全a)客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK存在的安全风险,应对开发框架和技术路线进行严格的论证,必要时应进行选型安全测试。b)客户端程序应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存在重大安全隐患时,提示并强制要求用户更新客户端。c)客户端程序的每次更新、升级
11、,应进行源代码审计、渗透测试、安全活动审查和严格归档,以保证客户端程序不存在隐藏的非法功能和后门。d)应采用安全的方式对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载的客户端程序来源于所信任的机构。e)客户端程序在启动和更新时应进行真实性、完整性校验(例如,联机动态校验等),防范客户端程序被篡改或替换。f)客户端程序应采取代码混淆、加壳等安全机制,防止客户端程序被逆向分析,确保客户端的敏感逻辑及数据的机密性、完整性。g)客户端程序应保证自身的安全性,避免代码注入、缓冲区溢出、非法提权等漏洞。h)客户端程序应采取进程保护措施,防止非法程序获取该进程的访问权限,扫描内存中的敏感数
12、据或替换客户端页面等。i)客户端程序应对关键界面采用反录屏等技术,防范非法程序通过拷屏等方式获取支付敏感信息。j)客户端程序应提供客户输入支付敏感信息的即时防护功能,并对内存中的支付敏感信息进行保护,例如,采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。k)客户端软件不应以任何形式在本地存储用户的支付敏感信息,存储位置包括但不限于Cookies、本地临时文件和移动数据库文件等。l)客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。m)客户端程序应采取措施对密码复杂度进行校验,保证用户设置的密码达到一定的强度。n)客户端程序密码框应禁止明文显示密码,应使用同一特殊字符(例如,*或)代
13、替。o)客户端程序登录后在一段时间内无任何操作,应自动登出,重新登录才能继续使用。客户端程序无操作退出默认设为15分钟,用户可自主设置时间,上限时间不超过默认值。6T/HBPFS001-2023p)客户端程序应配合服务器端采取有效措施,对登录请求、服务请求以及数据库查询等资源消耗较高行为的频率进行合理限制。q)客户端程序具备二维码生成、展示功能,应用于网银登录环节,符合条码支付安全技术规范(试行)(银办发2017242号文印发)要求。r)客户端程序应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。s)客户端程序应支持通过IPv6连接访问网络服务,在IPv4/IPv6双栈支持
14、的情况下,优先采用IPv6连接访问。t)客户端应保留最少的客户信息,并限制数据存储量和保留时间。u)客户端程序退出时,应清除暂存的客户敏感信息以及非业务功能运行所必须留存的业务数据,保证客户信息的安全性。v)应采取渠道监控等措施对仿冒客户端程序进行监测。5.1.2客户端环境a)应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。b)应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风险控制措施。c)应在门户站点等渠道发布客户端环境安全的提示。d)当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交易。5.1.3智能密码钥
15、匙本标准所涉及的智能密码钥匙包含目前网上银行系统普遍应用的USBKey、蓝牙Key。基本要求:a)应使用经国家或行业主管部门认可的第三方专业测评机构检测通过的智能密码钥匙。b)应在安全环境下完成智能密码钥匙的个人化过程。c)智能密码钥匙应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在智能密码钥匙内进行。d)智能密码钥匙的主文件(MasterFile)应受到COS安全机制保护,防止非授权的删除和重建。e)密钥文件在启用期应封闭。7T/HBPFS001-2023f)应保证私钥在生成、存储和使用等阶段的安全:签名私钥应在智能密码钥匙内部生成,不得固化密钥对和用于生成密钥对的素数。应保
16、证私钥的唯一性。禁止以任何形式从智能密码钥匙读取私钥或写入签名私钥。私钥文件应与普通文件类型不同,应与密钥文件类型相同或类似。在每次执行签名等敏感操作前,均应首先进行认证。智能密码钥匙在执行签名等敏感操作时,应具备操作提示功能,包括但不限于声音、指示灯、屏幕显示等形式。智能密码钥匙内部产生的私钥,不再需要时应及时销毁。g)签名交易完成后,状态机应立即复位。h)应保证PIN码和密钥的安全:PIN码应具有复杂度要求:密码应支持6-16位字母、数字、包括空格在内的特殊字符。采用安全的方式存储和访问PIN码、密钥等支付敏感信息。PIN码和密钥(除公钥外)不能以任何形式输出。经客户端输入进行验证的PIN
17、码在其传输到智能密码钥匙的过程中进行加密,并保证在传输过程中能够防范重放攻击。PIN码连续验证失败次数达到上限(不超过6次)时,智能密码钥匙应主动锁定。同一型号智能密码钥匙在不同银行的网上银行系统中应用时,应使用不同的根密钥,且智能密码钥匙中的对称算法密钥应使用根密钥进行分散。i)智能密码钥匙使用的密码算法应符合国家密码主管部门的要求,内置硬件随机数发生器,能产生真随机数,并符合国际FIP140-2标准。j)智能密码钥匙中不含隐藏的非法功能和后门指令。k)智能密码钥匙加密芯片应具备抵抗旁路攻击的能力,包括但不限于:抗SPA/DPA攻击能力。抗SEMA/DEMA攻击能力。l)在外部环境发生变化时
18、,智能密码钥匙不应泄露支付敏感信息或造成安全风险。外部环境的变化包含但不限于:高低温。高低电压。强光干扰。电磁干扰。紫外线干扰。静电干扰。电压毛刺干扰。8T/HBPFS001-2023m)应设计安全机制保证智能密码钥匙驱动程序的安全,防范被劫持、篡改或替换。n)应采取有效措施防范智能密码钥匙被远程挟持带来的风险,例如,采用具备客户主动确认功能的智能密码钥匙或通过可靠的第二通信渠道要求客户确认交易信息等。o)如智能密码钥匙不具备确认功能,则连接到终端设备一段时间内无任何操作后应自动关闭,应重新连接才能继续使用,以降低远程挟持的风险。p)具有屏幕显示、语音提示、按键确认等提示确认功能的智能密码钥匙
19、,应符合下列要求:应对交易指令的完整性进行校验、对交易指令的合法性进行鉴别、对关键交易数据进行输入、确认和保护,应采取有效措施防止确认环节被绕过。应能够自动识别待签名数据的格式,识别后在屏幕上显示或语音提示关键交易数据,保证屏幕显示或语音提示的内容与智能密码钥匙签名的关键数据一致。应采取有效措施防止签名数据在客户最终确认前被替换。未经按键确认等操作,智能密码钥匙不得签名和输出,在等待一段时间后,自动清除数据,并复位状态。5.1.4短信验证码a)开通短信验证码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时,应对客户的身份进行有效验证。b)交易的关键信息应与短信验证码一
20、起发送给客户,并提示客户确认。c)短信验证码应随机产生,长度不应少于6位。d)短信验证码应具有时效性,最长不超过5分钟,超过有效时间应立即作废。e)短信验证码在使用完毕后应立刻失效,应采取措施防范对验证码的暴力猜解攻击。f)短信验证码的关键信息不应由客户定制,例如:金额、卡号。g)应基于终端特性采取有效措施防止验证码被分析、窃取、篡改,保证短信验证码的机密性和完整性。5.1.5通讯协议a)应在客户端程序与服务器之间建立安全的信息传输通道,采用的安全协议应及时更新至安全稳定版本,取消对存在重大安全隐患版本协议的支持。b)应采用每次交易会话采取独立不同密钥的加密方式对业务数据进行加密处理,防止业务
21、数据被窃取或者篡改。c)根据数据传输的安全要求,应使用安全的算法组合。应使用加密算法和安全协议保护网上银行服务器与其他应用服务器之间所有连接,保证传输数据的机密性和完整性。9T/HBPFS001-20235.1.6安全认证a)通过公开网络进行数据传输时,应通过密钥、证书等密码技术手段进行双向认证。b)客户端程序应对服务器端证书的合法性进行验证。c)整个通讯期间,经过认证的通讯线路应一直保持安全连接状态。d)银行端Web服务器应使用权威机构颁发的数字证书以标识其真实性。e)应确保客户获取的Web服务器的根证书真实有效。f)客户端程序和本地其他实体(指除支付软件自身外的其他软件及硬件)间的数据通信
22、应采用安全的方式,确保通信数据不被监听和篡改。5.1.7通信链路a)网上银行客户端和服务端之间的通讯,若通信数据中包含支付敏感信息,则应对支付敏感信息加密,支付敏感信息不应以明文形式出现。b)客户端和服务端之间的通讯如经过第三方服务器且通信数据中包含支付敏感信息时,应建立服务端和客户端之间的安全通道避免信息被第三方获取或修改。5.1.8安全计算环境a)身份鉴别:应使用符合国家密码主管部门要求的加密算法对密码进行加密保护,在传输和存储过程中不允许明文密码出现。系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管,未经主管领导许可,任何人不得擅自拆阅密封的口令密码
23、,拆阅后的口令密码经使用后应立即更改并再次密封存放。应对登录主机的地址进行限制,同时控制多点登录,对于违规的登录尝试进行报警。应防范口令暴力破解攻击,记录攻击源地址,并报警。不应明文显示密码,应使用同一特殊字符(例如,*或)代替。应引导用户设置不易猜解的密码,应采取技术手段对脆弱密码进行检测。针对批量或高频登录等异常行为,应利用IP地址、终端设备标识等信息进行综合识别,及时采取附加验证、拒绝请求等手段。应采取有效措施防范登录操作的重放攻击,例如,在登录交互过程提交的认证数据中增加服务器生成的随机信息成分。应使用即时加密等安全措施降低恶意软件窃取用户支付敏感信息的风险,使用软键盘方式输入密码时,
24、应采取自定义键盘等措施防范密码被窃取。应保证密码的加密密钥的安全。10T/HBPFS001-2023会话标识应随机并且唯一,会话过程中应维持认证状态,防止客户通过直接输入登录后的地址访问登录后的页面。不得在客户端缓存密码、密钥等支付敏感信息,不应在日志中记录支付敏感信息,例如,在包含上述信息的页面设置禁止缓存参数,防范未授权用户通过浏览器后退等方式获取支付敏感信息。退出登录或客户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、直接输入访问地址等方式重新进入登录后的网上银行页面。退出登录时应提示客户取下(或断开)专用安全设备,例如,智能密码钥匙。修改客户敏感参数(例如,密码、转账限额
25、等)时,应再次认证客户身份。显示客户身份证件信息时,应屏蔽部分关键内容,例如,屏蔽身份证后六位信息等。b)访问控制:应实现操作系统和数据库系统特权用户的权限分离,系统管理员只具备操作系统的运维管理权限,数据库管理员只具备数据库的运维管理权限。应根据业务必需和最小权限原则,对主机系统的访问控制规则进行精细化配置,例如:通过系统防火墙对允许访问本机的地址和端口进行限制,对异常的访问请求进行拦截和报警。应对统一身份认证系统、运维终端管理系统,域控、补丁升级、防病毒、邮件、文件中转共享服务器等提供集中管控或基础服务的设施进行严格的访问控制,对异常的访问请求进行拦截和报警。企业网银可支持客户选择使用管理
26、员和操作员两类用户,管理员用户初始登录密码应在银行柜台设置,操作员用户由管理员用户设置或在柜台设置,操作员用户权限应根据录入、复核、授权职责分离的原则设置。应建立完善的交易验证机制,每次处理的客户信息均以服务器端数据为准,当服务器端检测到客户提交的信息被篡改时,应当及时中断交易,并对客户请求指令的逻辑顺序进行合理控制。c)安全审计:应合理分配交易日志的管理权限,禁止修改日志,确保日志的机密性、完整性和可用性。应及时对中间件日志、应用日志、错误日志等文件进行分析,识别异常的访问行为。d)入侵防范:应严格限制下载和使用免费软件或共享软件,确保软件来源可靠,且在使用前应经过严格测试。应建立允许使用的
27、软件列表,对软件安装包进行统一管理,定期对列表中软件的11T/HBPFS001-2023安全状况进行跟踪。应采取技术手段对攻击活动进行检测和报警,例如,文件完整性监控、主机型入侵检测、进程白名单、父子进程关联检测、攻击脚本检测等。e)图形验证码:应随机产生。应采取图片底纹干扰、颜色变换、设置非连续性及旋转图片字体、变异字体显示样式、交互式认证等有效方式,防止验证码被自动识别。应具有使用时间限制并仅能使用一次。图形验证码应由服务器生成,客户端源文件中不应包含验证码文本。f)数据保护:(应落实中国人民银行关于进一步加强银行卡风险管理的通知银发2016170号)等相关要求,按照JR/T0149201
28、6要求,对银行卡卡号、卡片验证码、支付账户等信息进行脱敏,支持基于支付标记化技术的交易处理,采取技术手段从源头控制信息泄露和欺诈交易风险。对客户办理金融业务时留存的身份信息与相关影像资料、个人财产信息、征信信息等敏感客户资料,应参照国家及行业个人信息、个人金融信息相关保护要求,加强信息安全管理。5.1.9密码算法a)客户端应用软件应使用密码算法对资金有关交易或重要业务操作进行保护。b)密码算法、密钥长度及密钥管理方式应符合国家密码主管机构要求的国产商用密码算法提出的要求。c)密钥在传输过程中应使用密码算法对密钥进行保护。d)随机生成的密钥应具有一定的随机性与不可预测性。e)密钥应加密存储,并确
29、保密钥储存位置和形式的安全。5.1.10风险提示应对客户端运行环境进行安全评测,并根据安全评测情况对客户进行风险提示:a)应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。b)应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风险控制措施。c)应在门户站点等渠道发布客户端环境安全的提示。d)当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行12T/HBPFS001-2023警示或拒绝交易。e)当网上银行客户端软件进入后台时,对客户进行风险提示。5.1.11缺陷解决率应每年对网上银行客户端及服务器进行渗透测试和安全评估,对于在渗透
30、测试、安全评估等过程中发现的缺陷和漏洞应及时予以解决:a)显著影响声誉的漏洞,较易利用并可影响客户资金安全的漏洞,较易利用并可导致客户信息大量泄露的漏洞,较易利用并可导致获得管理员权限、完全控制系统的漏洞,较易利用并可导致重要服务器故障或响应异常的漏洞,以及其它可能引起级突发事件的漏洞属于高危风险,高危风险的缺陷解决率=100%。b)可能影响声誉的漏洞,可利用并影响客户资金安全的漏洞,可致使客户信息泄露的漏洞,可获得部分访问权限但不能完全控制系统的漏洞,可利用并可导致一般服务器故障或响应异常的漏洞,可间接影响信息系统运行的漏洞,以及其它可能引起级突发事件的漏洞属于中危风险,中危风险的缺陷解决率
31、=90%。5.1.12认证信息安全客户端应用软件应提供客户输入银行卡交易密码的即时防护功能,客户端应提供以下安全控制措施,或其他经攻击测试无法获取明文的安全防护措施:a)采取替换输入框原文。b)逐字符加密、字符加密。c)防范键盘窃听。d)采用自定义软键盘。e)客户端应用软件的口令框应默认屏蔽显示,屏蔽显示时应使用同一特殊字符(例如*或)代替。f)客户端应用软件不应明文显示银行卡密码和网络支付交易密码。客户端应用软件展示个人金融信息时,应符合以下要求:处于未登录状态时,不应展示与个人信息主体相关的用户鉴别信息(如:卡片验证码、卡片有效期、登录密码、支付密码等);处于已登录状态时,个人金融信息展示
32、的技术要求如下:除银行卡有效期外,用户鉴别信息(如:卡片验证码、登录密码、支付密码等)不应明文展示。对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应履行客户端身份验证,并做好此类信息管理,防范此类信息泄露风险。涉及其他信息主体的信息时,宜进行屏蔽展示,当满足如下条件之一时可不脱敏。其他方主动发起的活动包含的信息,如其他方发起交易、收付款。与其他方已建立信任13T/HBPFS001-2023关系(间接授权),如向其他方收款,其他方已付款。向其他方申请代付,其他方同意付款或者其他方在自己业务
33、应用范围内的联系人。g)客户端应用软件应提供认证失败处理功能,可采取结束会话、限制失败登录次数和自动退出等措施。h)客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码。i)应严格限制使用初始登录密码与初始交易密码,若设置初始密码,应强制用户在首次登录后修改初始密码。j)在修改密码前,应对用户身份进行重新验证。k)修改密码时应对原密码输入错误次数进行限制。l)修改密码时新密码不应与原密码相同。m)在密码重置时,应使用短信验证码、用户注册信息校核等方式,对用户身份进行校验。n)在进行密码重置时,应采用两种或两
34、种以上要素进行身份认证,如:数字证书、生物特征信息、短信验证码等。5.2个人金融信息数据安全5.2.1数据获取通过网上银行客户端收集客户个人金融信息时,具体技术要求如下:a)客户端应用软件应保证内存中不应存在完整的银行卡密码明文。b)客户端应用软件的临时文件中不应出现支付敏感信息,临时文件包括但不限于Cookies、本地临时文件等。c)客户端应用软件程序应禁止在身份认证结束后存储支付敏感信息,防止支付敏感信息泄露。d)客户端应用软件运行日志中不应打印支付敏感信息,不应打印完整的敏感数据原文。e)应采取技术手段防止内存中加密的敏感数据被还原为明文。f)客户端应用软件应实现身份认证过程的防截屏、录
35、屏,如:输入手势验证码、登录口令等。g)用户输入关键交易数据时,如:收款人信息、交易金额、订单号等,应采取防篡改机制保证数据不被移动终端的其他程序篡改。h)客户端应用软件在数据获取时提供有效性校验功能,确保通过人机接口或通信接口输入的数据格式或长度等信息符合系统设定要求。14T/HBPFS001-20235.2.2数据访问控制网上银行客户端应对可获取客户个人金融信息的操作应进行访问控制:a)应采取措施保护客户端应用软件数据仅能被授权用户或授权应用组件访问。b)客户端应用软件在授权范围内,不应访问非业务必需的文件和数据。5.2.3数据传输网上银行客户端与服务端进行数据传输时,具体技术要求如下:a
36、)应在客户端应用软件与服务器之间建立安全的信息传输通道,协议版本应及时更新至安全稳定版本。b)应确保采用的安全协议不包含已知的公开漏洞。c)客户端应用软件与服务器应进行双向认证,可通过密钥、证书等密码技术手段实现服务器与客户端应用软件之间的安全认证。d)敏感数据(如:登录口令、支付敏感信息等)在客户端应用软件与本地其他应用软件间传输时,应采取加密等措施确保其保密性,若本地其他应用软件不能提供与金融客户端软件相应等级的加密接口,则应评估敏感数据调用的风险,并设计补救措施。e)敏感数据(如:登录口令、支付敏感信息等)在通过公共网络传输时,应采取加密等措施确保其保密性。f)关键的交易数据,如:收款人
37、信息、交易金额、订单号等,在客户端应用软件与本地其他应用软件间传输时,应采取措施(如:数字签名、MAC等)确保其完整性,若本地其他应用软件不能提供与金融客户端软件相应等级的数据完整性保护措施,则应评估关键数据传输的风险,并设计补救措施。g)关键的交易数据、个人身份信息,如:收款人信息、交易金额、订单号、身份证号码等,在通过公共网络传输时,应采取措施(如:数字签名、MAC等)确保其完整性。h)通过客户端应用软件发起的资金类交易报文,应确保交易报文的不可抵赖性,在有条件的情况下应采用数字证书技术。i)通过客户端应用软件发起的身份认证或资金类交易报文,应能够防止重放攻击。5.2.4数据存储网上银行客
38、户端存储个人金融信息时,具体技术要求如下:a)客户端应用软件不应以任何形式存储用户的支付敏感信息与金融业务查询口令。b)在满足法律、管理规定的前提下,客户端应用软件应仅保存业务必需的个人金融信息,并限制数据存储量。15T/HBPFS001-2023c)客户端应用软件应确保无法通过逆向工程等手段直接从本地文件系统中恢复完整的密钥明文。5.2.5数据使用应用软件的后台管理与业务支撑系统,对个人金融信息展示具体技术要求如下:a)除银行卡有效期外,C3类别信息不应明文展示。b)应采取技术措施防范个人金融信息在展示过程中泄露或被未经授权的拷贝。c)后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理,如需完整展示,应做好此类信
黑公网安备:91230400333293403D