首批23家移动金融App备案名单出炉，蚂蚁金服、财付通等在列_管理

12月3日，中国互联网金融协会(以下简称“互金协会”)在京召开金融业移动金融客户端应用软件(以下简称“客户端软件”)备案管理工作试点启动会议，部署相关工作。银行、证券、基金、保险、支付等领域的23家试点机构相关负责人参加会议。

据悉，会议要求各试点机构应于2019年年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请，互金协会完成备案审核工作后，将择期发布第一批通过备案的客户端软件清单。下一步，在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

有券商业内人士认为，这次第一批名单券商只有两家，可能与监管半径有关。但如果这个监管内容后续会对券商App发布有影响，那大家一定都会跟进。

据了解，此次券商App整改，是中央网信办、工信部、公安部、市场监管总局年初伊始开展的关于App违法违规收集使用个人信息专项治理行动下的重要一环，是该项治理行动在券商业的延续。

五点实施要求

《移动金融客户端应用软件安全管理规范》（以下简称“《规范》）提出的安全要求分为基本要求和增强要求，所有相关客户端都应在满足基本要求的基础上，建议满足增强要求。

《规范》要求针对不同类型的软件应该做到：资金交易类，应符合资金交易、信息保护等所有技术及管理安全要求；信息采集类，应重点符合信息保护相关技术及管理安全要求；资讯查询类，应符合相关客户端软件安全和管理要求。

《规范》对各类金融机构提出五点实施要求，分别是提升安全防护能力、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制和加强行业自律管理。

其中，在安全防护能力上，人民银行要求各金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理，构建覆盖全生命周期的管理机制，切实保障客户端软件安全。对于资金交易类客户端软件，应从资金安全、信息保护等方面开展外部评估；对于信息采集类客户端软件，应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次，形成报告存档备查。外部评估应每年至少开展一次，形成报告存档备查。

在加强个人金融信息保护上，人民银行要求各金融机构应采取有效措施加强客户端软件个人金融信息保护。

一是收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。

二是应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

三是信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。

四是不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

七大类客户端应用软件安全要求

另外，人民银行还制定了移动金融客户端应用软件安全管理规范，客户端应用软件安全要求分别有身份认证安全、认证信息安全、认证失败处理、逻辑安全、安全功能设计、密码算法及密钥管理和数据安全。

身份认证安全。此部分包含认证方式、认证信息安全、认证失败处理、密码的设定与重置4大项若干小项要求，涉及到应用安全、个人账户安全、个人金融信息安全等方面。所有金融App都应满足其基本要求，其中应重点关注资金交易类、信息采集类。

逻辑安全。此部分包含逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等5大项若干小项要求，涉及到业务逻辑漏洞、软件权限获取、个人金融信息安全、业务风向等方面。所有金融App都应满足其基本要求，其中应重点关注资金交易类、信息采集类、资讯查询类。

安全功能设计。此部分包含组件安全、接口安全、抗攻击能力、客户端应用软件环境检测等4大项若干小项要求，涉及到不安全的第三方组件对于客户端安全的影响以及用户个人信息的获取、接口的非授权调用、抵御攻击的能力、客户端运行环境的监测等。所有金融App都应满足其基本要求，其中应重点关注资金交易类、信息采集类、资讯查询类。

密码算法及密钥管理。此部分包含密码算法、密钥管理等2大项若干小项要求，涉及到对交易或重要操作的保护、密钥本身的保护等。所有金融App都应满足其基本要求，其中应重点关注资金交易类。

数据安全。此部分包含数据获取、数据访问控制、数据传输、数据存储、数据展示、数据销毁等6大项若干小项要求，涉及到支付等敏感信息的泄露、关键交易数据的篡改、个人信息的保护、敏感信息的销毁等。所有金融App都应满足其基本要求，其中应重点关注资金交易类、信息采集类。

本文来源：https://www.longfajr.com/info/97244.html

标签组：[软件] [app] [信息安全] [个人管理] [移动金融] [软件安全]