身处移动互联、万物互联的时代,金融服务顺应潮流,不断推进数字化、移动化、场景化转型。应用程序接口(API)成为银行拓展服务边界的重要抓手,第三方合作伙伴可以通过API调取金融服务。
因此,经由API的延展,银行数字金融的安全边界逐渐由独立的局域网络扩展到开放的公共网络,加强商业银行API的安全管理势在必行。
PART/1监管政策速览
2020年2月,中国人民银行发布《JR/T0185-2020 商业银行应用程序接口安全管理规范》,对商业银行应用程序接口的设计、部署、集成、运维等全生命周期过程提出了安全技术与安全管理要求。
2022年1月,中国人民银行、国家市场监督管理总局发布《金融科技产品认证目录(第二批)》 ,将商业银行应用程序接口列入目录,纳入国家统一推行的认证体系。
PART/2提升安全,可以这样做
银行可委托专业检测机构按照《JR/T0185-2020 商业银行应用程序接口安全管理规范》进行安全测评,并获取全方位的安全建议和指导,提升API整体安全。
2022年12月,中国金融认证中心(CFCA)通过《金融科技产品认证目录(第二批)》检测机构能力核查,成为国内首批具备商业银行应用程序接口检测资质单位之一。
CFCA商业银行应用程序接口检测,依据《JR/T0185-2020 商业银行应用程序接口安全管理规范》和《T/PCAC 0008-2020 商业银行应用程序接口安全管理检测规范》的要求,分别从:接口类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止及系统下线、安全管理等七个方面建立检测项,客观、公正评估商业银行API的标准符合性和系统安全性。
商业银行应用程序接口安全管理检测测评项覆盖情况
商业银行应用程序接口安全管理检测框架
同时,CFCA根据各个商业银行API的特点提出针对性安全建议,帮助商业银行全方位提升API安全水平。目前,CFCA已与多家商业银行开展合作交流,助其完善并提高API安全性,获得行方一致好评。
作为我国重要的信息安全基础设施,CFCA立足金融行业,深悉商业银行应用程序接口安全之重,愿与银行机构精诚合作,共同守护金融服务安全阵线。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )