TPCAC 0008-2020商业银行应用程序接口安全管理检测规范.docx

1

ICS35.240.40

A11

团

体

标准

T/PCAC0008-2020

商业银行应用程序接口安全管理检测规范

Testingspecificationoncommercialbankapplicationprogramminginterfacesecuremanagement

2020-11-20实施2

2020-11-20实施

中国支付清算协会发布

2

目录

前言 3

1范围 4

2规范性引用文件 4

3商业银行安全设计检测 4

4商业银行安全部署检测 8

5商业银行安全集成检测 9

6商业银行安全运维检测 12

7商业银行服务终止与系统下线检测 15

8商业银行安全管理检测 16

9应用方安全设计检测 18

10应用方安全部署检测 19

11应用方安全集成检测 19

12应用方安全运维检测 22

13应用方安全管理检测 24

T/PCAC0008-2020

3

前言

本规范由中国支付清算协会提出。

本规范由中国支付清算协会安全与技术标准专业委员会归口。

本规范主要起草单位：中国支付清算协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、招商银行股份有限公司、中信银行股份有限公司、民生银行股份有限公司、北京银行股份有限公司、山东省农村信用社联合社、浙江网商银行股份有限公司、中国银联股份有限公司、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、北京软件产品质量检测检验中心、国信在线(北京)经济文化发展中心、上海云从企业发展有限公司、航天中认软件测评科技(北京)有限责任公司等单位。

本规范主要起草人：陈波、马国光、刑桂伟、于沛、何一江、陈旭东、薛宇、相海飞、姜城、卓越、孙勇、杨文涛、苏晨、赵海龙、李明捷、贾海明、朱文义、穆庆新、虞刚、李晓东、宗勇涛、张奔、刘亚军、杨荣明、宋铮、左敏、蒋慧科、尹祥龙、刘力慷、张健、渠韶光、侯晓晨、张勇、王飞宇、高峰、张鹏、于泉、吴冬宇、朱震宇、许劭华、李军、孙明慧、石跃超等。

本规范为首次发布。

4

商业银行应用程序接口安全管理检测规范

1范围

本规范规定了商业银行应用程序接口在安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等方面的检测要求。

适用于开展商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方。并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069信息安全技术术语

JR/T0071金融行业信息系统信息安全等级保护实施指引

JR/T0124—2014金融机构编码规范

JR/T0185—2020商业银行应用程序接口安全管理规范

3商业银行安全设计检测

3.1基本要求

检测目的：验证商业银行应用程序接口及接口服务层的安全设计是否满足基本要求。检测方法：

1)检查商业银行应用程序接口及接口服务层使用的密码算法和密码算法的用途、使用范围、实现方式(软件、硬件或固件)是否安全有效；检查使用的密码算法和技术是否符合国家密码管理部门和行业主管部门发布的国家标准或行业标准；检查使用的密码产品是否获得具备资质(国家密码管理部门和行业主管部门授权)的商用密码认证机构颁发的商用密码产品认证证书；

2)检查商业银行是否制定了安全编码规范；

3)检查商业银行是否就安全编码规范对开发人员进行培训并核查培训记录；访谈开发人员对安全编码规范执行情况，查看应用程序接口源代码是否依据安全编码规范进行开发；

4)检查商业银行应用程序接口开发中使用的第三方应用组件，是否进行安全性验证并形成验证结论；核查商业银行是否持续关注第三方应用组件发布平台的信息披露和更新情况，适时更新相关组件并形成更新记录；

5)检查商业银行针对应用程序接口代码安全专项审计的工作方式；查看已有应用程序接口的代码安全专项审计报告，并核查报告中所披露的脆弱点是否得到妥善处置；

6)检查商业银行是否制定源代码和应用程序接口版本管理与控制规程，查看规程中是否包含源代码和和应用程序接口版本管理，并就接口废止、变更等情况与应用方保持信息同步相关内容；核查源代码和应用程序接口版本管理是否符合规程要求，是否具有变更记录和说明