- 1、本文档共47页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
1
ICS35.240.40
A11
团
体
标准
T/PCAC0008-2020
商业银行应用程序接口安全管理检测规范
Testingspecificationoncommercialbankapplicationprogramminginterfacesecuremanagement
2020-11-20实施2
2020-11-20实施
中国支付清算协会发布
2
目录
前言 3
1范围 4
2规范性引用文件 4
3商业银行安全设计检测 4
4商业银行安全部署检测 8
5商业银行安全集成检测 9
6商业银行安全运维检测 12
7商业银行服务终止与系统下线检测 15
8商业银行安全管理检测 16
9应用方安全设计检测 18
10应用方安全部署检测 19
11应用方安全集成检测 19
12应用方安全运维检测 22
13应用方安全管理检测 24
T/PCAC0008-2020
3
前言
本规范由中国支付清算协会提出。
本规范由中国支付清算协会安全与技术标准专业委员会归口。
本规范主要起草单位:中国支付清算协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、招商银行股份有限公司、中信银行股份有限公司、民生银行股份有限公司、北京银行股份有限公司、山东省农村信用社联合社、浙江网商银行股份有限公司、中国银联股份有限公司、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、北京软件产品质量检测检验中心、国信在线(北京)经济文化发展中心、上海云从企业发展有限公司、航天中认软件测评科技(北京)有限责任公司等单位。
本规范主要起草人:陈波、马国光、刑桂伟、于沛、何一江、陈旭东、薛宇、相海飞、姜城、卓越、孙勇、杨文涛、苏晨、赵海龙、李明捷、贾海明、朱文义、穆庆新、虞刚、李晓东、宗勇涛、张奔、刘亚军、杨荣明、宋铮、左敏、蒋慧科、尹祥龙、刘力慷、张健、渠韶光、侯晓晨、张勇、王飞宇、高峰、张鹏、于泉、吴冬宇、朱震宇、许劭华、李军、孙明慧、石跃超等。
本规范为首次发布。
4
商业银行应用程序接口安全管理检测规范
1范围
本规范规定了商业银行应用程序接口在安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等方面的检测要求。
适用于开展商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方。并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069信息安全技术术语
JR/T0071金融行业信息系统信息安全等级保护实施指引
JR/T0124—2014金融机构编码规范
JR/T0185—2020商业银行应用程序接口安全管理规范
3商业银行安全设计检测
3.1基本要求
检测目的:验证商业银行应用程序接口及接口服务层的安全设计是否满足基本要求。检测方法:
1)检查商业银行应用程序接口及接口服务层使用的密码算法和密码算法的用途、使用范围、实现方式(软件、硬件或固件)是否安全有效;检查使用的密码算法和技术是否符合国家密码管理部门和行业主管部门发布的国家标准或行业标准;检查使用的密码产品是否获得具备资质(国家密码管理部门和行业主管部门授权)的商用密码认证机构颁发的商用密码产品认证证书;
2)检查商业银行是否制定了安全编码规范;
3)检查商业银行是否就安全编码规范对开发人员进行培训并核查培训记录;访谈开发人员对安全编码规范执行情况,查看应用程序接口源代码是否依据安全编码规范进行开发;
4)检查商业银行应用程序接口开发中使用的第三方应用组件,是否进行安全性验证并形成验证结论;核查商业银行是否持续关注第三方应用组件发布平台的信息披露和更新情况,适时更新相关组件并形成更新记录;
5)检查商业银行针对应用程序接口代码安全专项审计的工作方式;查看已有应用程序接口的代码安全专项审计报告,并核查报告中所披露的脆弱点是否得到妥善处置;
6)检查商业银行是否制定源代码和应用程序接口版本管理与控制规程,查看规程中是否包含源代码和和应用程序接口版本管理,并就接口废止、变更等情况与应用方保持信息同步相关内容;核查源代码和应用程序接口版本管理是否符合规程要求,是否具有变更记录和说明
您可能关注的文档
- GYT 388-2023《应急广播系统密码应用技术规范》.docx
- JRT0021.5-2023上市公司公告电子化规范 第5部分:权益变动类临时公告.pptx
- JRT 0275-2023 证券期货业机构内部接口 资讯数据.pptx
- JRT0021.6-2023上市公司公告电子化规范 第6部分:融资类临时公告.pptx
- JRT0021.3-2023上市公司公告电子化规范 第3部分:交易类临时公告.pptx
- 市级融媒体中心数据规范.pptx
- JRT0021.8-2023上市公司公告电子化规范 第8部分:定期报告.pptx
- JRT0021.7-2023上市公司公告电子化规范 第7部分:其他临时公告.pptx
- JRT0021.2-2023上市公司公告电子化规范 第2部分:首次披露.pptx
- JRT0021.3-2023上市公司公告电子化规范 第3部分:交易类临时公告.docx
文档评论(0)