- 1、本文档共50页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
中国支付清算协会发布
ICS35.240.40
A11
团
体
标准
T/PCAC0007-2020
移动金融客户端应用软件安全检测规范
TestingspecificationonFinancialmobileapplicationsoftwaresecurity
2020-11-20发布
2020-11-20实施
目录
1范围 3
2规范性引用文件 3
3缩略语 3
4客户端应用软件安全要求 3
5客户端应用软件管理要求 19
附录A 24
T/PCAC0007-2020
2
前言
本规范由中国支付清算协会、中国互联网金融协会共同提出。
本规范由中国支付清算协会安全与技术标准专业委员会归口。
本规范主要起草单位:中国支付清算协会、中国互联网金融协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、中信银行股份有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司、中移电子商务有限公司、天翼电子商务有限公司、联通支付有限公司、支付宝(中国)网络技术有限公司、浙江网商银行股份有限公司、财付通支付科技有限公司、鼎铉商用密码测评技术(深圳)有限公司、京东数字科技控股股份有限公司、京东智联云、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、中国网络安全审查技术与认证中心、银行卡检测中心(国家金融IC卡安全检测中心)、中国金融电子化公司、中金金融认证中心有限公司、信息产业信息安全测评中心、工业和信息化部计算机与微电子发展研究中心(中国软件测评中心)、国家应用软件产品质量监督检测中心(北京软件产品质量检测检验中心)、航天中认软件测评科技(北京)有限责任公司、奇安信科技集团股份有限公司、科大讯飞股份有限公司、平安保险等单位。
本规范主要起草人:陈波、马国光、刑桂伟、于沛、侯晓晨、何一江、薛宇、陈旭东、相海飞、朱勇、李健、于圆、张赫、田然、牛康欣、张宇、白帆、黄潇拉、马咪、朱翔宇、刘占明、廖渊、赵鹏、付南、黎马亮、袁丽欧、费会、汪毅、李志蓉、廖勤思、周晶、焦伟、任震、宋铮、姜志辉、吴永强、蒋增增、李振、邹超、李玲、魏晓征、曾辉、王晴晴、张健、陈伟、王峰、申永波、王玲、渠韶光、李博文、张文博、李宇、郭大圣、高峰、曹中全、董晶晶、冀乃杰、赵亮、徐鹏、于泉、张鹏、王焱、孙明慧、林宝晶、蒯天祥、刘浩、王盈语、向阳等。
本规范为首次发布。
3
移动金融客户端应用软件安全检测规范
1范围
本标准规定了移动金融客户端应用软件的安全要求,以及客户端应用软件设计、开发、维护和发布的管理要求。
本标准适用于移动金融客户端软件检测机构,客户端应用软件在设计、开发、集成和维护阶段也可以参照使用。本标准也适用于检测认证机构对相关产品、应用系统进行安全性和标准符合性测试和认证。
客户端应用软件分为资金交易类、信息采集类和资讯查询类。本标准对每类软件的适用范围参考附录A:应用软件测试范围。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
JR/T0092—2019移动金融客户端应用软件安全管理规范
JR/T0164—2018移动金融基于声纹识别的安全应用技术规范
JR/T0171—2020个人金融信息保护技术规范
3缩略语
下列缩略语适用于本文件。
APP:客户端应用软件(Applicationsoftware)
URI:统一资源标识符(UniformResourceIdentifier)
TEE:可信执行环境(TrustedExecutionEnvironment)
SDK:软件开发工具包(SoftwareDevelopmentKit)
SE:安全单元(SecureElement)
4客户端应用软件安全要求
4.1身份认证安全
4.1.1认证方式
检测目的:检测客户端身份认证方式及所采用认证要素的安全性。
检测方法:
1)检查开发文档中客户端应用软件包含的用户身份认证方式、辅助认证方式,对需要用户身份认证的过程进行操作,例如进行客户端登录、支付等。使用客户端应用软件进行登录,检查其登录时所采用的认证要素,确定其是否采用合适的认证要素;
2)使用客户端应用软件进行身份认证操作时,如:登录和交易操作,检查其
您可能关注的文档
- GYT 388-2023《应急广播系统密码应用技术规范》.docx
- JRT0021.5-2023上市公司公告电子化规范 第5部分:权益变动类临时公告.pptx
- JRT 0275-2023 证券期货业机构内部接口 资讯数据.pptx
- JRT0021.6-2023上市公司公告电子化规范 第6部分:融资类临时公告.pptx
- JRT0021.3-2023上市公司公告电子化规范 第3部分:交易类临时公告.pptx
- 市级融媒体中心数据规范.pptx
- JRT0021.8-2023上市公司公告电子化规范 第8部分:定期报告.pptx
- JRT0021.7-2023上市公司公告电子化规范 第7部分:其他临时公告.pptx
- JRT0021.2-2023上市公司公告电子化规范 第2部分:首次披露.pptx
- JRT0021.3-2023上市公司公告电子化规范 第3部分:交易类临时公告.docx
- 浙江省临海市白云高级中学2025届高三历史3月月考试题.doc
- 云南拾谷县第一中学2024_2025学年高二物理上学期10月月考试题.doc
- 2025版高考生物总复习第13讲基因的分离定律教案苏教版.doc
- 湖北省黄石实验高中2024_2025学年高一历史下学期期末考试模拟卷.doc
- 通史版2025版高考历史大一轮复习专题七近代化的曲折发展__中日甲午战争至五四运动前4第4讲从维新思想到新文化运动课后达标检测含解析新人教版.doc
- 2024年高考数学考试大纲解读专题04导数及其应用含解析文.doc
- 河南省许汝平九校联盟2024_2025学年高一语文上学期期末考试试题扫描版无答案.doc
- 江西省吉安市吉水县第二中学2024_2025学年高一历史上学期第二次月考试题.doc
- 北京市平谷区2025届高三政治一模考试试题含解析.doc
- 2025届中考物理第四讲物态变化专项复习测试无答案新人教版.docx
文档评论(0)