随着疫情的(de)逐漸緩和(hé),今年(nián)的(de)網絡安全相關工作又開始熱火朝天的(de)開展,網絡安全等級保護備案,護網行動…… 除了這些衆所周知的(de)工作,又有一(yī)項新的(de)備案工作要求來了。
它的(de)名字是“金融科技客戶端軟件檢測認證” !!!
這是怎麽回事呢(ne)?
首先,讓老嗨來帶你們回顧一(yī)下曆史消息:
2019年(nián)10月25日市場監管總局、人民銀行于關于發布《金融科技産品認證目錄(第一(yī)批)》《金融科技産品認證規則》公告。客戶端軟件是第一(yī)批産品認證目錄之一(yī)。2019年(nián)9月27日《中國人民銀行關于發布金融行業标準加強移動金融客戶端應用軟件安全管理(lǐ)的(de)通知》銀發〔2019〕237号,旨在加強移動金融客戶端應用軟件設計、開發、發布、維護等環節的(de)安全管理(lǐ),同時也将JR/T0092-2019《移動金融客戶端應用軟件安全管理(lǐ)規範》作為(wèi)附件進行印發并于當日實施。
2019年(nián)12月3日,中國互聯網金融協會在京召開移動金融APP備案管理(lǐ)工作試點啓動會議,移動金融APP備案管理(lǐ)工作試點正式開始。
大家是不是看到“試點”二字,就松了一(yī)口氣?
NO!NO!NO!
上海銀發[2020]67号文發布明确要求,上海地(dì)區各類金融機構均需于2020年(nián)5月底之前完成機構信息及客戶端軟件的(de)登記注冊工作。并盡快啓動APP外部評估工作,向中國互聯網金融協會提交申請材料,開展客戶端軟件的(de)實名備案工作。
上海地(dì)區各類金融機構包括哪些呢(ne)?
交通銀行,上海浦東發展銀行,上海銀行,上海農商銀行,上海花蕊銀行,上海市各法人外資銀行,上海各法人村鎮銀行,上海市各法人證券公司,期貨公司,基金管理(lǐ)公司,上海市各法人保險公司,保險資産管理(lǐ)公司,上海市各非銀行支付機構,上海市各法人信托公司,金融資産管理(lǐ)公司,财務公司,金融租賃公司,汽車金融公司,貨币經濟工資,消費金融公司等。
需要認證的(de)客戶端軟件又有哪些類型呢(ne)?
1.資金交易類:直接面向用戶提供資金交易服務的(de)移動金融客戶端應用軟件;
2.信息采集類:不直接向用戶提供資金建議服務,但需采集個人敏感信息的(de)移動金融客戶端應用軟件;
3.資訊查詢類:僅提供金融産品推介、信息查詢、資訊推送等服務的(de)移動金融客戶端應用軟件。
大家可(kě)以自(zì)己對号入座,如(rú)果有還未開展相關工作的(de)朋(péng)友,要抓緊時間啦!!!
暫時不在此目錄要求中的(de)朋(péng)友也不要氣餒,随着我國網絡安全政策的(de)日益完善,總會輪到你們!
接下來老嗨就給大家簡單說說具體檢測認證流程。
整個檢測認證流程主要分為(wèi)3個步驟:備案,認證,檢測。這個流程于網絡安全等級保護備案認證的(de)要求有點類似。
Step 1:備案
去(qù)哪兒——中國互聯網金融協會。
怎麽做(zuò)——備案目前采用網上備案,申請機構需在中國互聯網金融協會官網專用備案入口,填寫并報送備案材料
Step 2:認證
去(qù)哪兒——全國隻有2家:北京中金國盛認證中心有限公司,中國網絡安全審查技術與認證中心。
怎麽做(zuò)——申請機構需與認證中心簽署認證合同并提交認證申請材料,之後認證中心将下發受理(lǐ)通知書,申請機構憑受理(lǐ)通知書聯系檢測機構簽署檢測合同并開展檢測,檢測完成後将檢測報告提交認證中心開展認證。認證成功就能拿到可(kě)愛的(de)證書喲!
Step 3:檢測
去(qù)哪兒——檢測機構:全國一(yī)共8家被授權單位,包括上海市信息安全測評認證中心,銀行卡檢測中心,中金金融認證中心,國家應用軟件産品質量監督檢驗中心等。(PS:即上海1家,北京7家)。
怎麽做(zuò)——檢測過程與網絡安全等級保護有些類似,對移動金融客戶端的(de)技術和(hé)管理(lǐ)兩方面提出具體要求,并按照詳細的(de)檢測項進行評分。此類外部評估需要每年(nián)至少開展一(yī)次,形成報告存檔備查!!
但是測評通過的(de)要求要比等保更加嚴格,如(rú)果出現不符合檢測類,那麽就無法通過測評。(不符合檢測類即檢測類中存在高(gāo)風險且不符合檢測項OR 中低(dī)風險且不符合檢測項超過10%。)
重點來了:整個檢測過程會分為(wèi)預測評,整改,最終測評3個階段,最終報告中會将整改的(de)部分用“*”标注!!
所以,建議重視(shì)報告最後呈現效果的(de)朋(péng)友,可(kě)以在備案項目初期引入咨詢機構(比如(rú)我們“觀初科技” ),在預測評之前就進行一(yī)定的(de)整改,來确保一(yī)個漂亮(liàng)的(de)最終報告和(hé)分數。
詳細的(de)政策文件大家可(kě)以翻閱:
JR/T0098.3-2012 《中國金融移動支付檢測規範 第3部分:客戶端軟件》
JR/T 0092-2019《移動金融客戶端應用軟件安全管理(lǐ)規範》
T/PCAC 0006—2019《條碼支付移動客戶端軟件檢測規範》
國信辦秘字〔2019〕191号《App違法違規收集使用個人信息行為(wèi)認定方法》
JR/T 0171-2020《個人金融信息保護技術規範》
如(rú)果對“金融科技客戶端軟件檢測認證”還有其他問題,歡迎随時聯系我們!
可(kě)以關注我們的(de)公衆号<观初科技>獲取第一(yī)時間的(de)咨詢。观初科技>