“目前,中國銀行業務離櫃交易率已達到90%以上,金融服務對網絡高度依賴。相對傳統風險,網絡風險擴散速度更快、範圍更廣、影響更大。突發性網絡安全事件也對金融機構的應急管理提出了更高要求。”
——銀保監會主席郭樹清在2020年新加坡金融科技節上發表題爲《金融科技發展、挑戰與監管》的演講
近些年來,金融業發展呈現多元化的趨勢,業務從線下走向線上,從現實走向虛擬,在互聯網的加持下進一步強化社會經濟“動脈”作用,連通諸多行業生態,滲透“滴灌”社會生活各個角落,爲人們的衣食住行提供越來越多的便利。
但硬幣也有另一面,如今互聯網安全態勢複雜、嚴峻,對于金融機構而言,在發展金融科技、升級金融服務的過程中,內有用戶隱私泄露、業務權限越界的隱患,外有黑客惡意攻擊、篡改、訛詐的風險。爲保障金融業務安全穩定開展,國家有關部門制定了一系列法律法規、政策措施、標准規範。
2019年10月,中國人民銀行、國家市場監督管理總局聯合發布《金融科技産品認證目錄(第一批)》,並制定《金融科技産品認證規則》,正式將金融科技産品納入國家統一推進的認證體系。
2022年2月9日,《金融科技産品認證目錄(第二批)》發布,區塊鏈技術産品、商業銀行應用程序接口、多方安全計算金融應用共三項金融科技産品應用被納入第二批認證目錄。
市場監管總局和人民銀行將商業銀行應用程序接口列入《金融科技産品認證目錄(第二批)》,進一步敦促、指導銀行業不斷提升金融服務的安全性、穩定性,爲廣大用戶提供更安全、更便捷、更友好的金融服務,也爲數字安全機構合法合規、專業高效開展金融安全服務起到了政策航標的作用。
一、什麽是商業銀行應用程序接口
如果將廣義的金融服務具象化地類比爲一家銀行網點,那麽應用程序接口(不同的金融服務API)就是網點中負責不同業務的銀行櫃員,將你的服務請求(Request)錄入銀行系統並響應(Response)你的服務申請。
作爲銀行用戶在辦理業務時只需根據業務選擇對應的銀行櫃員並告知需求(選擇並發起API請求),然後等待櫃員回複結果即可。用戶無需關注銀行櫃員如何通過銀行業務系統(後台服務器中的金融服務)完成具體工作流程。
我們進行移動支付、地鐵刷卡、股票交易、征信查詢、遊戲內購、打賞主播等行爲若選擇通過銀行劃扣款項,便離不開商業銀行應用程序接口爲我們提供的金融服務。
二、商業銀行應用程序接口産品納入金融科技認證目錄曆程
2019年10月:中國人民銀行、國家市場監督管理總局聯合發布《中國人民銀行 國家市場監督管理總局聯合推動金融科技産品納入國家統一推行的認證體系》,並發布《金融科技産品認證目錄(第一批)》。
2020年2月:中國人民銀行發布《商業銀行應用程序接口安全管理規範》(JR/T 0185—2020) (以下簡稱“規範”)。
2020年3月:中國人民銀行發布《中國人民銀行關于發布金融行業標准加強商業銀行應用程序接口安全管理的通知》。
2022年1月:中國人民銀行、國家市場監督管理總局發布《金融科技産品認證目錄(第二批)》,將商業銀行應用程序接口列入目錄,從此商業銀行應用程序接口産品被納入國家統一推行的認證體系。
三、如何實施商業銀行應用程序接口安全管理檢測
人民銀行于2020年2月正式發布《商業銀行應用程序接口安全管理規範》(JR/T 0185—2020),目的是對使用商業銀行應用程序接口的各類金融服務進行規範,主要從技術和管理兩方面規範個人金融信息保護措施和金融API安全措施。《規範》對商業銀行和應用方提出明確要求,規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求,貫穿API的整個生命周期。
商業銀行可開展自查工作,按照《規範》要求提升API安全。也可委托專業檢測機構進行安全測評,並獲取全方位的安全建議和指導,提升商業銀行API的整體安全。
中國金融認證中心(CFCA)已具備API産品檢測能力,同時爲提高商業銀行應用程序接口檢測效率,CFCA自主研發了商業銀行應用程序接口安全管理檢測平台(以下簡稱“平台”)。該平台可在線遠程開展API接口安全檢測,並實現一定程度的應用程序接口自動化檢測,從多方面驗證API安全水平,平台檢測內容如下:
CFCA依照《規範》要求,基于該平台能力根據各家商業銀行API特點量身定制檢測方案,提出針對性安全建議,幫助商業銀行全方位提升API安全水平。
目前,CFCA已與多家商業銀行進行合作交流,助其完善應用程序接口安全管理規範,提高應用程序接口安全性,得到行方的一致好評。
數字金融時代已然到來,商業銀行應用程序接口的安全邊界亦擴展至開放的全域互聯網中。安全之重,勢如泰山,CFCA立足金融行業,提供商業銀行應用程序接口安全管理檢測服務,與銀行機構精誠合作,共同守護金融服務安全陣線。(責任編輯:萬木)