身处移动互联、万物互联的时代,金融服务顺应潮流,不断推进数字化、移动化、场景化转型。商业银行应用程序接口(API)的安全边界,正逐渐由独立的局域网络扩展到开放的公共网络,如移动支付、跨界授信等场景。未来,金融信息安全的前沿阵地,不仅是提供服务与产品的金融机构,也是接入互联网的每一台设备、享受金融服务的每一个人。
在此背景下,国家有关部门陆续发布规范商业银行应用程序接口安全管理的标准和要求,不断敦促、指导银行业提升金融服务安全性、稳定性,为用户提供更安全、更便捷、更友好的金融服务。
2020年,中国人民银行发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)与《中国人民银行关于发布金融行业标准加强商业银行应用程序接口安全管理的通知》;
2022年2月,中国人民银行、国家市场监督管理总局发布《金融科技产品认证目录(第 二批)》 ,将商业银行应用程序接口列入目录,从此商业银行应用程序接口产品被纳入国家统一推行的认证体系。
其中,《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(以下简称:《规范》)面向商业银行和应用方,从技术和管理两方面,对个人金融信息保护措施和金融API安全措施提出了明确要求,规定了商业银行应用程序接口(API)的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求,贯穿API的整个生命周期。
商业银行可开展自查工作,按照《规范》要求排查风险点;也可委托专业检测机构进行安全测评,获取全方位的安全建议和指导,提升API的整体安全。
2022年12月,中国金融认证中心(CFCA)通过《金融科技产品认证目录(第 二批)》检测机构能力核查,成为国内首批具备商业银行应用程序接口检测资质的机构之一,现正式对外开展商业银行应用程序接口检测工作。
为提高商业银行应用程序接口检测效率,CFCA自主研发“CFCA开放银行应用程序接口检测平台”(以下简称:平台)。平台可在线开展API接口安全检测,实现一定程度的应用程序接口自动化检测,多方面验证API安全水平。检测内容如下:
CFCA依照《规范》要求,基于平台能力,根据各商业银行API特点量身定制检测方案,提出针对性安全建议,帮助商业银行全方位提升API安全水平。目前,CFCA已与多家商业银行进行合作交流,助其完善应用程序接口安全管理规范,提高应用程序接口安全性,得到客户的一致好评。
CFCA立足金融行业,愿与银行机构持续精诚合作,共同守护金融服务安全阵线。