1、标准背景

为了更快、更好、更安全地推进银行业的数字化经济转型，近日由中国支付清算协会提出的《T/PCAC 0008-2020商业银行应用程序接口安全管理检测规范》正式发布。此规范作为今年2月人民银行下发的《JR/T0185-2020-商业银行应用程序接口安全管理规范》的落地实施细则，提出了具体的检测方法以及通过标准，此外规范还参考了《GB/T 25069 信息安全技术术语》《JR/T 0071 金融行业信息系统信息安全等级保护实施指引》《JR/T 0124—2014 金融机构编码规范》。

本标准的推出，从各商业银行自身来讲，能够在数字化经济转型中更加具有参照性，能够结合自身情况建设标准化程度高和安全性更强的技术平台，必将全面推进商业银行应用程序接口安全合规落地。

2、标准覆盖范围

本规范针对商业银行应用程序接口及调用商业银行应用程序接口的应用方在安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等方面的提出了检测要求。

本规范适用于开展商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方。并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。

3、标准要求

此次标准在第3-8章对商业银行应用程序接口提出了具体要求，在第9-13章对应用方程序接口做出了细致明确，并将测试目的、检测方法、通过标准逐项明确，具体内容包括：。

一、商业银行安全设计检测

设计检测的检测目的是验证商业银行应用程序接口及接口服务层的安全设计是否满足基本要求，通过标准强调商业银行应用程序接口及接口服务层使用的密码算法和技术要符合国家密码管理部门和行业主管部门发布的国家标准或行业标准，使用的密码产品需要获得国家密码管理部门和行业主管部门授权颁发的商用密码产品认证证书，并提出商业银行要定期对开发人员进行安全编码培训，并需要对应用程序接口开展代码安全审计，与此同时还要针对已使用第三方应用组件的安全性进行验证并形成安全验证记录。

需要注意的是规范要求商业银行API和SDK设计需要具有对防 SQL/可执行脚本注入、防越权访问、防报文重放等常见网络攻击的安全防护能力，并需具有API和SDK对常见的网络攻击的安全测试报告，并提出商业银行移动终端应用SDK应具有静态逆向分析防护能力以及动态调试防护能力。这就需要商业银行需要重点关注外发SDK的安全隐患，采取相应的防护和检测措施保障外发SDK的安全性。

二、商业银行安全部署检测

此项检测目的是验证商业银行是否遵循 JR/T 0185—2020 中商业银行应用程序接口网络部署逻辑，商业银行需要在安全设计阶段考虑部署响应的网络安全防护措施和相应的安全控制措施如：网络边界防护，流量控制，逻辑隔离等基础安全设施的建设。

三、商业银行安全集成检测

此项检测包含了应用方核验、接入安全控制、运行安全、应用方退出即应用方集成全流程检测方面的要求，其中应用方准入要求中强调商业银行要对应用方进行准入审核，并对应用方的技术能力和管理水平进行了评估，并对应用方访问隐私数据方面进行约定，这就要求商业银行建立完善的外发SDK管理体系，开展全生命周期的安全管控，与此同时设立安全评估机制，从技术及管理方面双重落地。

此外安全传输也是重中之重，商业银行与应用方之间的网络安全传输要符合安全要求，保证数据传输完整性，并采用集成密钥保护SDK等方式针对数据完整性和不可抵赖性进行深入保护。

四、商业银行安全运维检测

运维检测涵盖了安全监测、风险控制、变更控制、运维巡检、事件处理几个层面，其中运维巡检要求商业银行定期对应用程序接口进行安全巡检，通过标准中要求商业银行定期对商业银行应用程序接口进行源代码审计、渗透测试技术检查以及应用程序接口安全集成情况进行检查，并及时处理安全漏洞，有效控制安全风险。

五、商业银行商业银行服务终止与系统下线检测

此项是验证商业银行是否建立服务终止与系统下线的制度和步骤。商业银行应制定完善的服务终止和系统（接口）下线的相关制度和步骤。制度中应对具体的步骤进行详细说明，确保后续实现时可以完整的按照定义的步骤进行操作。

六、商业银行安全管理检测

此项是验证商业银行的管理制度、应用安全责任、以及安全审计能力。其中安全责任需要商业银行以合同或协议的方式，明确规定商业银行应用程序接口的信息安全与金融消费者数据保护等方面的安全责任。

七、应用方安全设计检测

此项重点强调接口交互安全，验证应用方的个人金融信息以及支付敏感信息保护是否满足要求，应用方要注意及时清除用户在交易认证过程中产生的敏感数据等，满足对于支付敏感信息保护的相关要求。

八、应用方安全部署检测

此项是验证应用方是否遵循 JR/T 0185—2020 中商业银行应用程序接口网络部署逻辑结进行安全部署。

九、应用方安全集成检测