近日,中国支付清算协会发布了《商业银行应用程序接口安全管理检测规范》(以下简称《规范》),发文旨在落实人民银行和国家认监委关于金融科技产品认证工作的要求,加强金融科技产品认证工作的自律管理。规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求,从而指导整体商业银行应用程序接口安全建设。
《规范》共计13章节,其中范围、规范性引用文件为整体描述,具体检测规范由“商业银行”及“应用方”组成,其中“商业银行”含6项具体要求,覆盖商业银行应用程序接口整个生命周期,包含“设计-部署-集成-运维-服务终止与系统下线-安全管理”相关检测要求。“应用方”含5项具体要求,覆盖应用调用程序接口整个生命周期,包含“设计-部署-集成-运维-安全管理”相关检测要求。
作为移动信息安全综合服务提供商,爱加密深耕金融领域多年,拥有丰富的安全检测、防护经验,针对《规范》的检测要求,可提供全方位的检测及安全防护服务。
01
合规测评服务
爱加密合规测评服务团队,可根据《商业银行应用程序接口安全管理检测规范》进行逐条检测,以第三方角度公平、公正识别存在的风险点,确保符合相应安全管理规范要求。
02
安全编码规范制定及培训
爱加密可为用户提供针对开发人员的安全开发培训,为开发人员树立安全观念,使其知悉开发环节中存在的不安全开源框架、组件等,并形成内部安全编码规范。
03
源码检测平台
源代码检测平台可在软件开发生命周期阶段早期及时发现问题,找到问题的根源,改进代码质量,提高攻击门槛。平台提供:源代码安全检测、自动化测试任务、项目源代码安全评级、安全漏洞协同审计、安全漏洞趋势报告、安全测试数据统计、安全漏洞测试标准发布、安全漏洞测试策略管理、安全漏洞知识学习、安全编码经验分享等多项功能。可以使开发者、测试者和管理者在平台上方便、简单地完成相关软件安全测试。
04
传输加密SDK
采用传输加密SDK,实现移动应用客户端与服务端数据交互时的传输加密,传输加密SDK采用一次一密的加密方式,每次传输时采用的加密算法不同,即使传输数据被非法截获,攻击者也无法第一时间获取所有传输数据的明文,以此保障数据传输时的安全。
05
安全键盘SDK
采用安全键盘SDK,规避系统自带键盘可能被非法劫持的风险,安全键盘在进行数据传输时对数据进行加密,保证传输数据不被非法获取,为支付数据、敏感信息传输提供安全保障。
06
移动应用加固平台
爱加密提供移动客户端安全加固服务,对移动应用客户端进行安全加固,包括防逆向、防篡改、反调试、防劫持、数据防泄漏、页面数据防护等功能,同时包括加固包的压缩优化和移动应用崩溃信息监测服务。支持移动端加固、SDK、小程序、HTML5等应用加固。
07
移动应用威胁感知平台
爱加密移动应用威胁态势感知平台,通过对移动应用客户端在用户本地运行时的实时数据采集、数据汇总,可以做到对移动应用客户端环境安全风险的实时监测。并提供针对SDK的威胁感知平台,更针对性、目的性的来保护相应程序。
08
安全开发管控平台
安全开发管控平台,贯穿应用开发从立项到上线全生命周期,帮助用户构建模块化、标准化、流程化、可配置的安全开发工具。提供多种系统接口与其他平台对接,基于金融行业系统安全风险等级评估模型、安全能力评价模型,覆盖应用上线前、上线后的资产管理、漏洞侦测管理,实现应用设计、开发、测试过程中的安全管理可视化。
来源:freebuf.com 2020-11-27 10:41:21 by: 爱加密123
请登录后发表评论
注册