“目前,中国银行业务离柜交易率已达到90%以上,金融服务对网络高度依赖。相对传统风险,网络风险扩散速度更快、范围更广、影响更大。突发性网络安全事件也对金融机构的应急管理提出了更高要求。”
——银保监会主席郭树清在2020年新加坡金融科技节上发表题为《金融科技发展、挑战与监管》的演讲
近些年来,金融业发展呈现多元化的趋势,业务从线下走向线上,从现实走向虚拟,在互联网的加持下进一步强化社会经济“动脉”作用,连通诸多行业生态,渗透“滴灌”社会生活各个角落,为人们的衣食住行提供越来越多的便利。
但硬币也有另一面,如今互联网安全态势复杂、严峻,对于金融机构而言,在发展金融科技、升级金融服务的过程中,内有用户隐私泄露、业务权限越界的隐患,外有黑客恶意攻击、篡改、讹诈的风险。为保障金融业务安全稳定开展,国家有关部门制定了一系列法律法规、政策措施、标准规范。
2019年10月,中国人民银行、国家市场监督管理总局联合发布《金融科技产品认证目录(第一批)》,并制定《金融科技产品认证规则》,正式将金融科技产品纳入国家统一推进的认证体系。
2022年2月9日,《金融科技产品认证目录(第二批)》发布,区块链技术产品、商业银行应用程序接口、多方安全计算金融应用共三项金融科技产品应用被纳入第二批认证目录。
市场监管总局和人民银行将商业银行应用程序接口列入《金融科技产品认证目录(第二批)》,进一步敦促、指导银行业不断提升金融服务的安全性、稳定性,为广大用户提供更安全、更便捷、更友好的金融服务,也为数字安全机构合法合规、专业高效开展金融安全服务起到了政策航标的作用。
一、什么是商业银行应用程序接口
如果将广义的金融服务具象化地类比为一家银行网点,那么应用程序接口(不同的金融服务API)就是网点中负责不同业务的银行柜员,将你的服务请求(Request)录入银行系统并响应(Response)你的服务申请。
作为银行用户在办理业务时只需根据业务选择对应的银行柜员并告知需求(选择并发起API请求),然后等待柜员回复结果即可。用户无需关注银行柜员如何通过银行业务系统(后台服务器中的金融服务)完成具体工作流程。
我们进行移动支付、地铁刷卡、股票交易、征信查询、游戏内购、打赏主播等行为若选择通过银行划扣款项,便离不开商业银行应用程序接口为我们提供的金融服务。
二、商业银行应用程序接口产品纳入金融科技认证目录历程
2019年10月:中国人民银行、国家市场监督管理总局联合发布《中国人民银行 国家市场监督管理总局联合推动金融科技产品纳入国家统一推行的认证体系》,并发布《金融科技产品认证目录(第一批)》。
2020年2月:中国人民银行发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020) (以下简称“规范”)。
2020年3月:中国人民银行发布《中国人民银行关于发布金融行业标准加强商业银行应用程序接口安全管理的通知》。
2022年1月:中国人民银行、国家市场监督管理总局发布《金融科技产品认证目录(第二批)》,将商业银行应用程序接口列入目录,从此商业银行应用程序接口产品被纳入国家统一推行的认证体系。
三、如何实施商业银行应用程序接口安全管理检测
人民银行于2020年2月正式发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020),目的是对使用商业银行应用程序接口的各类金融服务进行规范,主要从技术和管理两方面规范个人金融信息保护措施和金融API安全措施。《规范》对商业银行和应用方提出明确要求,规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求,贯穿API的整个生命周期。
商业银行可开展自查工作,按照《规范》要求提升API安全。也可委托专业检测机构进行安全测评,并获取全方位的安全建议和指导,提升商业银行API的整体安全。
中国金融认证中心(CFCA)已具备API产品检测能力,同时为提高商业银行应用程序接口检测效率,CFCA自主研发了商业银行应用程序接口安全管理检测平台(以下简称“平台”)。该平台可在线远程开展API接口安全检测,并实现一定程度的应用程序接口自动化检测,从多方面验证API安全水平,平台检测内容如下:
CFCA依照《规范》要求,基于该平台能力根据各家商业银行API特点量身定制检测方案,提出针对性安全建议,帮助商业银行全方位提升API安全水平。
目前,CFCA已与多家商业银行进行合作交流,助其完善应用程序接口安全管理规范,提高应用程序接口安全性,得到行方的一致好评。
数字金融时代已然到来,商业银行应用程序接口的安全边界亦扩展至开放的全域互联网中。安全之重,势如泰山,CFCA立足金融行业,提供商业银行应用程序接口安全管理检测服务,与银行机构精诚合作,共同守护金融服务安全阵线。(责任编辑:万木)