1、商业银行应用程序接口分为两类,一是资金交易与账户信息查询应用类,级别相对较高。二是金融产品和服务信息查询应用类,级别相对较低。
2、接口安全设计。
一是身份认证,包括接口身份认证和用户身份认证。接口身份认证主要是APPID与APP_Secret、数字证书、公私钥对的组合。用户身份认证主要是对资金交易类服务,使用双因子认证。
二是交互安全,支付敏感信息等个人金融信息,登录口令、支付密码等敏感信息应使用安全防护措施,保证无法获取。账号、姓名等个人金融信息传输过程中应用SDK中的加密组件进行加密后传输,级别相对较高的信息,使用API直接连接方式传输。
3、服务安全。
SDK应具备反编译能力。
应完整记录接口访问日志,且日志内容需满足要求。
4、安全传输
敏感级较低,可采用MAC校验等手段。
敏感级较高,可采用数字签名等手段。
应采用SSL/TLS等安全通道传输,宜使用TLS1.2及以上版本。
5、运行安全
个人金融信息或支付敏感信息,不应以各种方式在本地留存。
应用方应进行数据完整性校验。不采集、存储用户个人金融信息或支付敏感信息。
留存接口相关日志不少于6个月。交易系统日志按照国家会计准则保存期限不少于1年。
标签:商业银行,程序接口,接口,认证,敏感,安全,应用,金融信息 From: https://www.cnblogs.com/dretrtg/p/18008960