2023银行应用程序接口安全管理规范

范 规范性引用文 术语和定 缩略 概 接口类型与安全级 安全设 安全部 安全集 安全运 服务终止与系统下 安全管 附录A（规范性附录）商业银行应用程序接口关系示 附录B（资料性附录）商业银行应用程序接口统一识别码编码规 银行应用程序接口安全管理规范GB/T25069JR/T0071.2—2020金融行业网络安全等级保护实施指引第2JR/T0124—2014JR/T0185—2020GB/T25069应用程序接口applicationprogramming应用方application应用程序接口唯一标识applicationprogramminginterfaceunique应用程序接口统一标识码uniqueapplicationprogramminginterface应用软件开发工具包softwaredevelopment应用唯一标识applicationunique应用鉴别密文application应用合法性鉴别凭证，与应用唯一标识配套使用，以验证通过API方式接口的应用合法性。接入验移动金融客户端应用软件financialmobileapplication支付账号payment个人金融信息personalfinancial支付敏感信息paymentsensitiveAPI：应用程序接口（ApplicationProgrammingAPI_ID：接口唯一标识（ApplicationProgrammingInterfaceuniqueID）U_API_ID：应用程序接口统一标识码（UniqueApplicationProgrammingInterfaceID）App_ID：应用唯一标识（ApplicationuniqueID）App_Secret：应用鉴别密文（ApplicationSecret）SDK：应用软件开发工具包（SoftwareDevelopmentKit）2FA：双因子验证（2FactorAuthentication）SSL：安全套接层协议（SecureSocketsLayer）TLS：安全传输层协议（TransportLayerSecurity）MAC：消息鉴别码（MessageAuthenticationCode）DDoS：分布式拒绝服务攻击（DistributedDenialofService）HTML：超文本标记语言（HyperTextMarkup恒丰银行应用程序接口服务是一种依托API技术实现内部与外部互联的金融服务模式。恒丰银行通态黏性提供有力补充。外部机构能够通过互联网渠道，调用恒丰银行应用程序接口（外部API，详见附图 流程图/架构——应用方服务端直接调用恒丰应用程序接口（如REST、SOAP协议）——应用方服务端使用恒丰提供的服务端SDK，其中，服务端SDK主要实现恒丰通用接口算法的封装，为降低应用方接入开发难度，一版此类SDK——应用方服务端应用软件使用恒丰提供的移动终端应用SDK，移动终端SDK除封装恒丰通用接入算法外，还可封装业务逻辑、个人金融安全保护（例如密码数据按照服务场景类型将应用程序接口安全级别分为两级，安全保护要求从A2至A1A2:资金交易与账户信息查询应用类，此类金融产品和服务与用户个体直接关联，实施高等级安全SDK，SDK，提供用户账户信息查询类服务，如账户余额、交易历史、账户限额、付款时间、金A1:金融产品与服务信息查询应用类，此类金融产品和服务与用户个体并无直接关联，实施通用的IPv6IPv4/IPv6App_ID、App_SecretApp_IDApp_ID合《中华人民共和国电子签名法》、JR/T0118—2015等有关规定，确保数字证书的唯一A2级别的接口，商业SDK——APISDKSDK实现方式的技术细节。（或其等效信息），——不应以编码的方式将私钥明文（或密文）编写在商业银行应用程序相关代码中SM系列密码算法（GM/T0002—2012、GM/T0003—2012、GM/T—2012），MD5、SHA-1、DES商业银行与应用方应遵循商业银行应用程序接口网络部署逻辑结构示意图，见图2，进行商业银行应用程序接口的安全部署。商业银行及应用方都应在互联网边界部署如防火墙、IDS/IPS、DDoS防护等图2商业银行的安全控制要求依据JR/T0071部署相应级别的安全控制措施。应用方部署商业银行应用App_ID及与之相匹配的应用鉴别密文App_IDApp_IDApp_SecretApp_IDApp_IDApp_IDApp_Secret、数字证书（或公私钥对）的A21）中第二条至第四条给出的任意一种方式进行双向A1MAC校验等手段，保证商业银行与应用方之间数据传输的完整性，必要时可A2类应采用数字签名等手段，保证商业银行与应用方之间数据传输的完整性与不可抵赖SSL/TLSTLS1.2SETEESETEESEJR/T0098.5TEEJR/T0156—2017App_ID、接口、用户等维度，依据最小授权原则进A26个月。——应用方应根据商业银行提供的用户手册以及商业银行授权其使用的服务类型，正确合理使用SDK，则应用方需使用商业银行提供的SDKAPISDK进行反编译、篡改或二次封装。1——应建立应用方信息（如运营能力、风控能力等）B7.3.37.3.3 （规范性附录图A.1银行API企业定制API（PartnerAPIs）：指银行与特定的合作伙伴之间进行定制集成，目标是支持特定的外部API（PublicAPIs）：指银行广泛地面向应用方提供标准接口，供外部合作伙伴使用的API， （资料性附录商业银行应用程序接口统一识别码（U_API_ID）编码见表B.1表B.1262662固定位值固定为字母“OP”，商业银行机构代码应符合JR/T0124—2014，采用金融机构编码的前6接口类型编码由200保留，01表示A1安全级别，02表示