Q-ZYRCB 001-2024 移动金融客户端应用2024年版

资阳农村商业银行股份有限公司企业标准资阳农村商业银行股份有限公司发布I 4 4 4 4 4 4 4 5 5 6 6 6 6 8 8 9 9 9 9 9 9 9 9 参考文献.............................................................................16本标准根据GB/T1.1-2020给1移动金融客户端应用JR/T0092-2019移动金融客户端应用软件安JR/T0171-2020个人金融信息JR/T0068-2020网上银行系统信息移动金融客户端mobilefinanci个人金融信息personalfinancialin个人金融信息主体personalfinancialinformation支付敏感信息paymentsensi2生物特征识别biometricrecog导航结构标签navigations超文本标记语言第五版hypertextmarkuplanguage5通过标记符号来标记要显示的网页中各个部分的一种3层叠样式表像素点cascadingstyleshee错误拒绝率falserejecti分数低于给定阈值，从而被认为是不同生物特征的比例，简单地说就是“把应该相互匹配成功的生物错误接受率falseacceptan44.1基本安全要求钥管理、数据安全、个人金融信息保护等应遵循《JR/T0092-2019移动金融客户端应用软件安全管理规范》、《JR/T0171-2020个人金融信息保护技术规范》、《JR/T0068—2020网上银行系统信息安4.1.1设计要求b)移动金融客户端的用户界面遵循易用、风格统一、体验良好等原则。c)移动金融客户端遵循合法、正当、必要的原人金融信息收集使用规则，并需要个人金融信息主体自主4.1.2开发要求理、投产管理等方面明确了安全要求，同时要求各个阶段必须输出b)本社建立源代码安全编码规范，移动金融c)本社建立源代码安全扫描规范，移动金融客户端按规范进d)本社要求针对源代码扫描、渗透测试，发现的高危漏洞，必须进行修复后才4.1.3上线发布c)本社通过源代码安全编码规范明确要求，程序中必须删除调试或测试中存留4.1.4运维安全4.1.5身份认证安全认证方怯分类机盾、动态口令牌、USBKey、指纹识别、人脸识别等多种认证方式:6)云证书及手机盾为具有资质的数字证书颁发机构提供的可在手机终端上直接使用的便捷的数字证书服务，其提供的数字证书须符合《JR/T0068-2020网上银行信息安全通用规备进行绑定，同时辅以指纹、人脸或支付密码的方式进行7)动态令牌是根据专门的算法产生变化的随机数字组合，须符合《JR/T0068-2020网上银应将交易的关键信息（如金额、账户等）显示在USBK改机制，确保客户所确认的交易信息与网上银行系统执行的交易指令相一认证方怯分级6认证信息安全b)银行卡取款密码、登录密码、支付密码、证书PIe)在安全退出登录时，移动金融客户端向服务器发送会话结束请求，使当前会f)客户端进入系统后台后，超过设定时间未被唤醒，需强制客户登出，重新进行认证失败的处理a)客户认证失败后，应采取增加辅助认b)提示客户认证失败的信息，应采用模糊提密码的设定与重置登录密码相同或相似的密码，并引导客户设置独b)原则上不设置初始密码。若设置初始密码4.1.6逻辑安全74.1.7软件权限控制4.1.8异常处理b)当交易出现异常时，移动金融客户端向客户提示出错等信息4.1.9安全功能设计a)移动金融客户端经过渗透安全测试，未使用存在已知漏洞的系统组件与第三方组d)移动金融客户端对传入的URI进行校验与安全处理，防止客户端应用软件运行异常或操作异g)移动金融客户端通过签名，确保在安装、启动4.1.10密码算法以及密钥管理a)本社建立统一密码服务平台，该平台支持b)移动金融客户端对资金交易、重要业务数据、c)统一密码服务平台生成的密钥，具有随机性4.1.11数据安全d)移动金融客户端采用https建立安全的信息传输通道。8h)移动金融客户端发起的资金类交易报文，采用数字证书4.1.12个人金融信息保护a)移动金融客户端不明文显示用户的鉴别信息，如登录密码、支付b)移动金融客户端个人金融信息进行屏蔽保护，并采取有效措施防止合作机构获取、留存支付敏确保去标识化、匿名化后的信息与个人金融信息不被n)应建立个人金融信息销毁策略和管理制度4.2身份认证信息9/指纹/刷脸双因素进行支付认证，最高额4.3密码算法根据人民银行《关于金融领域密码应用指导意见的通知》（银发办[2014]121号）文件要求，本社建立了统一密码服务平台，全面支持国密算法。移动4.4风险提示b)移动金融客户端根据不同的资金交易金额、用户认证等级，设计了不同的身份认证策略。e)移动金融客户端启动时，对运行环境安全风险进行监控并提示，包括但不限于：系统是否被root、是否有病毒木马、地理位置造假风4.5缺陷解决率达到100%才能通过，级别为一般的缺陷，修复率必须>=90%才能通过，级别为轻微的缺陷，修复率必移动金融客户端支持的操作系统版本应最低支持安卓4.4以及i5.2.1安装包大小5.2.2资源包优化5.2.3冷启动时间5.2.4服务器响应时间5.2.5并发量移动金融客户端的后台服务器采用分布式架构部署，其并发量应随节点数增加而移动金融客户端的后台服务器内存占有率应不大于80%。5.3移动金融客户端更新移动金融客户端的动态安装文件或补丁文件更新应满足a)软件和补丁升级发布前必须应经过严格的测试，严禁未经测试程序在生产环境发c)测试通过后，使用爱加密软件对安卓APK包进行加固，关f)灰度发布H5离线包、APK安装包，安卓用户通过更新提示更新，iOS用户通过Testflight更g)灰度验证通过后，安装包分别送安卓应用市场、h)若生产发现闪退、卡顿等原生客户端问题，可通过热更新补5.4软件共存3)如果非文本内容在页面局部更新中发生在移动金融客户端中，应提供可访问或可关闭的操作机在移动金融客户端中，不应包含任何闪光超过3次每秒的内容，或闪光低于一般闪光和红色闪3)对于以特定格式输入的表单提示，页面应提供表单提用的词或词组（包括习语和术语）的具体定义，且该机制可以正在移动金融客户端中，用户提交信息时至少应符合下述条件3)在最后完成提交之前，提供一个检查、确认、修c)技术指标应满足错误拒绝率（FRR）≤3%的情况下，错误接受率（F2)