1 ICS 35.240.40 A11 团体标准 T/PCAC 000 8-2020 商业银行应用程序接口安全管理检测规范 Testing specification on commercialbank application programming interface secur e management 2020 - 11 -20发布 2020 - 11 -20实施 中国支付清算协会 发布 全国团体标准信息平台 2 目 录 前 言 ................................ ................................ .............. 3 1 范围 ................................ ................................ ................................ ................................ ......................... 4 2 规范性引用文件 ................................ ................................ ................................ ................................ ...... 4 3 商业银行安全设计检测 ................................ ................................ ................................ ........................... 4 4 商业银行安全部署检测 ................................ ................................ ................................ ........................... 8 5 商业银行安全集成检测 ................................ ................................ ................................ ........................... 9 6 商业银行安全运维检测 ................................ ................................ ................................ ......................... 12 7 商业银行服务终止与系统下线检测 ................................ ................................ ................................ ...... 15 8 商业银行安全管理检测 ................................ ................................ ................................ ......................... 16 9 应用方安全设计检测 ................................ ................................ ................................ ............................. 18 10 应用方安全部署检测 ................................ ................................ ................................ ........................... 19 11 应用方安全集成检测 ................................ ................................ ................................ ........................... 19 12 应用方安全运维检测 ................................ ................................ ................................ ........................... 22 13 应用方安全管理检测 ................................ ................................ ................................ ........................... 24 全国团体标准信息平台 T/PCAC 000 8-2020 3 前 言 本规范由中国支付清算协会提出。 本规范由中国支付清算协会 安全与技术标准 专业委员会归口。 本规范主要起草单位: 中国支付清算协会、 中国工商银行 股份有限公司 、中国农业银行 股份有限 公司、中国建设银行 股份有限公司 、招商银行 股份有限公司 、中信银行 股份有限公司 、民生银行 股份 有限公司 、北京银行 股份有限公司 、山东省农村信用社 联合社、浙江网商银行 股份有限公司 、中国银 联股份有限公司、北京中金国盛认证有限公司、 北京银联金卡科技有限公司、中金金融认证中心有限 公司、北京软件产品质量检测检验中心 、国信在线(北京)经济文化发展中心 、上海云从企业发展有 限公司、航天中认软件测评科技(北京)有限责任公司 等单位。 本规范主要起草人 :陈波、马国光、刑桂伟、于沛、何一江、陈旭东、薛宇、相海飞 、姜城、卓越、 孙勇、杨文涛 、苏晨、赵海龙、李明捷、 贾海明、朱文义、穆庆新 、虞刚、李晓东 、宗勇涛、张奔 、 刘亚军、杨荣明 、宋铮、左敏、 蒋慧科、尹祥龙 、刘力慷、张健、渠韶光、 侯晓晨、 张勇、王飞宇、 高峰、张鹏、于泉、吴冬宇、朱震宇、许劭华 、李军、孙明慧、石跃超等 。 本规范为首次发布。 全国团体标准信息平台 4 商业银行应用程序接口安全管理检测规范 1 范围 本规范规定了商业银行应用程序接口在安全设计、安全部署、安全集成、安全运维、服 务终止与系统下线、安全管理等方面的检测要求。 适用于开展商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方。并 为第三方安全评估机构等单位开展安全检查与评估工作提供参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适 用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069 信息安全技术 术语 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0124 —2014 金融机构编码规范 JR/T 0185 —2020 商业银行应用程 序接口安全管理规范 3 商业银行安全设计检测 3.1 基本要求 检测目的:验证商业银行应用程序接口及接口服务层的安全设计是否满足基本要求 。 检测方法: 1) 检查商业银行应用程序接口及接口服务层使用的密码算法和密码算法的用途、 使用范围、 实现方式(软件、硬件或固件)是否安全有效;检查使用的密码算法和技术是否符合国 家密码管理部门和行业主管部门发布的国家标准或行业标准; 检查使用的密码产品是否 获得具备资质( 国家密码管理部门和行业主管部门授权 )的商用密码认证机构 颁发的商 用密码产品认证证书 ; 2) 检查商业银行是否制定了安全编码规范 ; 3) 检查商业银行是否就安全编码规范对开发人员进行培训并核查培训记录; 访谈开发人员 对安全编码规范执行情况,查看应用程序接口源代码是否依据安全编码规范进行开发 ; 4) 检查商业银行应用程序接口开发中使用的第三方应用组件, 是否进行安全性验证并形成 验证结论; 核查商业银行是否持续关注第三方应用组件发布平台的信息披露和更新情况, 适时更新相关组件并形成更新记录 ; 5) 检查商业银行针对应用程序接口代码安全专项审计的工作方式; 查看已有应用程序接口 的代码安全专项审计报告,并核查报告中所披露的脆弱点是否得到妥善处置 ; 6) 检查商业银行是否制定源代码和应用程序接口版本管理与控制规程, 查看规程中是否包 含源代码和和应用程序接口版本管理,并就接口废止、变更等情况与应用方保持信息同 步相关内容;核查 源代码和应 用程序接口版本管理是否符合规程要求,是否具有变更记 录和说明 ; 7) 检查商业银行向应用方提供的异常与调试信息是否泄漏服务器、中间件、数据库等软硬 件信息或内部网络信息。 全国团体标准信息平台 T/PCAC 000 8-2020 5 通过标准: 1) 商业银

pdf文档 T-PCAC 0008—2020 商业银行应用程序接口安全管理检测规范

文档预览
中文文档 25 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
T-PCAC 0008—2020 商业银行应用程序接口安全管理检测规范 第 1 页 T-PCAC 0008—2020 商业银行应用程序接口安全管理检测规范 第 2 页 T-PCAC 0008—2020 商业银行应用程序接口安全管理检测规范 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-12-15 01:55:00上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。