自互聯網金融誕生以來發展迅猛，移動金融類APP層出不窮，但同時也出現了各種問題。長期以來網上充斥著各種假冒、仿冒APP，嚴重影響了互聯網金融的正常發展。由于之前沒有針對移動金融APP的強制性技術標準和檢測標準，使得移動金融APP產品猶如雜草般肆意生長，個人信息安全問題時有發生，直接威脅著人民群眾的財產安全。

為了整頓雜亂無章的移動金融APP市場，人民銀行印發了《關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》（銀發〔2019〕237號）（以下簡稱“237號文”），237號文不僅提出要加強移動金融APP的監管力度，更是明確了移動金融APP在保險、證券等泛金融行業的安全建設標準，強調要進行實名備案，堪稱“史上最嚴”監管。

日前，為了落實237號文要求，“移動金融APP”備案工作正在如火如荼的進行。中國互聯網金融協會（以下簡稱“互金協會”）已經公布了第一批參與備案的試點機構名單，所涉及企業紛紛提交待測APP版本到備案檢測工作所指定的檢測機構，認證檢測工作正在有條不紊的開展。

據悉，第一批測試完成的試點產品涉及“手機銀行” 、“信用卡APP”等知名產品，部分已暴露出來的問題主要集中在 “數據敏感性”、“數據通信”、“數據完整性”等方面。各問題清單已經反饋至各軟件廠商，進入整改階段。

根據“237號文”精神，政策性銀行、商業銀行、證券公司、基金公司、保險集團、支付機構等均在參與范疇之列，今后會在一批認證試點的基礎上擴展到整個金融行業。那么問題來了：早晚都要備案的移動金融APP，有哪些危險的“紅線”需要注意呢？接下來為您詳細解讀：

·“紅線”源于“標準”

由于認證工作開展的是圍繞標準展開的，因而各單位所不能觸及的危險“紅線”均是來源現行標準，標準包括：

JR/T 0092《移動金融客戶端應用軟件安全管理規范》

JR/T 0098.3《中國金融移動支付檢測規范第3部分：客戶端軟件》

T/PACA 0006《條碼支付移動客戶端軟件檢測規范》

其中《移動金融客戶端應用軟件安全管理規范》是移動金融APP檢測的主要技術依托，里面涵蓋金融客戶端應滿足的安全要求以及相關管理要求。針對相關要求提出了以下細則：

細則分為：安全管理規范總體要求、客戶端應用軟件安全要求、客戶端應用軟件管理要求三個大類。

其中客戶端應用軟件安全要求分為：身份認證安全、邏輯安全、安全功能設計、密碼算法以及密鑰管理、數據安全?？蛻舳藨密浖芾硪蟀ǎ涸O計要求、開發要求、發布要求、維護要求。

共計三大類，9項要求。每項要求又包含1-10余項不等的具體細則要求，例如：在“個人金融信息展示”基本要求中規定了“不應明文顯示銀行卡密碼和網絡支付交易密碼”。

《中國金融移動支付檢測規范第3部分：客戶端軟件》分為“基本檢測項”、“功能檢測項”、“性能檢測項”和“安全檢測項”。分別在上述四個方面進行了約束和要求：

《條碼支付移動客戶端軟件檢測規范》移動終端安全分為“移動終端安全”、“交易安全”和“兼容性測試”三大類要求：

上述三個規范，百余項具體細則要求共同支撐起了整個移動金融APP備案體系，而每一項要求也正是我們企業所不能夠觸及的危險紅線。

·尋“紅線”宜“咨詢”

如果您的企業在移動金融APP備案過程中對標準的解讀或對技術要求中不應觸及的紅線不盡清楚的話，建議您向指定的檢測機構咨詢，這樣可以用最少的時間精準把握各項指標。CFCA等專業的移動金融APP備案指定檢測機構能夠提供幫助，直接和認證機構對接，可以提供 “咨詢”、“檢測”、“認證”、“年檢復測”的一站式服務，準確解讀相關政策，對認證進行全面把控，幫助您的APP遠離危險“紅線”，全程為您保駕護航。

責任編輯：韓希宇