JRT 0231-2021第三方软件开发工具包接入指南.docx

JR附件 8 JR ICS 35.240.40 CCS A 11 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0231—2021 银行第三方软件开发工具包（SDK）安全接入指南 Guidelines for security access of importing third party software development kit in bank 2021 - 07 - 22 发布 2021 - 07 - 22 实施 中国人民银行 发 布 JR/T 0231—2021 目??次 前言 II 引言 III 范围 1 规范性引用文件 1 术语和定义 1 缩略语 2 工具包分类 2 总体原则 3 信息保护 3 信息透明 3 无主观恶意 4 全周期管理 4 第三方工具包设计安全 4 资源控制 4 身份认证 4 访问控制 5 数据安全 5 软件容错 5 攻击防护 6 安全审计 6 个人信息收集 6 第三方工具包交付 7 附录 A （资料性） 第三方工具包恶意行为 8 附录 B （资料性） 银行集成第三方软件开发工具包的安全指南 10 参考文献 12 I JR/T 0231—2021 前??言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国银行业协会提出。 本文件由全国金融标准化技术委员会（SAC/TC 180）归口。 本文件起草单位：中国银行业协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、兴业银行股份有限公司、北京银联金卡科技有限公司、北京梆梆安全科技有限公 司、北京奇虎科技有限公司、网神信息技术（北京）股份有限公司。 本文件主要起草人：潘光伟、张芳、高峰、李宽、王阳、敦宏程、苏建明、刘涌、叶红、蒋家堂、 孟宪哲、金驰、戴心齐、马强、牟天宇、李亚敏、赵成刚、陈嘉、胡江海、谢振哲、高强裔、贝松涛、 郭显杰、林宝晶。 II JR/T 0231—2021 引??言 随着银行网上应用功能的日益丰富，软件开发工具包（SDK,software development kit）越来越多地集成到了银行网络金融应用当中，在支持方便快捷开发的同时，也在金融信息安全等方面带来了一些隐患和问题。 银行应用系统中集成第三方软件开发工具包关系金融信息系统的稳定可靠，不安全的第三方软件开 发工具包引入银行应用系统可能带来用户信息泄露、资产窃取等风险，需要对银行引进第三方软件开发 工具包的过程进行约束，规范第三方软件开发工具包引进的安全性，促进第三方软件开发工具包在银行 各类应用中集成的安全、健康发展。 III JR/T 0231—2021 银行第三方软件开发工具包（SDK）安全接入指南 范围 本文件提供了第三方软件开发工具包（以下简称第三方工具包）引入的总体原则、工具包分类以及 安全技术指南。 本文件适用于银行引入第三方软件开发工具包的安全技术参考，也供保险、证券等其他金融行业参 考。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T 35273—2020 信息安全技术 个人信息安全规范GB/T 36328—2018 信息技术 软件资产管理 标识规范JR/T 0068—2020 网上银行系统信息安全通用规范 JR/T 0171—2020 个人金融信息保护技术规范 术语和定义 JR/T 0068—2020和JR/T 0171—2020界定的以及下列术语和定义适用于本文件。 软件开发工具包 software development kit； SDK 基于特定软件包、软件框架、硬件平台、操作系统等建立应用软件时所使用的软件开发工具集合。 宿主应用 host application 引用工具包的应用。 支付敏感信息 payment sensitive information 影响网上银行安全的密码、密钥以及交易敏感数据。 注：密码包括转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2。 [来源：JR/T 0068—2020,3.4] 1 JR/T 0231—2021 个人金融信息 personal financial information 金融机构通过