YD_T 3670-2020 移动通信终端支付软件安全测试方法.docx

ICS 33.030 M21 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3670—2020 移动通信终端支付软件安全测试方法 Test methods for mobile payment application of mobile communication terminal 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3670—2020 目 次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 概述 2 4.1 测试方法 2 4.2 结果描述 2 4.3 测试环境 2 5 功能安全 3 5.1 安装与卸载 3 5.2 启动与关闭 5 5.3 功能申请 5.4 运 行 7 5.5 更 新 10 5.6 推送安全 12 5.7 广告安全 13 6 软件安全 15 6.1 代码安全 15 6.2 调用安全 17 6.3 异常环境检测 18 6.4 自身安全防护 19 6.5 防旁道信息泄露 20 6.6 第三方签名 21 6.7 漏洞管理 21 7 数据安全 23 7.1 数据输入 23 7.2 数据存储 25 7.3 数据删除 27 7.4 数据访问控制 28 7.5 数据传输 28 8 通信安全 29 8.1 网络通信协议 29 8.2 传输数据的必威体育官网网址性和完整性 30 Ⅱ YD/T 3667—2020 9 业务安全 31 9.1 人机交互安全 31 9.2 身份认证 35 9.3 密码策略 36 9.4 交易安全 40 参考文献 41 Ⅲ YD/T 3670—2020 前 言 本标准是“移动通信终端支付软件”系列标准之一，该系列标准的名称如下： 够动通信终端支付软件安全技术要求： ——移动通信终端支付软件安全测试方法。 本标准按照 GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、浙江蚂蚁小微金融服务集团股份有限公司。 本标准主要起草人：陈婉莹、王宇晓、袁琦、尚山虎、潘娟、落红卫、董霁、方海峰、杨正军、翟 世俊。 YD/T 3670—2020 移动通信终端支付软件安全测试方法 1 范围 本标准规定了移动通信终端支付软件在软件功能安全、软件自身安全、软件数据安全、软件通信安 全和软件业务安全方面的测试方法。 本标准适用于移动通信终端支付软件。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 YD/T 3669—2020 移动通信终端支付软件安全技术要求 移动智能终端应用软件分类与可卸载实施指南 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 支付软件 mobile payment applications 针对移动智能终端所开发的涵盖自有支付模块或银行卡绑定功能的终端应用程序。 3.1.2 个人数据 personal data 可为信息系统所处理、与特定自然人相关、能单独或通过与其他信息结合识别该特定自然人的电子 数据。个人数据可以分为敏感数据和一般数据。 3.1.3 敏感数据 sensitive data 一旦遭到泄露或修改，会对标识的个人数据主体造成不良影响的个人数据。在支付软件中可包括身 份认证信息、用户名、密码、口令动态密码/短信校验码、银行卡卡号、身份证号、信用卡安全码、卡 片有效期、交易信息、生物识别认证信息、安保问题答案、服务器会话标识、手机号、联系人名单、联 2 YD/T 3670—2020 系/收货地址等。 3.1.4 一般数据 general data 除个人敏感数据以外的个人数据。 3.1.5 大额支付 high-value payment 单笔金额五万元含以上支付皆为大额支付。 3.2 缩略语 下列缩略语适用于本文件。 SSL Secure Socket Layer 安全套接字层 TLS Transport Layer Security 传输层安全 IPSEC Internet Protocol Security IP 安全协议 TEE Trusted Exec