YD_T 3669-2020 移动通信终端支付软件安全技术要求.docx

ICS 33.030 M21 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3669—2020 移动通信终端支付软件安全技术要求 Security technical requirements for mobile payment application of mobile communication terminal 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3669—2020 目 次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 2 4 功能安全 2 4.1 安装与卸载 2 4.2 启动与关闭 2 4.3 功能申请 3 4.4 运行 3 4.5 更 新 3 4.6 推送安全 4 4.7 广告安全 4 5 软件安全 4 5.1 代码安全 4 5.2 调用安全 5 5.3 异常环境检测 5 5.4 自身安全防护 5 5.5 防旁道信息泄露 6 5.6 第三方签名 6 5.7 漏洞管理 6 6 数据安全 6 6.1 数据输入 6 6.2 数据存储 7 6.3 数据删除 7 6.4 数据访问控制 7 6.5 数据传输 7 7 通信安全 7 7.1 网络通信协议 7 7.2 传输数据的必威体育官网网址性和完整性 8 8 业务安全 8 8.1 人机交互安全 8 Ⅱ YD/T 3669—2020 8.2 身份认证 9 8.3 密码策略 9 8.4 交易安全 9 参考文献 10 Ⅲ YD/T 3669—2020 前 言 本标准按照 GB/T1.1—2009 给出的规则起草。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、浙江蚂蚁小微金融服务集团股份有限公司。 本标准主要起草人：袁琦、陈婉莹、尚山虎、潘娟、王宇晓、落红卫、董霁、方海峰、杨正军、焦 四辈。 YD/T 3669—2020 移动通信终端支付软件安全技术要求 1 范围 本标准规定了移动通信终端支付软件在软件功能性安全、软件自身防护能力、软件的数据、通信安 全和业务安全方面的技术要求。 本标准适用于移动通信终端支付软件开发者，也可作为移动应用用户、安全测试及审核认证机构评 估移动通信终端支付软件安全能力的参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/Z 28828—2012 信息安全技术公共及商用服务信息系统个人信息保护指南 YD/T 3788—2020 移动智能终端应用软件分类与可卸载实施指南 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 支付软件 mobile payment applications 针对移动智能终端所开发的涵盖自有支付模块或银行卡绑定功能的终端应用程序。 3.1.2 个人数据 personal data 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的电 子数据。个人数据可以分为敏感数据和一般数据。 3.1.3 敏感数据 sensitive data 一旦遭到泄露或修改，会对标识的个人数据主体造成不良影响的个人数据。在支付软件中可包括： 身份认证信息、用户名、密码、口令动态密码/短信校验码、银行卡卡号、身份证号、信用卡安全码、 2 YD/T 3669—2020 卡片有效期、交易信息、生物识别认证信息、安保问题答案、服务器会话标识、手机号、联系人名单、 联系/收货地址等。 3.1.4 一般数据 general data 除个人敏感数据以外的个人数据。 3.1.5 大额支付 high-value payment 单笔金额五万元含以上支付皆为大额支付。 3.2 缩略语 下列缩略语适用于本文件。 SSL 安全套接字层 Secure Socket Layer TLS 传输层安全 Transport Layer Security IPSEC IP安全协议 Internet Protocol Security TEE 可信执行环境 Trusted Execution Environment TPM 可信平台模块 Trusted Platform Module SE 安全元件 S