随着银行网上应用功能的日益丰富,软件开发工具包(SDK,software development kit)越来越多地集成到了银行网络金融应用当中,在支持方便快捷开发的同时,也在金融信息安全等方面带来了一些隐患和问题。
银行应用系统中集成第三方软件开发工具包关系金融信息系统的稳定可靠,不安全的第三方软件开发工具包引入银行应用系统可能带来用户信息泄露、资产窃取等风险,需要对银行引进第三方软件开发工具包的过程进行约束,规范第三方软件开发工具包引进的安全性,促进第三方软件开发工具包在银行各类应用中集成的安全、健康发展。
本文件提供了第三方软件开发工具包(以下简称第三方工具包)引入的总体原则、工具包分类以及安全技术指南。本文件适用于银行引入第三方软件开发工具包的安全技术参考,也供保险、证券等其他金融行业参考。
▼
(全文略)
第三方工具包在宿主应用中进行信息处理时,宜遵循以下原则:a)处理个人金融信息或支付敏感信息具有特定、明确、合理的目的,不扩大使用范围,在未声明情况下不改变处理敏感信息的目的。b)处理个人金融信息或支付敏感信息前,对敏感信息的获取目的、获取内容、使用范围、采用的防护措施等进行说明和告知。c)只处理与处理目的有关的最少信息,达到处理目的后,删除敏感信息。d)明确个人金融信息或支付敏感信息处理过程中的责任,采取相应的措施落实相关责任,并对敏感信息处理过程进行记录以便追溯。e)不超出授权范围获取交易数据、客户及客户端信息等内容。f)未经授权情况下,不向非相关方提供宿主应用接口、交易数据、客户及客户端信息等内容。
附:银行业第三方软件开发工具包(SDK)安全接入指南.pdf
▲
– The end –