华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > 移动互联网APP安全认证 > 中国支付清算协会于沛:金融App认证情况及问题

App安全认证:中国支付清算协会于沛:金融App认证情况及问题

文章录入:华道众合   文章来源:移动支付网   添加时间:2021-2-22
2020年11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳召开,中国支付清算协会(以下简称“协会”)技术与标准部主任于沛在会上介绍了金融客户端软件标准实施的最新进展。
金融App认证情况

据于沛介绍,截至2020年10月底,检测认证机构共受理客户端软件认证申请1300余项,其中已完成认证审查的有200余项,包括工商银行、建设银行、中国银行、陆金所、支付宝、微信、京东金融等上百款客户端应用软件已经通过认证。

在实施过程中,检测认证机构根据标准规范的要求,对客户端应用软件的安全质量进行严格把关,重点从身份认证安全、逻辑安全、数据安全、密码算法及密钥管理、人机交互安全等29个方面进行检测认证。通过本项工作的开展,部分金融机构客户端应用软件存在的安全防护能力不够、超范围收集个人信息等问题被发现和改正。

金融App认证工作有待加强的三个方面


目前App认证工作的开展中也存在一些环节有待加强。

一是申请方与检测、认证机构商务对接耗时较长。金融机构对于客户端应用软件认证的采购流程繁琐冗长,内部审批环节较多,间接导致其确定最终采购意向及后续相关工作的推迟。

由于各金融机构内部流程的差异化,申请方对于需要盖章签署的受理材料,诸如检测、认证合同等材料的处理进度较长。

二是申请方提交申请资料的准备不充分。在提交认证申请材料时,部分机构需要花费较长的时间进行准备,并且在此过程中还需与检测、认证机构就相关问题进行反复沟通。

约有50%的申请方提交其申请资料时不符合相关要求,无法如期进入检测认证的实施阶段。

三是申请方就检测、认证环节发现的问题进行整改的进度较慢。针对检测、认证审查阶段发现的问题,申请方普遍需要经历1至3个月甚至更久的时间对其客户端应用软件进行整改。整改完成后若检测机构在复检时发现其软件产品仍存在不合格的情况,则还需检测机构配合申请方对其软件进行多轮复检。

未来工作重点

最后,于沛还介绍了协会在金融App支持IPv6的实施计划。协会已经组织相关单位根据金融标准《JR/T 0092-2019移动金融客户端应用软件安全管理规范》相关要求起草了《移动金融客户端应用软件安全检测规范》,并依据金融行业IPv6规模部署技术验证指标体系对客户端软件支持IPv6方面也提出了相关检测措施要求,适时开始执行。

想了解更多的关于App安全认证信息可以经常关注我们