1T/XXXXXXX—XXXX保險(xiǎn)數(shù)字科技支付應(yīng)用安全管理要求本文件規(guī)定了應(yīng)用軟件的總體要求、應(yīng)用安全要求和應(yīng)用管理要求。本文件適用于開(kāi)展保險(xiǎn)支付業(yè)務(wù)的各類主體，包括但不限于保險(xiǎn)公司、保險(xiǎn)經(jīng)紀(jì)公司、保險(xiǎn)代理公司，以及提供保險(xiǎn)支付技術(shù)服務(wù)的第三方科技公司。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求JR/T0071（所有部分）金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1保險(xiǎn)數(shù)字科技支付應(yīng)用insurancedigitaltechnologypaymentapplication依托大數(shù)據(jù)、人工智能、區(qū)塊鏈、移動(dòng)互聯(lián)等數(shù)字技術(shù)，在保險(xiǎn)業(yè)務(wù)全流程中實(shí)現(xiàn)支付環(huán)節(jié)數(shù)字化、智能化升級(jí)的應(yīng)用體系。注：全文簡(jiǎn)稱“應(yīng)用軟件”3.2支付敏感信息payment-sensitiveinformation在支付交易過(guò)程中產(chǎn)生、傳輸或存儲(chǔ)，一旦泄露、濫用、篡改或丟失，可能導(dǎo)致用戶財(cái)產(chǎn)安全受到威脅、身份被冒用或支付系統(tǒng)安全受損的關(guān)鍵數(shù)據(jù)。3.3動(dòng)態(tài)模塊dynamicmodule在軟件系統(tǒng)、程序或應(yīng)用運(yùn)行過(guò)程中，能夠被動(dòng)態(tài)加載、卸載、更新或替換的功能單元或代碼模塊。4總體要求4.1應(yīng)用軟件分為資金交易類、信息采集類和資訊查詢類，具體要求如下：a)資金交易類應(yīng)用軟件應(yīng)符合資金交易、信息保護(hù)等所有技術(shù)及管理安全要求；b)信息采集類應(yīng)用軟件應(yīng)重點(diǎn)符合信息保護(hù)相關(guān)技術(shù)及管理安全要求；c)資訊查詢類應(yīng)用軟件參照?qǐng)?zhí)行相關(guān)應(yīng)用安全和管理要求。4.2保險(xiǎn)支付科技應(yīng)用包含多種關(guān)鍵系統(tǒng)及功能模塊，實(shí)現(xiàn)保險(xiǎn)業(yè)務(wù)從投保到理賠全流程的數(shù)字化支付與管理。4.3通過(guò)數(shù)字化手段，應(yīng)用可對(duì)保險(xiǎn)賬戶進(jìn)行精準(zhǔn)管理，方便保險(xiǎn)公司及客戶隨時(shí)查詢與核對(duì)信息，提升客戶服務(wù)質(zhì)量與滿意度。4.4網(wǎng)絡(luò)信息安全應(yīng)符合GB/T22239的具體要求，明確安全物理環(huán)境、通信網(wǎng)絡(luò)等多維度要求。5應(yīng)用安全要求5.1安全分級(jí)2T/XXXXXXX—XXXX不同業(yè)務(wù)場(chǎng)景、不同機(jī)構(gòu)規(guī)模面臨的風(fēng)險(xiǎn)等級(jí)和所能投入的安全資源差異大，應(yīng)根據(jù)應(yīng)用所處理的資金額度、數(shù)據(jù)敏感性、業(yè)務(wù)關(guān)鍵性等因素，應(yīng)符合JR/T0071（所有部分）的要求，劃分要求如下：a)基礎(chǔ)級(jí)：適用于純信息查詢、小額保費(fèi)續(xù)繳等低風(fēng)險(xiǎn)場(chǎng)景，強(qiáng)制執(zhí)行標(biāo)準(zhǔn)中的核心安全要求；b)增強(qiáng)級(jí)：適用于投保支付、大額理賠、賬戶信息修改等高風(fēng)險(xiǎn)場(chǎng)景。5.2身份認(rèn)證安全5.2.1認(rèn)證方式5.2.1.1支持多種認(rèn)證方式，包括但不限于用戶名/密碼、短信驗(yàn)證碼、指紋識(shí)別、面部識(shí)別、數(shù)字證書(shū)等。應(yīng)根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)，為用戶提供單因素或多因素組合認(rèn)證方式，具體要求如下。a)應(yīng)用軟件登錄時(shí)應(yīng)采用適宜的驗(yàn)證要素，包括但不限于口令、短信驗(yàn)證碼、手勢(shì)密碼、生物特征識(shí)別等方式；b)應(yīng)確保采用的身份驗(yàn)證要素相互獨(dú)立，即部分要素的損壞或者泄露不應(yīng)導(dǎo)致其他要素?fù)p壞或者泄露，如：用于登錄驗(yàn)證的口令和用于交易的口令不能一致；c)應(yīng)用軟件交易時(shí)應(yīng)按照相關(guān)業(yè)務(wù)管理要求對(duì)用戶身份進(jìn)行認(rèn)證，根據(jù)風(fēng)險(xiǎn)策略自行定義大額資金閾值并文檔化；d)對(duì)于手勢(shì)密碼、短信驗(yàn)證碼、生物特征信息作為驗(yàn)證要素或驗(yàn)證要素組合中的一種時(shí)，應(yīng)滿足如下要求：1)若采用手勢(shì)密碼作為驗(yàn)證要素，手勢(shì)密碼應(yīng)至少設(shè)置連續(xù)不間斷的4個(gè)點(diǎn)；2)若采用短信驗(yàn)證碼作為驗(yàn)證要素，短信驗(yàn)證碼應(yīng)僅使用一次，僅限于在規(guī)定時(shí)間內(nèi)使用，短信驗(yàn)證碼應(yīng)具備長(zhǎng)度和隨機(jī)性的要求，短信驗(yàn)證碼所在的短信內(nèi)容中，應(yīng)告知用戶短信驗(yàn)證碼的用途；3)若采用生物特征識(shí)別作為驗(yàn)證要素，應(yīng)當(dāng)符合國(guó)家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止非法存儲(chǔ)、復(fù)制和重放。e)若采用圖形驗(yàn)證碼作為驗(yàn)證的輔助要素，圖形驗(yàn)證碼應(yīng)具有使用時(shí)間限制并僅能使用一次，圖形驗(yàn)證碼應(yīng)由服務(wù)器生成，保險(xiǎn)數(shù)字科技支付源文件中不應(yīng)包含圖形驗(yàn)證碼的文本內(nèi)容。f)圖形驗(yàn)證碼不應(yīng)作為獨(dú)立的身份驗(yàn)證要素。5.2.1.2應(yīng)用軟件登錄應(yīng)采用兩種或兩種以上的要素對(duì)用戶身份進(jìn)行認(rèn)證。在用戶身份認(rèn)證后，應(yīng)用軟件進(jìn)入終端系統(tǒng)后臺(tái)時(shí)，如果超過(guò)設(shè)定時(shí)限后被喚醒切換到前臺(tái)，應(yīng)采取措施對(duì)用戶身份重新認(rèn)證。5.2.2認(rèn)證信息安全5.2.2.1安全輸入要求如下：a)用戶認(rèn)證信息在存儲(chǔ)和傳輸過(guò)程中應(yīng)進(jìn)行加密處理。采用高強(qiáng)度加密算法，對(duì)密碼進(jìn)行加密存儲(chǔ)，防止認(rèn)證信息在數(shù)據(jù)庫(kù)中被竊?。籦)在傳輸時(shí)，使用SSL/TLS（安全套接層/傳輸層安全）協(xié)議加密通信鏈路，做到認(rèn)證信息在網(wǎng)絡(luò)傳輸過(guò)程中不被監(jiān)聽(tīng)獲取。同時(shí)，定期更新加密密鑰，增強(qiáng)加密安全性；c)應(yīng)用軟件應(yīng)提供客戶輸入銀行卡支付密碼和網(wǎng)絡(luò)支付交易密碼的即時(shí)防護(hù)功能，保險(xiǎn)數(shù)字科技支付應(yīng)提供以下安全控制措施，或其他經(jīng)攻擊測(cè)試無(wú)法獲取明文的安全防護(hù)措施；d)應(yīng)用軟件應(yīng)提供客戶輸入信息的即時(shí)防護(hù)功能，如：卡片驗(yàn)證碼、卡片有效期、銀行卡賬號(hào)、身份證號(hào)碼、手機(jī)號(hào)碼等信息。5.2.2.2個(gè)人信息應(yīng)符合GB/T35273的要求，具體要求如下：a)應(yīng)用軟件的口令框應(yīng)默認(rèn)屏蔽顯示，屏蔽顯示時(shí)應(yīng)使用同一特殊字符代替；b)應(yīng)用軟件不應(yīng)明文顯示銀行卡密碼和網(wǎng)絡(luò)支付交易密碼；c)應(yīng)用軟件展示個(gè)人金融信息時(shí)，應(yīng)符合以下要求。1)處于未登錄狀態(tài)時(shí)，不應(yīng)展示與個(gè)人信息主體相關(guān)的用戶鑒別信息；2)處于已登錄狀態(tài)時(shí)，銀行卡號(hào)、客戶法定名稱、手機(jī)號(hào)碼、證件類或其他識(shí)別標(biāo)識(shí)信息等可以直接或組合后確定信息主體的信息應(yīng)進(jìn)行屏蔽展示，或由用戶選擇是否屏蔽展示，如需完整展示，應(yīng)履行身份驗(yàn)證，并做好此類信息管理，防范此類信息泄漏風(fēng)險(xiǎn)。5.2.3認(rèn)證失敗處理T/XXXXXXX—XXXX35.2.3.1當(dāng)用戶認(rèn)證失敗時(shí)，系統(tǒng)應(yīng)限制連續(xù)嘗試次數(shù)，如連續(xù)3次認(rèn)證失敗后，鎖定賬戶一定時(shí)間。5.2.3.2應(yīng)用軟件應(yīng)提供認(rèn)證失敗處理功能，可采取結(jié)束會(huì)話、限制失敗登錄次數(shù)和自動(dòng)退出等措施。5.2.3.3在提示客戶認(rèn)證失敗時(shí)，應(yīng)模糊錯(cuò)誤提示信息，防止錯(cuò)誤提示信息中泄露用戶全部賬號(hào)、交易金額等敏感數(shù)據(jù)。5.2.4密碼設(shè)定與重置5.2.4.1應(yīng)用軟件應(yīng)配合服務(wù)端提供密碼復(fù)雜度校驗(yàn)功能，保證用戶設(shè)置的密碼達(dá)到一定的強(qiáng)度，避免采用簡(jiǎn)單交易密碼或與客戶個(gè)人信息相似度過(guò)高的交易密碼。5.2.4.2應(yīng)嚴(yán)格限制使用初始登錄密碼與初始交易密碼，具體要求如下：a)設(shè)置初始密碼，應(yīng)強(qiáng)制用戶在首次登錄后修改初始密碼；a)修改密碼前，應(yīng)對(duì)用戶身份進(jìn)行重新驗(yàn)證；b)修改密碼時(shí)應(yīng)對(duì)原密碼輸入錯(cuò)誤次數(shù)進(jìn)行限制；c)修改密碼時(shí)新密碼不應(yīng)與原密碼相同；d)密碼重置時(shí)，應(yīng)使用短信驗(yàn)證碼、用戶注冊(cè)信息校核等方式，對(duì)用戶身份進(jìn)行校驗(yàn)。5.2.4.3應(yīng)采取技術(shù)性建議或限制客戶設(shè)置與常用軟件、網(wǎng)站相同或相似的用戶名和密碼組合，并采取有效措施引導(dǎo)客戶設(shè)置獨(dú)立的支付密碼。5.3邏輯安全5.3.1邏輯安全設(shè)計(jì)5.3.1.1在系統(tǒng)設(shè)計(jì)階段，進(jìn)行全面的安全需求分析與風(fēng)險(xiǎn)評(píng)估，識(shí)別潛在邏輯漏洞。采用安全設(shè)計(jì)模式，如訪問(wèn)控制列表（ACL）、最小權(quán)限原則等，確保系統(tǒng)各模塊間數(shù)據(jù)訪問(wèn)與操作的安全性。5.3.1.2對(duì)于認(rèn)證、校驗(yàn)等安全保證功能的流程設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，確保認(rèn)證流程無(wú)法被繞過(guò)。5.3.1.3對(duì)于交易處理功能邏輯設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保證資金交易安全。5.3.1.4應(yīng)用軟件代碼實(shí)現(xiàn)應(yīng)盡量避免調(diào)用存在安全漏洞的函數(shù)，避免敏感數(shù)據(jù)硬編碼。5.3.2應(yīng)用權(quán)限控制5.3.2.1根據(jù)用戶角色與業(yè)務(wù)需求，精細(xì)劃分應(yīng)用操作權(quán)限。5.3.2.2權(quán)限分配應(yīng)遵循最小必要原則，避免權(quán)限過(guò)大導(dǎo)致的安全風(fēng)險(xiǎn)。定期對(duì)用戶權(quán)限進(jìn)行審查與更新，確保用戶權(quán)限與實(shí)際工作需求相符。5.3.3風(fēng)險(xiǎn)控制5.3.3.1應(yīng)建立實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警機(jī)制，對(duì)異常交易行為進(jìn)行監(jiān)控。5.3.3.2運(yùn)用大數(shù)據(jù)分析技術(shù)，對(duì)歷史交易數(shù)據(jù)進(jìn)行建模分析，設(shè)定風(fēng)險(xiǎn)閾值，當(dāng)交易行為偏離正常模型達(dá)到閾值時(shí)，宜及時(shí)發(fā)出風(fēng)險(xiǎn)提示。5.3.3.3應(yīng)設(shè)計(jì)合理的登錄風(fēng)險(xiǎn)控制策略，包括但不限于：a)當(dāng)用戶閑置在線狀態(tài)超出時(shí)限時(shí)，應(yīng)設(shè)計(jì)合理的賬戶登錄超時(shí)控制策略；b)合理的多點(diǎn)登錄策略，如：提示登錄信息或退出先登錄的賬戶等策略；c)合理的長(zhǎng)期未登錄控制策略，當(dāng)用戶長(zhǎng)時(shí)間未登錄時(shí)，應(yīng)綜合考慮風(fēng)險(xiǎn)情況，增大認(rèn)證強(qiáng)度。5.3.3.4應(yīng)設(shè)計(jì)合理的交易風(fēng)險(xiǎn)控制策略，包括但不限于：a)針對(duì)不同的資金交易金額，應(yīng)設(shè)計(jì)合理的身份認(rèn)證策略；b)針對(duì)不同的資金交易業(yè)務(wù)場(chǎng)景，應(yīng)設(shè)計(jì)合理的策略，如：限額控制策略、時(shí)限控制策略等。5.3.3.5應(yīng)用軟件應(yīng)配合業(yè)務(wù)交易風(fēng)險(xiǎn)控制策略，以安全的方式將相關(guān)信息上送至風(fēng)險(xiǎn)控制系統(tǒng)。5.3.4回退處理在業(yè)務(wù)操作過(guò)程中，如投保、理賠等涉及資金變動(dòng)的操作，若因系統(tǒng)故障、網(wǎng)絡(luò)中斷等原因?qū)е虏僮魇?，系統(tǒng)應(yīng)具備自動(dòng)回退功能，確保數(shù)據(jù)一致性與完整性。5.3.5異常處理T/XXXXXXX—XXXX45.3.5.1對(duì)于系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)的各類異常情況，如程序錯(cuò)誤、數(shù)據(jù)庫(kù)連接失敗、網(wǎng)絡(luò)超時(shí)等，系統(tǒng)應(yīng)進(jìn)行妥善處理。向用戶提供安全的錯(cuò)誤提示信息，避免泄露系統(tǒng)內(nèi)部敏感信息。5.3.5.2應(yīng)將異常信息詳細(xì)記錄到日志文件中，包括異常發(fā)生時(shí)間、位置、錯(cuò)誤類型等，便于技術(shù)人員及時(shí)定位與解決問(wèn)題。對(duì)常見(jiàn)異常情況，設(shè)置自動(dòng)恢復(fù)機(jī)制，提高系統(tǒng)穩(wěn)定性。5.4安全功能設(shè)計(jì)5.4.1組件安全5.4.1.1應(yīng)用軟件應(yīng)避免使用存在已知漏洞的系統(tǒng)組件與第三方組件。在使用第三方組件時(shí)，應(yīng)避免第三方組件未經(jīng)授權(quán)收集應(yīng)用軟件信息和個(gè)人信息。5.4.1.2對(duì)應(yīng)用所使用的第三方組件、開(kāi)源庫(kù)進(jìn)行每年至少一次定期的安全評(píng)估與漏洞掃描。及時(shí)更新存在安全漏洞的組件版本，如發(fā)現(xiàn)開(kāi)源庫(kù)存在高危漏洞，在官方發(fā)布修復(fù)版本后，應(yīng)在規(guī)定時(shí)間內(nèi)完成更新。5.4.1.3建立組件白名單機(jī)制，允許使用經(jīng)過(guò)安全認(rèn)證的組件，不應(yīng)引入惡意或存在安全隱患的組件。對(duì)自研組件進(jìn)行嚴(yán)格的代碼審查與安全測(cè)試，確保組件安全性。5.4.2接口安全5.4.2.1應(yīng)用軟件應(yīng)對(duì)軟件接口進(jìn)行保護(hù)，防止其他應(yīng)用對(duì)應(yīng)用軟件接口進(jìn)行非授權(quán)調(diào)用。5.4.2.2應(yīng)用軟件應(yīng)對(duì)所有外部輸入(包括URI、Header、Body等)進(jìn)行嚴(yán)格的輸入驗(yàn)證、過(guò)濾和編碼，不宜軟件運(yùn)行異?；虿僮鳟惓！?.4.2.3當(dāng)應(yīng)用軟件需要與TEE、SE結(jié)合使用時(shí)，應(yīng)避免使用存在已知漏洞的接口。5.4.3抗攻擊能力5.4.3.1應(yīng)用軟件應(yīng)具備基本的抗攻擊能力，能抵御靜態(tài)分析、動(dòng)態(tài)調(diào)試等操作。5.4.3.2應(yīng)部署防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等安全防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)與過(guò)濾，防止外部攻擊。5.4.3.3定期進(jìn)行滲透測(cè)試，模擬黑客攻擊手段，檢測(cè)系統(tǒng)是否存在安全漏洞。對(duì)發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修復(fù)，如在發(fā)現(xiàn)SQL注入漏洞后，應(yīng)在規(guī)定時(shí)間內(nèi)完成修復(fù)并進(jìn)行復(fù)測(cè)。加強(qiáng)系統(tǒng)自身安全加固。5.4.3.4保險(xiǎn)數(shù)字科技支付代碼應(yīng)使用代碼加密、代碼混淆、檢測(cè)調(diào)試器等手段對(duì)應(yīng)用軟件進(jìn)行安全保護(hù)。5.4.3.5應(yīng)用軟件安裝、啟動(dòng)、更新時(shí)應(yīng)對(duì)自身的完整性和真實(shí)性進(jìn)行校驗(yàn)，具備抵御篡改、替換或劫持的能力。5.4.3.6應(yīng)用軟件應(yīng)使用安全輸入控件，有效防護(hù)鍵盤(pán)鉤子、界面劫持、截屏錄屏等常見(jiàn)攻擊手段。5.4.4應(yīng)用環(huán)境監(jiān)測(cè)5.4.4.1對(duì)應(yīng)用運(yùn)行環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)，包括服務(wù)器CPU使用率、內(nèi)存占用率、磁盤(pán)空間、網(wǎng)絡(luò)帶寬等指標(biāo)。當(dāng)指標(biāo)超出正常閾值時(shí)，及時(shí)發(fā)出預(yù)警信息。5.4.4.2定期對(duì)應(yīng)用環(huán)境進(jìn)行安全檢查，如檢查服務(wù)器操作系統(tǒng)是否存在未安裝的安全補(bǔ)丁、服務(wù)器日志是否被篡改等，確保應(yīng)用環(huán)境安全穩(wěn)定。5.5密碼算法及密鑰管理5.5.1密碼算法5.5.1.1應(yīng)選用符合國(guó)家及行業(yè)標(biāo)準(zhǔn)的密碼算法，根據(jù)業(yè)務(wù)場(chǎng)景與安全需求，合理選擇密碼算法強(qiáng)度。5.5.1.2在構(gòu)建安全的信息系統(tǒng)時(shí)，應(yīng)禁止使用已知不安全算法（如MD5、DES、SHA-1）或默認(rèn)參數(shù)（如RSA密鑰長(zhǎng)度2048位）；推薦使用國(guó)家密碼管理部門(mén)推廣的國(guó)密算法（如SM2、SM3、SM4）。5.5.1.3定期關(guān)注密碼算法安全動(dòng)態(tài)，對(duì)所使用密碼算法的新型攻擊手段或安全漏洞，及時(shí)評(píng)估并調(diào)整密碼算法策略。5.5.1.4應(yīng)用軟件應(yīng)使用密碼算法對(duì)資金有關(guān)交易或重要業(yè)務(wù)操作進(jìn)行保護(hù)。5.5.1.5密碼算法、密鑰長(zhǎng)度及密鑰管理方式應(yīng)符合國(guó)家密碼主管部門(mén)的要求。T/XXXXXXX—XXXX55.5.2密鑰管理5.5.2.1應(yīng)建立完善的密鑰管理系統(tǒng)，對(duì)密鑰的生成、存儲(chǔ)、分發(fā)、使用、更新與銷毀全生命周期進(jìn)行嚴(yán)格管理，應(yīng)符合GB/T39786的要求。5.5.2.2密鑰生成應(yīng)采用安全隨機(jī)數(shù)生成器，確保密鑰的隨機(jī)性與不可預(yù)測(cè)性。密鑰存儲(chǔ)應(yīng)采用加密方式。密鑰分發(fā)應(yīng)采用安全渠道，通過(guò)加密通信鏈路或?qū)Ｓ妹荑€傳輸設(shè)備。5.5.2.3密鑰在傳輸過(guò)程中應(yīng)使用密碼算法對(duì)密鑰進(jìn)行保護(hù)，隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測(cè)性。5.6數(shù)據(jù)安全5.6.1數(shù)據(jù)獲取應(yīng)用軟件數(shù)據(jù)獲取的要求如下。a)數(shù)據(jù)防竊取：1)采用訪問(wèn)控制、加密存儲(chǔ)、數(shù)據(jù)脫敏等措施防止數(shù)據(jù)被竊?。粚?duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)；在數(shù)據(jù)展示與傳輸過(guò)程中，對(duì)敏感信息進(jìn)行脫敏處理；2)應(yīng)用軟件應(yīng)保證內(nèi)存中不存在完整的銀行卡密碼和網(wǎng)絡(luò)支付交易密碼明文；3)應(yīng)用軟件的臨時(shí)文件中不應(yīng)出現(xiàn)支付敏感信息，臨時(shí)文件包括但不限于Cookies、本地臨時(shí)文件等；4)應(yīng)用軟件程序應(yīng)禁止在身份認(rèn)證結(jié)束后存儲(chǔ)支付敏感信息，防止支付敏感信息泄露；5)應(yīng)用軟件運(yùn)行日志中不應(yīng)打印支付敏感信息，不應(yīng)打印完整的敏感數(shù)據(jù)原文。b)數(shù)據(jù)防篡改：運(yùn)用數(shù)字簽名、數(shù)據(jù)校驗(yàn)碼等技術(shù)保證數(shù)據(jù)完整性，防止數(shù)據(jù)被篡改；定期對(duì)數(shù)據(jù)進(jìn)行完整性檢查；c)數(shù)據(jù)有效性：在數(shù)據(jù)錄入環(huán)節(jié)，對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格校驗(yàn)，確保數(shù)據(jù)格式、范圍等符合業(yè)務(wù)規(guī)則；建立數(shù)據(jù)質(zhì)量監(jiān)控機(jī)制，對(duì)數(shù)據(jù)準(zhǔn)確性、完整性、一致性等進(jìn)行定期評(píng)估與修復(fù)；d)數(shù)據(jù)訪問(wèn)控制：依據(jù)用戶角色與業(yè)務(wù)需求，制定細(xì)粒度的數(shù)據(jù)訪問(wèn)控制策略；不同角色限定訪問(wèn)其職責(zé)范圍內(nèi)的數(shù)據(jù)。5.6.2數(shù)據(jù)傳輸應(yīng)用軟件數(shù)據(jù)獲取的要求如下。a)通信安全：1)應(yīng)在應(yīng)用軟件與服務(wù)器之間建立安全的信息傳輸通道，協(xié)議版本應(yīng)及時(shí)更新至安全穩(wěn)定版本；2)應(yīng)確保采用的安全協(xié)議不包含已知的公開(kāi)漏洞；3)應(yīng)用軟件與服務(wù)器應(yīng)進(jìn)行雙向認(rèn)證，可通過(guò)密鑰、證書(shū)等密碼技術(shù)手段實(shí)現(xiàn)服務(wù)器與應(yīng)用軟件之間的安全認(rèn)證。b)數(shù)據(jù)保密性：1)通過(guò)加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密；確保加密密鑰的安全性與保密性，防止密鑰泄露導(dǎo)致數(shù)據(jù)被解密；2)敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在應(yīng)用軟件與本地其他應(yīng)用軟件間傳輸時(shí)，應(yīng)采取加密等措施確保其保密性，若本地其他應(yīng)用軟件不能提供與金融保險(xiǎn)數(shù)字科技支付軟件相應(yīng)等級(jí)的加密接口，則應(yīng)評(píng)估敏感數(shù)據(jù)調(diào)用的風(fēng)險(xiǎn)，并設(shè)計(jì)補(bǔ)救措施；3)敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，應(yīng)采取加密等措施確保其保密性。c)數(shù)據(jù)完整性：1)利用數(shù)字簽名等保證數(shù)據(jù)在傳輸過(guò)程中不被篡改；2)關(guān)鍵的交易數(shù)據(jù)，應(yīng)在技術(shù)可行的情況下，優(yōu)先采用加密等措施（如：數(shù)字簽名、MAC等）確保其完整性，若無(wú)法實(shí)現(xiàn)，則應(yīng)進(jìn)行充分的風(fēng)險(xiǎn)評(píng)估并有書(shū)面記錄，同時(shí)在用戶協(xié)議中明確告知風(fēng)險(xiǎn)；3)關(guān)鍵的交易數(shù)據(jù)、個(gè)人身份信息，如：收款人信息、交易金額、訂單號(hào)、身份證號(hào)碼等，在通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，應(yīng)采取措施（如：數(shù)字簽名、MAC等）確保其完整性。T/XXXXXXX—XXXX6d)數(shù)據(jù)抗抵賴：1)通過(guò)數(shù)字簽名技術(shù)實(shí)現(xiàn)數(shù)據(jù)抗抵賴功能。發(fā)送方對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名，接收方驗(yàn)證簽名后，可確認(rèn)數(shù)據(jù)來(lái)源及發(fā)送方無(wú)法否認(rèn)發(fā)送過(guò)該數(shù)據(jù)；2)在保險(xiǎn)理賠數(shù)據(jù)傳輸中，利用數(shù)字簽名確保理賠申請(qǐng)方與處理方無(wú)法抵賴相關(guān)操作。e)數(shù)據(jù)防重放：1)采用時(shí)間戳、隨機(jī)數(shù)等機(jī)制防止數(shù)據(jù)重放攻擊；2)在數(shù)據(jù)傳輸中添加時(shí)間戳，接收方驗(yàn)證時(shí)間戳是否在合理范圍內(nèi)，使用隨機(jī)數(shù)作為一次性標(biāo)識(shí)符，每次數(shù)據(jù)傳輸生成不同隨機(jī)數(shù)，確保數(shù)據(jù)的唯一性與不可重復(fù)性。5.6.3數(shù)據(jù)存儲(chǔ)5.6.3.1應(yīng)用軟件不應(yīng)以任何形式存儲(chǔ)用戶的支付敏感信息與金融業(yè)務(wù)查詢口令。在滿足法律、管理規(guī)定的前提下，應(yīng)用軟件應(yīng)僅保存業(yè)務(wù)必需的個(gè)人金融信息，并限制數(shù)據(jù)存儲(chǔ)量。5.6.3.2應(yīng)用軟件應(yīng)確保無(wú)法通過(guò)逆向工程等手段直接從本地文件系統(tǒng)中恢復(fù)完整的密鑰明文。5.6.4數(shù)據(jù)展示5.6.4.1在數(shù)據(jù)展示時(shí)，對(duì)敏感信息進(jìn)行脫敏處理，隱藏身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)碼中間部分?jǐn)?shù)字。5.6.4.2根據(jù)用戶權(quán)限，展示相應(yīng)級(jí)別的數(shù)據(jù)，對(duì)數(shù)據(jù)展示頁(yè)面進(jìn)行安全加固，防止通過(guò)頁(yè)面源代碼獲取敏感信息。5.6.5數(shù)據(jù)銷毀應(yīng)用軟件數(shù)據(jù)獲取的要求如下。a)殘余信息保護(hù)：1)在數(shù)據(jù)銷毀時(shí)，確保存儲(chǔ)介質(zhì)上的數(shù)據(jù)無(wú)法恢復(fù)；2)應(yīng)用軟件應(yīng)在敏感數(shù)據(jù)使用完畢后，對(duì)其立即進(jìn)行清除；3)應(yīng)用軟件進(jìn)程被結(jié)束時(shí)，應(yīng)清除非業(yè)務(wù)功能運(yùn)行所必須留存的業(yè)務(wù)數(shù)據(jù)，保證客戶信息的安全性；4)應(yīng)用軟件卸載完成后，文件系統(tǒng)中不應(yīng)殘留任何個(gè)人金融信息。b)頁(yè)面返回保護(hù)：應(yīng)用軟件的客戶端和服務(wù)器端聯(lián)動(dòng)實(shí)現(xiàn)支持頁(yè)面返回后自動(dòng)清除銀行卡密碼、網(wǎng)絡(luò)支付交易密碼、登錄口令等支付敏感信息的機(jī)制；c)會(huì)話失效：設(shè)置合理的會(huì)話超時(shí)時(shí)間，當(dāng)用戶關(guān)閉應(yīng)用或退出登錄時(shí)，應(yīng)終止會(huì)話，清除服務(wù)器端與保險(xiǎn)數(shù)字科技支付相關(guān)會(huì)話信息，防止會(huì)話惡意利用獲取數(shù)據(jù)。6應(yīng)用管理要求6.1設(shè)計(jì)要求6.1.1應(yīng)用軟件設(shè)計(jì)應(yīng)遵循安全、可靠、易用、可維護(hù)和可擴(kuò)展等原則，制定用于指導(dǎo)應(yīng)用軟件設(shè)計(jì)與開(kāi)發(fā)的總體方案。6.1.2應(yīng)用軟件應(yīng)提供易用、風(fēng)格統(tǒng)一、體驗(yàn)良好的用戶界面。6.1.3應(yīng)用軟件應(yīng)遵循合法、正當(dāng)、必要的原則，不收集與所提供服務(wù)無(wú)關(guān)的個(gè)人金融信息。6.1.4應(yīng)用軟件收集個(gè)人金融信息或用戶授權(quán)等操作前，應(yīng)以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人金融信息收集使用規(guī)則，并經(jīng)個(gè)人金融信息主體自主選擇同意。6.1.5應(yīng)用軟件不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)，不得違反與用戶的約定收集使用個(gè)人金融信息。6.2開(kāi)發(fā)要求6.2.1應(yīng)用軟件開(kāi)發(fā)過(guò)程中應(yīng)遵守嚴(yán)格的開(kāi)發(fā)流程、項(xiàng)目管理流程和編碼安全規(guī)范，進(jìn)行完整的測(cè)試，引入安全開(kāi)發(fā)生命周期(Secure-SDLC)的概念，將安全活動(dòng)(如威脅建模代碼審計(jì)、安全測(cè)試)貫穿于開(kāi)發(fā)全過(guò)程。T/XXXXXXX—XXXX76.2.2應(yīng)用軟件開(kāi)發(fā)過(guò)程中應(yīng)建立并維護(hù)開(kāi)發(fā)文檔。6.2.3應(yīng)用軟件開(kāi)發(fā)完成后，應(yīng)同步完成產(chǎn)品手冊(cè)、用戶手冊(cè)或提供在線幫助說(shuō)明功能。6.2.4應(yīng)用軟件的每次重要更新、升級(jí)，應(yīng)經(jīng)過(guò)嚴(yán)格歸檔、源代碼掃描、發(fā)布審核等步驟。6.3發(fā)布要求6.3.1在應(yīng)用發(fā)布前