(資料圖片僅供參考)

身處移動互聯(lián)、萬物互聯(lián)的時代，金融服務順應潮流，不斷推進數字化、移動化、場景化轉型。商業(yè)銀行應用程序接口（API）的安全邊界，正逐漸由獨立的局域網絡擴展到開放的公共網絡，如移動支付、跨界授信等場景。未來，金融信息安全的前沿陣地，不僅是提供服務與產品的金融機構，也是接入互聯(lián)網的每一臺設備、享受金融服務的每一個人。

在此背景下，國家有關部門陸續(xù)發(fā)布規(guī)范商業(yè)銀行應用程序接口安全管理的標準和要求，不斷敦促、指導銀行業(yè)提升金融服務安全性、穩(wěn)定性，為用戶提供更安全、更便捷、更友好的金融服務。

2020年，中國人民銀行發(fā)布《商業(yè)銀行應用程序接口安全管理規(guī)范》（JR/T 0185—2020）與《中國人民銀行關于發(fā)布金融行業(yè)標準加強商業(yè)銀行應用程序接口安全管理的通知》；

2022年2月，中國人民銀行、國家市場監(jiān)督管理總局發(fā)布《金融科技產品認證目錄（第二批）》 ，將商業(yè)銀行應用程序接口列入目錄，從此商業(yè)銀行應用程序接口產品被納入國家統(tǒng)一推行的認證體系。

其中，《商業(yè)銀行應用程序接口安全管理規(guī)范》（JR/T 0185—2020）（以下簡稱:《規(guī)范》）面向商業(yè)銀行和應用方，從技術和管理兩方面，對個人金融信息保護措施和金融API安全措施提出了明確要求，規(guī)定了商業(yè)銀行應用程序接口（API）的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統(tǒng)下線、安全管理等安全技術與安全保障要求，貫穿API的整個生命周期。

商業(yè)銀行可開展自查工作，按照《規(guī)范》要求排查風險點；也可委托專業(yè)檢測機構進行安全測評，獲取全方位的安全建議和指導，提升API的整體安全。

2022年12月，中國金融認證中心（CFCA）通過《金融科技產品認證目錄（第二批）》檢測機構能力核查，成為國內首批具備商業(yè)銀行應用程序接口檢測資質的機構之一，現正式對外開展商業(yè)銀行應用程序接口檢測工作。

為提高商業(yè)銀行應用程序接口檢測效率，CFCA自主研發(fā)“CFCA開放銀行應用程序接口檢測平臺”（以下簡稱：平臺）。平臺可在線開展API接口安全檢測，實現一定程度的應用程序接口自動化檢測，多方面驗證API安全水平。檢測內容如下：

CFCA依照《規(guī)范》要求，基于平臺能力，根據各商業(yè)銀行API特點量身定制檢測方案，提出針對性安全建議，幫助商業(yè)銀行全方位提升API安全水平。目前，CFCA已與多家商業(yè)銀行進行合作交流，助其完善應用程序接口安全管理規(guī)范，提高應用程序接口安全性，得到客戶的一致好評。

CFCA立足金融行業(yè)，愿與銀行機構持續(xù)精誠合作，共同守護金融服務安全陣線。

關鍵詞：