近日,经北京金融科技产业联盟第二届理事会第六次常务理事会审议通过,由神州信息(000555)主导编制的《商业银行应用程序接口共享平台技术要求》(T/BFIA 016—2022)正式获批发布。
随着金融科技迅猛发展,催生出一系列新产品、新模式,金融服务逐步向开放、兼容方向发展,金融机构也在探索商业银行应用程序接口共享平台与业务场景的应用融合。在人行的指导下,神州信息基于年初入选“领跑者”计划的企业标准《应用程序接口安全管理规范》,联合各生态伙伴,结合商业银行开放银行建设需求,编制本标准。
(资料图片仅供参考)
商业银行应用程序接口共享平台是商业银行将自身的服务通过应用程序接口对接的共享方式,提供给合作开发者(包括但不限于企业、商户及第三方合作伙伴)而搭建的应用平台,开发者可以使用银行的API或者SDK等方式进行安全对接。
本标准对商业银行应用程序接口共享平台的逻辑结构、功能架构、技术要求和安全要求等几个方面进行了规范,引导金融服务机构建设充分、安全、合理的应用程序接口共享平台,规范主要内容如下:
1.逻辑架构
2.平台功能架构
3.技术要求
4.安全要求
◆ 基本要求:安全管理要符合JR/T 0185—2020、GB 17859—1999、GB/T 22239—2019和JR/T 0071—2020的基本要求,同时密码算法符合国家密码管理部门有关要求。
◆ 网络安全:建立安全的网络通道,包括网络防火墙、网络隔离区、安全协议、网络安全设备、转发代理等。
◆ 系统安全:多种措施保障系统安全,包括故障隔离、流量控制、服务降级、动态扩容、服务熔断、IP黑白名单控制等。
◆ 数据安全:遵守 JR/T 0185—2020中的规定,识别敏感数据,应支持运营人员对不同用户访问的数据进行控制。
◆ 业务安全:建立智能风控体系,加强银行合规监管能力。根据合作方建立准入准出机制防范风险。如电子账户管理、业务风险监控、API鉴权等。
◆ 安全审计:建立平台安全设计策略,保证系统安全,如密码强度、账号权限、日志审计。
标准参与编制单位
神州数码(000034)信息服务股份有限公司、北京金融科技产业联盟、中国人民银行清算总中心、中国银联股份有限公司、交通银行股份有限公司、招商银行股份有限公司、广发银行股份有限公司、中电金信软件有限公司、赞同科技股份有限公司、杭州趣链科技有限公司、恒生电子(600570)股份有限公司、武汉达梦数据库股份有限公司、广州顺德农村商业银行股份有限公司、无锡锡商银行股份有限公司、平安银行股份有限公司、杭州云链趣链数字科技有限公司、成都虚谷伟业科技有限公司、北京东方通(300379)科技股份有限公司、秦皇岛银行股份有限公司、兰州银行(001227)股份有限公司、珠海华润银行股份有限公司
营业执照公示信息