ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T0092—2019 代替JR/T0092—2012 移动金融客户端应用软件安全管理规范 行业标准信息服务平台 2019-09-27发布 2019 -09-27实施 发布 中国人民银行 行业标准信息服务平台 JR/T0092—2019 目次 前言 II 1范围 2术语和定义 3缩略语. 4总体要求 5客户端应用软件安全要求 2 6客户端应用软件管理要求 9 附录A（资料性附录） 敏感数据 11 附录B（资料性附录） 客户端应用软件应用智能语音交互技术 12 参考文献 14 行业标准信息服务平台 JR/T 0092—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替JR/T0092—2012《中国金融移动支付客户端技术规范》，与JR/T0092—2012相比， 主要技术变化如下： 一一修改了范围描述（见第1章，2012年版第1章）； 一增加了术语和定义（见第2章）； 一删除了规范性引用文件（2012年版第2章）； 删除了“应用场景”（2012版第3章）； 一增加了总体要求（见第4章）； 一一全面梳理完善客户端应用软件安全要求，区分基本要求和增强要求（见第5、6章，2012年版 第6、7章）； 一一将“人机交互安全”改为“身份认证安全”，包括身份认证、认证信息安全（安全输入、敏感 数据显示、认证失败处理）、密码的设定与重置三部分安全要求（见5.1，2012年版6.1）； 一一增加了逻辑安全，包括逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等安全 要求（见5.2）； -增加了安全功能设计，包括组件安全、接口安全、抗攻击能力、客户端环境检测安全（见5.3）； 一增加了密码算法及密钥管理（见5.4）； 修改了数据安全要求，在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提 出具体安全要求（见5.5，2012年版6.3）； 一一修改了客户端应用软件管理要求，增加了设计、开发、发布等环节的要求（见第6章，2012 年版第7章）： 一增加了不收集与所提供服务无关的个人金融信息、收集个人金融信息前需经用户的明示同意、 不得变相强迫用户授权、不得违反约定收集使用个人金融信息的要求（见6.1）； 一客户端软件发布环节明确了由客户端应用软件所有方进行签名的要求（见6.3，2012年版7.4)； 一增加了以SDK等形式对外提供金融交易类服务时对于信息记录的要求（见6.4）； 增加了敏感数据的相关描述（见资料性附录A）； 一增加了客户端应用软件应用智能语音交互技术（见资料性附录B）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC180）归口。 本标准负责起草单位：中国人民银行科技司、中国金融电子化公司。 本标准参加起草单位：中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有 限公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国民生银行股份有限公司、中信 银行股份有限公司、中移电子商务有限公司、天翼电子商务有限公司、联通支付有限公司、浙江蚂蚁小 微金融服务集团股份有限公司、财付通支付科技有限公司、京东数字科技控股有限公司、拉卡拉支付股 份有限公司、北京中金国盛认证有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、 II