ICS 35.240.40 A 11 JR 中华人民共和国 金融行业标准 JR/T 0185—2020 商业银行应用程序接口安全管理规范 Commercial bank application programming interface secure management specification 2020 - 02 - 13发布 2020 - 02 - 13实施 中国人民银行 发布 JR/T 0185—2020 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 3 5 概述 ................................ ................................ ............... 3 6 接口类型与安全级别 ................................ ................................ . 4 7 安全设计 ................................ ................................ ........... 5 8 安全部署 ................................ ................................ ........... 7 9 安全集成 ................................ ................................ ........... 9 10 安全运维 ................................ ................................ ......... 11 11 服务终止与系统下线 ................................ ............................... 13 12 安全管理 ................................ ................................ ......... 13 附录A （规范性附录） 商业银行应用程序接口关系 示意 ................................ ... 15 附录B （规范性附录） 商业银行应用程序接口统一识别码编码规则 ......................... 16 参考文献 ................................ ................................ ............ 18 JR/T 0185—2020 II 前 言 本标准按照 GB/T 1.1 —2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全 国金融标准化技术委员会 （SAC/TC 180 ）归口。 本标准起草单位： 中国人民银行 科技司、中国金融电子化公司、中国银联股份有限公司、 中国工商 银行股份有限公司 、中国农业银行股份有限公司 、中国银行股份有限公司 、 中国建设银行 股份有限公司 、 中国邮政储蓄银行 股份有限公司 、招商银行 股份有限公司 、上海浦东发展银行股份有限公司 、中信银行 股份有限公司 、兴业银行 股份有限公司 、中国民生银行股份有限公司 、中国光大银行 股份有限公司 、平 安银行股份有限公司 、广发银行 股份有限公司 、北京银行 股份有限公司 、徽商银行 股份有限公司 、山东 省城市商业 银行合作联盟有限公司 、齐鲁银行 股份有限公司 、浙江网商银行 股份有限公司 、中信百信银 行股份有限公司 、 山东省农村信用社 联合社、 北京中金国盛认证有限公司、 北京银联金卡科技有限公司 、 中金金融认证中心有限公司、中国外汇交易中心 。 JR/T 0185—2020 1 商业银行应用程序接口安全管理规范 1 范围 本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运 维、服务终止与系统下线、安全管理等 安全技术与安全保障 要求。 本标准适用于商业银行对外互联的应用程序接口的设计和应用， 以指导从事或参与商业银行应用程 序接口服务的银行业 金融机构、集成接口服务的应用方开展相关工作，并为第三方安全评估机构等单位 开展安全检查与评估工作提供参考（接口类型关系详见附录 A）。其他类型应用程序接口的设计和应用 可参照本标准执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术 术语 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0124 —2014 金融机构编码规范 3 术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。 3.1 应用程序接口 application programming interface 一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注 服务的设计与实现。 3.2 应用方 application agency 调用商业银行应用程序接口 的机构。 3.3 应用程序接口唯一标识 application programming interface unique ID 由商业银行自行定义，用于区分 商业银行应用程序 接口功能的唯一标识。 3.4 应用程序接口统一识别码 uniform application programming interface ID 商业银行依据 行业主管部门发布的编码规则，生成的 商业银行应用程序接口 统一识别码。 注：用于标识商业银行机构代码、接口类型、服务类别、接口顺序号等内容 。 JR/T 0185—2020 2 3.5 应用软件开发工具包 software development kit 基于特定软件包、软件框架、硬件平台、操作系统等建立应用程序时所使用的软件开发工具集合。 3.6 应用唯一标识 application unique ID 在应用方身份核验通过后，根据其调用的金融产品与服务类型，由商业银行为其授予的唯一标识。 注：包括服务器端应用标识与移动终端应用软件标识两种。 3.7 应用鉴别密文 application secret 应用合法性鉴别凭证，与应用唯一标识配套使用，以验证通 过API方式接入的应用合法性，接入验 证通过后，即可完成系统对接， 调用应用程序接口或使用应用程序接口提 供的功能和数据。 3.8 移动金融客户端应用软件 financial mobile application software 在移动终端上为用户提供金融 交易服务的应用软件。 注：包括但不限于可执行文件、组件等。 3.9 个人金融信息 personal financial information 金融机构通过 提供金融产品和服务 或其他渠道获取、加工和保存的个人信息。 注1：包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、 借贷信息及其他反应特定个人某些情 况的信息。 注2：改写GB/T 35273 —2017，定义3.1。 3.10 支付敏感信息 payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。 注：包括但不限于银行卡磁 道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码 等。 3.11 支付账号 payment account 具有金融交易功能的银行账户、非银行支付机构支付账户的编码及银行卡卡号。 [JR/T 0149 —2016，定义3.1] 3.12 明示同意 explicit consent 个人金融信息主体通过书面声明或主动做出肯定性动作， 对其个人 金融信息进行特定处理做出明确 授权的行