ICS 35.240.40 A11 团体标准 T/PCAC 000 7-2020 移动金融客户端应用软件安全检测规范 Testing specification on Financial mobile application software security 2020 - 11 -20发布 2020 - 11 -20实施 中国支付清算协会 发布 全国团体标准信息平台 目 录 1 范围 ................................ ................................ ............. 3 2 规范性引用文件 ................................ ................................ ... 3 3 缩略语 ................................ ................................ ........... 3 4 客户端应用软件安全要求 ................................ ........................... 3 5 客户端应用软件管理要求 ................................ .......................... 19 附录A ................................ ................................ ............ 24 全国团体标准信息平台 T/PCAC 0007 -2020 2 前 言 本规范由中国支付清算协会 、中国互联网金融协会共同 提出。 本规范由中国支付清算协会 安全与技术标准 专业委员会归口。 本规范主要起草单位： 中国支付清算协会、中国互联网金融协会、中国工商银行股份有限公司、中国农 业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公司、 中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、中信银行股份 有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司、中移电子商务有限公司、天翼 电子商务有限公司、联通支付有限公司、支付宝 （中国）网络技术有限公司 、浙江网商银行 股份有限公 司、财付通支付科技有限公司、鼎铉商用密码测评技术（深圳）有限公司、京东数字科技控股股份有限 公司、京东智联云、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、中国网络安全审查技术与 认证中心、 银行卡检测中心（ 国家金融 IC卡安全检测中心 ）、中国金融电子化公司、中金金融认证中 心有限公司、信息产业信息安全测评中心、 工业和信息化部计算机与微电子发展研究中心（中国软件测 评中心） 、国家应用软件产品质量监督检测中心（ 北京软件产品质量检测检验中心 ）、航天中认软件测 评科技（北京）有限责任公司、奇安信科技集团股份有限公司、科大讯飞 股份有限公司、平安保险等单 位。 本规范主要起草人： 陈波、马国光、刑桂伟、于沛、 侯晓晨、 何一江、 薛宇、陈旭东、相海飞 、朱 勇、李健、于圆、张赫、田然、牛康欣、张宇、白帆、黄潇拉 、马咪、朱翔宇 、刘占明、廖渊、赵鹏、 付南、黎马亮 、袁丽欧、费会、汪毅、 李志蓉、廖勤思、周晶 、焦伟、 任震、宋铮、姜志辉、吴永强、 蒋增增、李振、邹超 、李玲、魏晓征、曾辉、王晴晴 、张健、陈伟 、王峰、申永波、王玲、渠韶光、李 博文、张文博、李宇 、郭大圣、高峰、曹中全 、董晶晶、冀乃杰、赵亮、徐鹏 、于泉、张鹏 、王焱、孙 明慧、林宝晶、蒯天祥、刘浩 、王盈语、向阳 等。 本规范为首次发布。 全国团体标准信息平台 3 移动金融客户端应用软件安全检测规范 1 范围 本标准规定了移动金融客户端应用软件的安全要求，以及客户端应用软件设计、开发、维护和发布 的管理要求。 本标准适用 于移动金融客户端软件检测机构 ，客户端应用软件在 设计、开发、集成 和维护阶段也可 以参照使用 。本标准也适用于检测认证机构对相关产品、 应用系统进行安全性和标准符合性测试和认证。 客户端应用软件分为资金交易类、信息采集类和资讯查询类。本标准对每类软件的适用范围参考附 录A：应用软件测试范围。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 JR/T 0092—2019 移动金融 客户端应用软件 安全管理规范 JR/T 0164 —2018 移动金融基于声纹识别的安全应用技术规范 JR/T 0171—2020 个人金融信息保护技术规范 3 缩略语 下列缩略语适用于本文 件。 APP：客户端应用软件（ Application software ） URI：统一资源标识符（ Uniform Resource Identifier ） TEE：可信执行环境（ Trusted Execution Environment ） SDK：软件开发工具包（ Software Development Kit ） SE：安全单元（ Secure Element ） 4 客户端应用软件安全要求 4.1 身份认证安全 4.1.1 认证方式 检测目的：检测客户端身份认证方式及所采用认证要素的安全性。 检测方法： 1) 检查开发文档中客户端应用软件包含的用户身份认证方式、辅助认证方式，对需要用户身份 认证的过程进行操作，例如进行客户端登录、支付等。使用客户端应用软件进行登录，检查 其登录时所采用的认证要素，确定其是否采用合适的认证要素 ； 2) 使用客户端应用软件进行身份认证操作时，如：登录和交易操作，检查其在执行这些操作时 所需身份认证的认证要素或认证要素组合，确认身份认证要素是否相互独立 ； 全国团体标准信息平台 T/PCAC 0007 -2020 4 3) 使用客户端应用软件进行如大额交易等操作时， 检查客户端应用软件 所采用的用户身份认证 方式，是否符合相关业务管理要求 ； 4) 若手势密码、短信验证码、生物特征信息作为认证要素或认证要素组合中的一种时，检查这 些类型认证要素的安全性措施是否符合 JR/T 0092 -2019中5.1.1 d) 条款的要求 ； 5) 若采用图形验证码作为认证的辅助要素，检查图形验证码相关限制性措施和生成方式，检查 客户端源文件中是否包含图形验证码文本内容 ； 6) 检查客户端应用软件进行用户身份认证时，图形验证码是否可单独成为身份验证通过要素 ； 7) 在新设备首次登录时 ，查看客户端是否采用了两种或两种以上的要素对用户身份进行认证。 通过标准： 1) 客户端应用软件登录时采用了适宜的 认证要素，包括但不限于口令、短信验证码、手势 密码、生物特征识别 、手机号与 SIM卡标识信息匹配 等方式； 2) 采用的身份认证要素相互独立，即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露； 3) 客户端应用软件交易时满足相关业务管理要求对用户身份进行认证，如对于大额资金交易，客 户端采用了两种或两种以上要素对用户身份进行认证等； 4) 手势密码为至少连续不间断的 4个点；短信验证码应仅可 成功使用一次，且仅在规定时间内使 用，短信验证码具备长度和随机性的要求，短信验证码所在的短信内容中，告知了用户短信 验证码的 发送方、用途 以及有效时间 ；声纹要素符合 JR/T 0164 —2018要求； 其他生物特征 认证要素，符合国家、金融行业标准和相关信息安全管理要求，能够防止非法存储、复制和重 放； 5) 图形验证码具有使用时间限制并仅能使用一次，图形验证码由服务器生成，客户端源文件中不 包含图形验证码文本内容； 6) 图形验证码未作为独立的身份认证要素 ； 7) 在新设备首次登录时， 采用了2种或2种以上的要素对用户身份进行认证 。 增强要求： 检测方法： 1) 使用客户端应用软件执行登录操作， 检查是否采用 2种或2种以上的要素对用户身份进行认 证； 2) 客户端软件在完成身份认证后，客户端置于系统（终端）后台，超过一定时间未操作，再次被 唤醒切换到前台，检查其是否采取措施要求对用户身份再次认证。 通过标准： 1) 客户端应用软件登录采用了两种或两种以上的要素对用户身份进行认证； 2) 在用户身份认证后，客户端应用软件进入 系统（终端） 后台时，超过设定时限后被唤醒切换到 前台，需要对用户身份进行重新认证。 4.1.2 认证信息安全 4.1.2.1 安全输入 检测目的：检查使用客户端应用软件输入认证信息时是否具有安全性措施。 基本要求： 检测方法： 1) 检查开发文档中客户端应用软件 对于输入 账户登录密码、 银行卡支付密码和网络支付交易密 码等认证信息 时提供的安全性措施 ； 2) 使用客户端应用软件输入 账户登录密码、 银行卡支付密码和网络支付交易密码 等认证信息时 ， 检查客户端 应用软件在输入时是否采用了 替换输入框原文 、逐字符加密、字符加密、 防范键盘 全国团