| 标准编号 | JR/T 0199-2020 (JR/T0199-2020) | | 中文名称 | 金融科技创新安全通用规范 | | 英文名称 | (General Specification for Fintech Innovation and Security) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 18,128 | | 发布日期 | 2020-10-21 | | 实施日期 | 2020-10-21 | | 标准依据 | 全国金融标准化技术委员会通知(2020.10.21) | | 发布机构 | 中国人民银行 | JR/T 0199-2020: 金融科技创新安全通用规范
JR/T 0199-2020 英文名称: (General Specification for Fintech Innovation and Security)
中 华 人 民 共 和 国 金 融 行 业 标 准
金融科技创新安全通用规范
中国人民银行 发 布
1 范围
本文件规定了金融科技创新的基本安全要求,包括交易安全、服务质量、业务连续性、算法安全、
架构安全、数据安全、网络安全、内控管理等。
本文件适用于从事金融服务创新的持牌金融机构,也适用于从事相关业务系统、算力存储、算法模
型等科技产品研发的科技公司以及安全评估机构等。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
5.1 交易验证
a) 交易验证可以组合选用下列3类要素:
--仅客户本人知悉的要素;
--仅客户持有并特有的,不可复制或者不可重复利用的要素;
--客户本人生物特征要素。
b) 交易验证要素的使用,应满足以下要求:
--应确保采用的要素相互独立,即部分要素的损坏或者泄露不应导致其他要素损坏或者泄
露;
--应严格限制使用初始交易密码并提示客户及时修改,建立交易密码复杂度校验机制,避
免交易密码过于简单(如“111111”、“123456”等)或与个人金融信息(如出生日期、
证件号码、手机号码等)相似度过高;
--采用数字证书、电子签名作为认证要素的,数字证书及生成电子签名的过程应符合相关
法律法规、JR/T 0118-2015 等有关规定,确保数字证书的唯一性、完整性及交易的抗抵
赖性;
--采用一次性密码作为验证要素的,应切实防范一次性密码获取端与交易指令发起端为相
同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内;
--采用客户本人生物特征作为验证要素的,应符合国家、金融行业标准和相关信息安全管
理要求,防止被非法存储、复制或重放;
--应采取交易验证强度与交易额度相匹配的技术措施,提高交易的安全性;
--应经过客户确认并进行交易验证,交易验证宜同时采用上述 3 类要素中的两类要素,不
足 2 类的应采取相应的风险补偿措施。
5.2 交易确认
交易确认应满足以下要求:
a) 应采取有效措施,确保客户在执行交易指令前可对交易内容、交易金额等交易信息进行确认,
并在交易指令完成后展现交易信息或及时将结果通知客户。
b) 应确保交易信息的真实性、完整性、可追溯性以及在交易全流程中的一致性,不得篡改或者隐
匿交易信息。
c) 应采用静态密码、动态口令、数字证书等可靠的技术手段实现本人主动确认,保障用户的知情
权、财产安全权等合法权益。
5.3 交易监控
5.3.1 交易监控系统建立
金融科技创新机构应建立有效的交易监控系统,满足以下要求:
a) 应建立交易监控系统,能够甄别并预警潜在风险的交易,并生成风险监控报告。
b) 应根据交易的风险特征建立风险交易模型,有效监测可疑交易,对可疑交易建立报告、复核、
查结机制。
c) 应采用大数据分析、客户行为建模等手段,建立交易风险监控模型和系统,对异常交易进行及
时预警,并采取调查核实、风险提示、延迟结算等处理措施。
d) 应通过交易行为分析、机器学习等不断优化风险评估模型,提高欺诈交易拦截成功率,降低误
判率,切实提升交易安全防护能力。
5.3.2 交易风险识别
金融科技创新机构应支持欺诈风险和合规风险的识别。
a) 欺诈风险指不法分子利用虚假申请、伪造或变造、盗用账户等手段盗取交易资金的风险,是
非用户本人意愿发起的交易,或者不法分子勾结用户通过虚构交易等方式造成金融机构资金、
权益等方面损失的风险,包括但不限于:
--非面欺诈,指欺诈分子窃取或骗取账号、PIN、有效期、短信验证码及其他关键身份验证
信息后,通过邮购/电购、互联网、手机等非面对面渠道进行欺诈冒用;
--账户盗用,指欺诈分子冒充真实账户所有人的身份,通过修改账单地址、虚假挂失等一
系列手段获取重制账户信息进行的欺诈交易;
--伪冒申请,指使用虚假身份或冒用他人身份开立账户完成欺诈交易;
--商户合谋,指特约商户在受理交易时,违规操作、蓄意进行欺诈交易或纵容、包庇、协
助账户所有人开展欺诈交易的行为;
--营销欺诈,指不法分子利用营销主办方的营销漏洞,与商家勾结、虚构交易,骗取营销
活动主办机构的营销费用,获得不正当收益。
b) 合规风险指虽然是用户本人意愿发起的交易,但该交易行为违反国家法律法规和监管要求,
属于禁止的或不当的交易行为,包括但不限于:
--洗钱风险,指将通过各种手段掩饰违法所得,隐瞒违法来源,使其在形式上合法化,常
见于毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破
坏金融管理秩序犯罪、金融诈骗犯罪等各类违法犯罪过程;
--电信诈骗,指不法分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害
人实施远程、非接触式诈骗,诱使受害人本人给不法分子汇款、转账、购物或代付等的
犯罪行为,从而给受害人造成资金和权益方面的损失;
--非法集资,指单位或者个人未依照法定程序经有关部门批准,以发行股票、债券、彩票、
投资基金证券或者其他债权凭证的方式向社会公众筹集资金,并承诺在一定期限内以货
币、实物以及其他方式向出资人还本付息或给予回报的行为;
--移机切机,指交易终端出现了不正当的位置移动,以及被非法接入其他收单机构,发生
与注册登记信息不符的行为。
5.3.3 交易风险处置
金融科技创新机构应建立交易风险处置机制。交易风险处置是在风险决策结束后进行的评估反馈、
风险核查、关联排查、案件协查和损失处置的相关后续活动。风险处置的结果旨在完善现有风险防控的
策略、风险信息处理的内容与交易风险评估的能力,实现风险防控流程的闭环反馈优化。
a) 风险核查指基于风险评估和决策输出的结果,对于已识别存有风险的业务进行调查,分析原
因与风险特征,以确认当时的决策是否准确恰当,包括但不限于以下方式开展:
--对于拦截阻断的交易:
应配套后续调查流程完善防控手段;
宜与业务方进行确认,判断拦截阻断的准确性;
经调查拦截无误的,相关信息可纳入黑灰名单和负面样本,作为后续优化事中监测依
据;
经调查拦截不准确的,宜恢复交易权限,及时调整事中监测策略。
--对于挂起确认和提示预警的交易:
应配套调查处置流程,并借鉴简化后续类似情况下的处理流程;
可事后统计分析存在的可疑点,集中与业务方沟通确认,回溯挂起确认和提示预警的
必要性与准确性,并判断下一次类似条件的业务风险处理方式。
b) 关联排查指对于存有风险的业务相关元素,基于潜在关系进行关联分析,以挖掘是否存在同
类风险或衍生风险,弥补事中监测决策可能未识别的潜在风险敞口,关联排查包括但不限于以
下方式开展:
--应对存在风险交易的同账户关联交易进行分析。
--应对存在信息泄露风险的用户在一段时间内有交易的账户进行分析。
--宜对存在虚假申请风险的账户关联的设备信息进行分析。
--宜对存在风险交易的账户或者所属用户的位置信息进行分析。
--宜对存在风险交易的手机号码进行分析,包括验证手机号码、注册手机号码等。
c) 案件协查主要是指配合公安、司法机关开展的风险案件协查,包括但不限于以下方式开展:
--应对公安、司法机关提供必要的交易明细。
--应对公安、司法机关提供必要的用户开户获批的相关信息。
--应根据公安、司法机关的指令冻结账户和资金。
--宜对公安、司法机关提供已采集的交易信息、账户信息以外的风险案件行为特征,例如
IP、MAC 等。
d) 损失处置主要指对于明确产生的风险损失,通过快速挽损、风险责任认定,将风险化解、转
移或者赔偿的处置方式,并控制后续风险损失敞口,可采取的主要方法包括但不限于:
--延迟结算:采取结算资金延迟到账方式挽回损失。
--货物拦截:针对互联网渠道实物类商品销售付款与收货存在较长时间的特性,在风险识
别后及时控制在途货物,采取退款措施,控制风险损失敞口。
--追偿结算:通过事后损失追偿,转移化解已有风险损失。
--限制功能:针对识别的具有高风险特征的交易行为,对相关资金账户、商户终端采取限
制交易权限措施。
--关闭通道:关闭交易通道,防范新增损失。
--保险赔付:通过事先投保、事后理赔方式,分散化解风险损失。
--法律诉讼:通过提起法律诉讼方式,解决风险责任认定和损失处置争端,转移化解风险
损失。
6 服务质量
金融科技创新机构应建立有效的服务质量管理机制,满足以下要求:
a) 应建立服务质量管理规范,包括 QoS 预测、QoS 建立、QoS 监控、QoS 维护等过程管理。
b) 应通过对创新应用的业务功能、预期用户数、服务地域、服务时间等特性进行充分分析,从服
务可用性、吞吐量、时间延迟等方面预测 QoS。
c) 应以满足用户或相关方的业务期望为基础,根据具体资源情况建立 QoS 目标,设置可接受最低
质量(LQA)极限。
d) 应对通信线路、网络设备、主机设备、应用软件的运行情况进行 QoS 监控,检查服务可用性、
吞吐量、时间延迟等是否满足 QoS 目标,对系统的服务水平低于 LQA 时进行预警。
e) 应在可接受的级别上为满足 QoS 进行资源分配。
7 业务连续性
7.1 业务影响分析
金融科技创新机构应根据业务连续性目标和业务发展规划,对金融科技产品及其服务模式进行详细
的业务影响分析,满足以下要求:
a) 应根据当前的业务场景,使用恰当的分析方法,对所面临的威胁和当前体系的脆弱性进行深入
剖析,评估各类风险发生的概率和可能导致的损失。
b) 应对风险可能造成的业务影响进行研判。
c) 应根据监管要求、业务性质、业务服务范围、数据集中程度、业务时间敏感性、功能关联性等
要素进行业务功能分析,并在此基础上评估业务中断可能造成的影响,确定灾难恢复目标及
恢复优先级。
7.2 业务连续性管理
金融科技创新机构应采取有效的业务连续性管理措施,满足以下要求:
a) 应制定业务连续性策略及计划。
b) 应从应用和数据等技术方面确保业务连续性,避免单点故障。
c) 应将业务连续性管理整合到组织的流程和架构中,明确指定相关部门负责业务连续性的管理。
d) 应制定员工在业务连续性方面的培训计划和考核标准。
e) 应定期或在业务系统发生显著变化时,测试并更新业务连续性计划与过程,以确保其持续有效。
f) 应至少每年组织 1 次业务连续性专项内部审计或委托第三方进行的审计,并形成包括审计意
见、改进计划和改进结果的审计报告。
g) 使用的科技产品应至少支持容灾能力 3 级要求,容灾等级划分及关键指标要求参见附录。
7.3 业务连续性资源配置
金融科技创新机构应采取有效的业务连续性资源配置措施,满足以下要求:
a) 应避免机房采用的多路市电输入均来自于同 1 个变电站,应对 UPS 等重要设备的报警日志进行
及时审核和处理。
b) 应提供冗余通信线路,并选择与主用通信线路不同的电信运营商和不同的物理路径。
c) 核心层、汇聚层的设备和重要的接入层设备均应双机热备或多机集群,例如,核心交换机、服
务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带
宽管理器及其他相关重要设备。
d) Web 服务器、中间件服务器、前置服务器、数据库服务器等关键数据处理系统均应双机热备或
多机集群,并设置磁盘冗余阵列或分布式多副本存储技术,以避免单一部件故障影响设备运
行的风险。
e) 应梳理并维护关键的设备部件、备件清单,采取有效的措施防止因单个设备部件出现故障,导
致冗余设备无法正常启用或切换的风险。
7.4 备份与恢复管理
金融科技创新机构应采取有效的备份与恢复管理措施,满足以下要求:
a) 应根据系统的业务影响性分析结果,制定不同数据的备份策略,并实施应用级备份,以保证灾
难发生时,能尽快恢复业务运营。
b) 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存,
明确规定备份数据的保存期,做好备份数据的销毁申请、审查和登记工作。
c) 应定期执行恢复程序,检查并测试备份介质的有效性,确保可以在恢复程序规定的时间内完成
备份恢复。
d) 应对技术方案中关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果,以满足
灾难恢复策略的要求。
e) 应在统一的灾难恢复策略下建立完善的系统灾难恢复体系,开展灾难恢复需求分析、策略及计
划制定、灾备系统建设及演练等工作,并根据实际情况对其进行分析和改......
|