THBPFS 005-2023 移動(dòng)金融客戶端應(yīng)用標(biāo)準(zhǔn)

T/HBPFS005-2023T/HBPFS005-2023ICS CCS A11團(tuán) 體 標(biāo) 準(zhǔn)T/HBPFS005-2023移動(dòng)金融客戶端應(yīng)用標(biāo)準(zhǔn)FinancialMobileApplicationSoftwareEnterpriseStandard2023-12-26發(fā)布 2023-12-31實(shí)施河省金學(xué)會(huì) 發(fā)布T/HBPFS005-2023T/HBPFS005-2023PAGE1PAGE1目次前言 21、范圍 32、規(guī)范性引用文件 33、術(shù)語(yǔ)和定義 34、縮略語(yǔ) 75、安全性 76、技術(shù)先進(jìn)性 227、創(chuàng)新及前瞻性 23T/HBPFS005-2023T/HBPFS005-2023前言本文件按照GB/T 1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由中國(guó)人民銀行保定市分行和保定銀行股份有限公司提出。本文件由河北省金融學(xué)會(huì)歸口。本文件的主要起草人：吳強(qiáng)林振英楊釗孫莉陳桂蘭王林芳王震劉繼勇王釗郭豐灶王亞萱項(xiàng)海南尹子平張保新2T/HBPFS005-2023T/HBPFS005-2023移動(dòng)金融客戶端應(yīng)用標(biāo)準(zhǔn)1、范圍本文件適用于移動(dòng)金融客戶端應(yīng)用。2、規(guī)范性引用文件GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范JR/T0092—2019移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范JR/T0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范JR/T0068-2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范JR/T0071-2020金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引JR/T0118-2015金融電子認(rèn)證規(guī)范JR/T0149-2016中國(guó)金融移動(dòng)支付支付標(biāo)記化技術(shù)規(guī)范3、術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。financialmobileapplicationsoftware在移動(dòng)終端上為用戶提供金融交易服務(wù)的應(yīng)用軟件。注1：包括但不限于可執(zhí)行文件、組件等。注2：[JR/T0092-2019，定義2.1]資金交易類客戶端應(yīng)用軟件capitaltransactionclientapplicationsoftware直接面向用戶提供資金交易服務(wù)的移動(dòng)金融客戶端應(yīng)用軟件。注1：包括但不限于手機(jī)銀行、支付APP等。注2：[JR/T0092-2019，定義2.2]個(gè)人信息personalInformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。3注1:個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、注2:[GB/T35273—2017，定義3.1]個(gè)人金融信息personalfinancialinformation金融業(yè)機(jī)構(gòu)通過(guò)提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息。注1：包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息。注2：[JR/T0092-2019，定義2.5]個(gè)人金融信息主體personalfinancialinformationsubject個(gè)人金融信息所標(biāo)識(shí)的自然人。注:[JR/T0071-2020，定義3.4]personalfinancialinformationcontroller有權(quán)決定個(gè)人金融信息處理目的、方式等機(jī)構(gòu)。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0071-2020，定義3.5]個(gè)人敏感信息personalSensitiveInformation注1:個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下(含)兒童的個(gè)人信息等。注2:[GB/T35273—2017，定義3.2]收集collect獲得個(gè)人金融信息的控制權(quán)的行為。注注注3：[JR/T0171-2020，定義3.6]4公開(kāi)披露publicdisclosure向社會(huì)或不特定群體發(fā)布信息的行為。注:[GB/T35273—2020，定義3.10]transferofcontrol將個(gè)人金融信息控制權(quán)由一個(gè)控制者向另一個(gè)控制者轉(zhuǎn)移的過(guò)程。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0171-2020，定義3.8]sharing個(gè)人金融信息控制者向其他控制者提供個(gè)人金融信息，且雙方分別對(duì)個(gè)人金融信息擁有獨(dú)立控制權(quán)的過(guò)程。注:[JR/T0171-2020，定義3.9]paymentaccount具有金融交易功能的銀行賬戶、非銀行支付機(jī)構(gòu)支付賬戶及銀行卡卡號(hào)。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0171-2020，定義3.11]paymenttoken(Token)作為支付賬號(hào)等原始交易要素的替代值，用于完成特定場(chǎng)景支付交易。注:[JR/T0149—2016，定義3.2]SMScode后臺(tái)系統(tǒng)以短信形式發(fā)送到用戶綁定手機(jī)上的隨機(jī)數(shù)，用戶通過(guò)回復(fù)該隨機(jī)數(shù)進(jìn)行身份認(rèn)證。注1：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。注2:[JR/T0088.1—2012，定義2.44]anonymization通過(guò)對(duì)交易信息的技術(shù)處理，使得交易信息主體無(wú)法被識(shí)別，且處理后的信息不能被復(fù)原的過(guò)程。注:[JR/T0171-2020，定義3.23]5de-identification通過(guò)對(duì)交易信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別交易信息主體的過(guò)程。注1：去標(biāo)識(shí)化仍建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、加鹽的哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人金融信息的標(biāo)識(shí)。注2:[JR/T0171-2020，定義3.24]delete在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除交易信息的行為，使其保持不可被檢索、訪問(wèn)的狀態(tài)。JR/T0171-20203.25]語(yǔ)音識(shí)別 automaticspeechrecognition將人類語(yǔ)音中的詞匯內(nèi)容轉(zhuǎn)換為計(jì)算機(jī)可讀的輸入。示例：按鍵、二進(jìn)制編碼或者字符序列。語(yǔ)音合成 texttospeech自然語(yǔ)言理解 naturallanguageprocessing使用自然語(yǔ)言同計(jì)算機(jī)進(jìn)行通訊的技術(shù)。第三方信源 thethirdpartysource客戶端應(yīng)用軟件調(diào)用語(yǔ)音能力時(shí)可以接入的第三方服務(wù)。64、縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APP：客戶端應(yīng)用軟件（ApplicationSoftware）URI：統(tǒng)一資源標(biāo)識(shí)符（UniformResourceIdentifier）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）SDK：軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）SE：安全單元（SecureElement）5、安全性總則JR/T0092—2019《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》、JR/T0171—2020《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、JR/T0068-2020《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》?；景踩竺艽a算法密碼算法、密鑰長(zhǎng)度及密鑰管理方式應(yīng)符合國(guó)家密碼主管機(jī)構(gòu)要求的國(guó)產(chǎn)商用0092-2019，定義5.4]風(fēng)險(xiǎn)提示應(yīng)對(duì)客戶端運(yùn)行環(huán)境進(jìn)行安全評(píng)測(cè)，并根據(jù)安全評(píng)測(cè)情況對(duì)客戶進(jìn)行風(fēng)險(xiǎn)提示：應(yīng)采取有效措施提升客戶端環(huán)境安全級(jí)別，針對(duì)不同的安全等級(jí)采取相應(yīng)的風(fēng)7險(xiǎn)控制措施。當(dāng)發(fā)現(xiàn)客戶端環(huán)境存在重大安全缺陷或安全威脅時(shí)，應(yīng)采取必要措施對(duì)用戶進(jìn)0068-2020，定義6.2.1.2]缺陷解決率應(yīng)每年對(duì)移動(dòng)金融客戶端及服務(wù)器進(jìn)行滲透測(cè)試和安全評(píng)估，對(duì)于在滲透測(cè)試、安全評(píng)估等過(guò)程中發(fā)現(xiàn)的缺陷和漏洞應(yīng)及時(shí)予以解決：=100?？赡苡绊懧曌u(yù)的漏洞，可利用并影響客戶資金安全的漏洞，可致使客戶信息泄?？蛻舳税踩蛻舳嗽O(shè)計(jì)移動(dòng)金融客戶端軟件設(shè)計(jì)過(guò)程中應(yīng)遵守以下規(guī)則：老、客戶端應(yīng)用軟件收集個(gè)人金融信息或用戶授權(quán)等操作前，要以通俗易懂、簡(jiǎn)單客戶端應(yīng)用軟件應(yīng)提供訪問(wèn)、更正個(gè)人金融信息，以及授權(quán)撤銷、賬戶注銷等8客戶端開(kāi)發(fā)移動(dòng)金融客戶端軟件開(kāi)發(fā)過(guò)程中應(yīng)遵守以下規(guī)則：客戶端應(yīng)用軟件的每次重要更新、升級(jí)，都必須經(jīng)過(guò)嚴(yán)格歸檔、源代碼掃描、客戶端發(fā)布移動(dòng)金融客戶端軟件發(fā)布過(guò)程中應(yīng)遵守以下規(guī)則：客戶端運(yùn)維移動(dòng)金融客戶端軟件運(yùn)行及維護(hù)過(guò)程中應(yīng)遵守以下規(guī)則：客戶端應(yīng)用軟件應(yīng)具有明確的應(yīng)用標(biāo)識(shí)符和版本序號(hào)，設(shè)計(jì)合理的更新接口，以SDKSDK信息及引用本SDK9客戶端邏輯安全移動(dòng)移動(dòng)金融客戶端軟件業(yè)務(wù)、功能邏輯設(shè)計(jì)中應(yīng)遵守以下規(guī)則：對(duì)于交易處理功能邏輯設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保證客戶端應(yīng)用軟件應(yīng)配合業(yè)務(wù)交易風(fēng)險(xiǎn)控制策略，以安全的方式將相關(guān)信息上送[JR/T0092-2019，定義5.2]安全功能設(shè)計(jì)組件安全移動(dòng)金融客戶端應(yīng)用軟件在嵌入組件時(shí)應(yīng)確保組件安全：客戶端應(yīng)用軟件在使用第三方組件時(shí)，應(yīng)避免第三方組件未經(jīng)授權(quán)收集客戶端接口安全10移動(dòng)金融客戶端應(yīng)用軟件應(yīng)對(duì)接口提供保護(hù)：客戶端應(yīng)用軟件應(yīng)對(duì)傳入的URI進(jìn)行校驗(yàn)與安全處理，防止客戶端應(yīng)用軟件運(yùn)當(dāng)客戶端應(yīng)用軟件需要與TEESE抗攻擊能力移動(dòng)金融客戶端應(yīng)用軟件應(yīng)通過(guò)加殼、完整性校驗(yàn)等方式，使客戶端具備抗攻擊能力：客戶端代碼應(yīng)使用代碼加殼、代碼混淆、檢測(cè)調(diào)試器等手段對(duì)客戶端應(yīng)用軟件0092-2019，定義5.3]身份認(rèn)證安全認(rèn)證方式安全移動(dòng)金融客戶端從身份認(rèn)證安全角度滿足以下要求：應(yīng)確保采用的身份驗(yàn)證要素相互獨(dú)立，即部分要素的損壞或者泄露不應(yīng)導(dǎo)致其對(duì)于手勢(shì)密碼、短信驗(yàn)證碼、生物特征信息作為驗(yàn)證要素或驗(yàn)證要素組合中的若采用手勢(shì)密碼作為驗(yàn)證要素，手勢(shì)密碼應(yīng)至少設(shè)置連續(xù)不間斷的4個(gè)點(diǎn)；若采用短信驗(yàn)證碼作為驗(yàn)證要素，短信驗(yàn)證碼應(yīng)隨機(jī)產(chǎn)生，長(zhǎng)度不應(yīng)少于6位；短511若采用生物特征識(shí)別作為驗(yàn)證要素，應(yīng)當(dāng)符合國(guó)家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止非法存儲(chǔ)、復(fù)制和重放。認(rèn)證信息安全客戶端應(yīng)用軟件應(yīng)提供客戶輸入銀行卡交易密碼的即時(shí)防護(hù)功能，客戶端應(yīng)提供以下安全控制措施，或其他經(jīng)攻擊測(cè)試無(wú)法獲取明文的安全防護(hù)措施：（例如或?）客戶端應(yīng)用軟件展示個(gè)人金融信息時(shí)，應(yīng)符合以下要求：處于未登錄狀態(tài)時(shí)，）（）（）12和自動(dòng)退出等措施。、個(gè)人金融信息安全數(shù)據(jù)獲取通過(guò)移動(dòng)金融客戶端收集客戶交易信息時(shí)，具體技術(shù)要求如下：客戶端應(yīng)用軟件的臨時(shí)文件中不應(yīng)出現(xiàn)支付敏感信息，臨時(shí)文件包括但不限于Cookies客戶端應(yīng)用軟件運(yùn)行日志中不應(yīng)打印支付敏感信息，不應(yīng)打印完整的敏感數(shù)據(jù)用戶輸入關(guān)鍵交易數(shù)據(jù)時(shí)，如：收款人信息、交易金額、訂單號(hào)等，應(yīng)采取防客戶端應(yīng)用軟件在數(shù)據(jù)獲取時(shí)提供有效性校驗(yàn)功能，確保通過(guò)人機(jī)接口或通信[JR/T0092-2019，定義5.5.1]13數(shù)據(jù)訪問(wèn)控制移動(dòng)金融客戶端應(yīng)對(duì)可獲取客戶個(gè)人金融信息的操作應(yīng)進(jìn)行訪問(wèn)控制：0092-2019，定義5.5.2]數(shù)據(jù)傳輸移動(dòng)金融客戶端與服務(wù)端進(jìn)行數(shù)據(jù)傳輸時(shí)，具體技術(shù)要求如下：應(yīng)在客戶端應(yīng)用軟件與服務(wù)器之間建立安全的信息傳輸通道，協(xié)議版本應(yīng)及時(shí)敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在客戶端應(yīng)用軟件與本地其他應(yīng)敏感數(shù)據(jù)（如：登錄口令、支付敏感信息等）在通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，應(yīng)采取等）確保其完整性，關(guān)鍵的交易數(shù)據(jù)、個(gè)人身份信息，如：收款人信息、交易金額、訂單號(hào)、身份證號(hào)碼等，在通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，應(yīng)采取措施（如：數(shù)字簽名、MAC等）確保其完通過(guò)客戶端應(yīng)用軟件發(fā)起的資金類交易報(bào)文，應(yīng)確保交易報(bào)文的不可抵賴性，0092-2019，定義5.5.3]數(shù)據(jù)存儲(chǔ)移動(dòng)金融客戶端存儲(chǔ)交易信息時(shí)，具體技術(shù)要求如下：14在滿足法律、管理規(guī)定的前提下，客戶端應(yīng)用軟件應(yīng)僅保存業(yè)務(wù)必需的交易信客戶端應(yīng)用軟件應(yīng)確保無(wú)法通過(guò)逆向工程等手段直接從本地文件系統(tǒng)中恢復(fù)完[JR/T0092-2019，定義5.5.4]數(shù)據(jù)使用信息展示移動(dòng)金融客戶端應(yīng)用軟件，對(duì)交易信息展示要求詳見(jiàn)本標(biāo)準(zhǔn)5.4.2。應(yīng)用軟件的后臺(tái)管理與業(yè)務(wù)支撐系統(tǒng)，對(duì)交易信息展示具體技術(shù)要求如下：C3對(duì)于確有明文查看需要的業(yè)務(wù)場(chǎng)景可以保留明文查看權(quán)限，后臺(tái)系統(tǒng)應(yīng)對(duì)所有“”共享和轉(zhuǎn)讓移動(dòng)金融客戶端軟件在對(duì)交易信息進(jìn)行共享和轉(zhuǎn)讓的過(guò)程中，應(yīng)充分重視信息轉(zhuǎn)移或交換過(guò)程中的安全風(fēng)險(xiǎn)，具體技術(shù)要求如下：在共享和轉(zhuǎn)讓前，應(yīng)開(kāi)展交易信息安全影響評(píng)估，并依據(jù)評(píng)估結(jié)果采取有效措在共享和轉(zhuǎn)讓前，應(yīng)開(kāi)展交易信息接收方信息安全保障能力評(píng)估，并與其簽署（）15”“”應(yīng)執(zhí)行嚴(yán)格的審核程序，并準(zhǔn)確記錄和保存交易信息共享和轉(zhuǎn)讓情況。記錄內(nèi)應(yīng)采取有效技術(shù)防護(hù)措施，防范信息轉(zhuǎn)移過(guò)程中被除信息發(fā)送方與接收方之外公開(kāi)披露應(yīng)事先開(kāi)展個(gè)人金融信息安全影響評(píng)估，并依據(jù)評(píng)估結(jié)果采取有效的保護(hù)個(gè)人[JR/T0171-2020，定義6.1.4.3]匯聚融合匯聚融合的數(shù)據(jù)不應(yīng)超出收集時(shí)所聲明的使用范圍。因業(yè)務(wù)需要確需超范圍使應(yīng)根據(jù)匯聚融合后的個(gè)人金融信息類別及使用目的，開(kāi)展個(gè)人金融信息安全影[JR/T0171-2020，定義6.1.4.6]開(kāi)發(fā)測(cè)試個(gè)人金融信息在開(kāi)發(fā)測(cè)試過(guò)程中的具體技術(shù)要求如下：16開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境不應(yīng)使用真實(shí)的個(gè)人金融信息，應(yīng)使用虛構(gòu)的或經(jīng)過(guò)去標(biāo)[JR/T0171-2020，定義6.1.4.7]刪除個(gè)人金融信息在刪除過(guò)程中的具體技術(shù)要求如下：應(yīng)采取技術(shù)手段，在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個(gè)人金融信息，使其[JR/T0171-2020，定義6.1.5]數(shù)據(jù)銷毀個(gè)人金融信息在銷毀過(guò)程中的具體技術(shù)要求如下：客戶端應(yīng)用軟件應(yīng)支持頁(yè)面返回后自動(dòng)清除銀行卡密碼、網(wǎng)絡(luò)支付交易密碼、當(dāng)客戶端應(yīng)用軟件從前臺(tái)進(jìn)入后臺(tái)時(shí)，超過(guò)設(shè)定時(shí)限后應(yīng)清除頁(yè)面中已輸入的客戶端應(yīng)用軟件在安全退出登錄時(shí)，應(yīng)向服務(wù)器發(fā)送會(huì)話結(jié)束請(qǐng)求，使當(dāng)前會(huì)[JR/T0171-2020，定義6.1.6]17業(yè)務(wù)運(yùn)營(yíng)安全規(guī)范業(yè)務(wù)申請(qǐng)與開(kāi)通基本要求：應(yīng)遵守相關(guān)法律法規(guī)，嚴(yán)格落實(shí)《中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管號(hào))、《中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)支付結(jié)算管理防范電信網(wǎng)絡(luò)新型違法犯罪有關(guān)事項(xiàng)的通知》(銀發(fā)〔2019〕85號(hào))等相關(guān)規(guī)定，嚴(yán)格落實(shí)通過(guò)移動(dòng)銀行渠道開(kāi)立個(gè)人Ⅱ、Ⅲ類銀行結(jié)算賬戶時(shí)，應(yīng)嚴(yán)格落實(shí)《中國(guó)人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶服務(wù)加強(qiáng)賬戶管理的通知》(銀發(fā)〔2015〕392號(hào))、《中國(guó)人民銀行關(guān)于落實(shí)個(gè)人銀行賬戶分類管理制度的通知》(銀發(fā)〔2016〕302號(hào))、《中國(guó)201816移動(dòng)銀行資金類業(yè)務(wù)關(guān)閉后，申請(qǐng)重新開(kāi)通該功能，應(yīng)要求客戶本人持有效身企業(yè)移動(dòng)銀行開(kāi)通應(yīng)由本企業(yè)委托人到柜臺(tái)申請(qǐng)，銀行應(yīng)審查其申請(qǐng)材料的真企業(yè)移動(dòng)銀行客戶加掛賬戶可通過(guò)銀行柜臺(tái)或通過(guò)使用專用安全機(jī)制進(jìn)行身份通過(guò)移動(dòng)終端訪問(wèn)網(wǎng)上銀行的資金類交易開(kāi)通應(yīng)有效驗(yàn)證客戶身份，客戶應(yīng)通18移動(dòng)銀行初始登錄密碼以短信方式發(fā)送給客戶，客戶首次登錄時(shí)強(qiáng)制修改初始移動(dòng)銀行專用安全設(shè)備在暫停、終止、掛失或注銷后，如需要恢復(fù)、解除掛失[JR/T0068-2020，定義6.4.1]業(yè)務(wù)安全交易機(jī)制身份認(rèn)證基本要求：應(yīng)采取交易驗(yàn)證強(qiáng)度與交易額度相匹配的技術(shù)措施，提高交易的安全性。高風(fēng)190118—2015等有關(guān)規(guī)定，確保數(shù)字采用一次性密碼作為支付交易驗(yàn)證要素的，應(yīng)將一次性密碼有效期嚴(yán)格限制在使用企業(yè)手機(jī)銀行進(jìn)行資金類交易時(shí)，應(yīng)至少使用硬件承載的數(shù)字證書等方式客戶登錄移動(dòng)銀行或登錄后執(zhí)行資金類交易時(shí)，若身份認(rèn)證連續(xù)失敗超過(guò)一定5銀行用于發(fā)送移動(dòng)銀行交易提示短信、動(dòng)態(tài)驗(yàn)證碼等信息的客戶預(yù)留手機(jī)號(hào)碼客戶持有效身份證件到柜臺(tái)辦理。交易流程基本要求：應(yīng)為客戶提供銀行卡交易安全鎖服務(wù)，并落實(shí)《中國(guó)人民銀行辦公廳關(guān)于強(qiáng)化2017〕120資金類交易中，如客戶端對(duì)交易數(shù)據(jù)簽名，簽名數(shù)據(jù)除流水號(hào)、交易金額、轉(zhuǎn)20銀行應(yīng)采取有效措施鑒別客戶身份，保證支付敏感信息和交易數(shù)據(jù)的機(jī)密性、CPUID、IPMAC在客戶確認(rèn)交易信息后，再次提交交易信息(例如，收款方、交易金額)時(shí)，應(yīng)應(yīng)采取適當(dāng)?shù)陌踩胧┐_?？蛻魧?duì)所做重要信息及業(yè)務(wù)變更類交易的抗抵賴，應(yīng)根據(jù)業(yè)務(wù)類別、開(kāi)通渠道及身份驗(yàn)證方式的不同設(shè)置不同的交易限額，同時(shí)交易監(jiān)控基本要求：建立完善的移動(dòng)銀行異常交易監(jiān)控體系，識(shí)別并及時(shí)處理異常交易，交易監(jiān)測(cè)21實(shí)施差異化風(fēng)險(xiǎn)防控。應(yīng)建立風(fēng)險(xiǎn)交易監(jiān)控系統(tǒng)，對(duì)具備頻次異常、賬戶非法、批量交易、用戶習(xí)慣應(yīng)對(duì)存在異常交易的終端和商戶，采取調(diào)查核實(shí)、風(fēng)險(xiǎn)提示、延遲結(jié)