ICS 35.240.40 CCS A 11 团 体 标 准 T/NIFA 28 —2023 网上银行服务 应用安全规范 Internet banking service —Specification for application security 2023 -11-10发布 2023 -11-10实施 中国互联网金融协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/NIFA 23—2023 I 目 次 前言 ................................ ................................ ................. III 引言 ................................ ................................ .................. IV 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ ....... 1 3 术语与定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 身份鉴别 ................................ ................................ ............. 2 5.1 身份鉴别技术要求 ................................ ................................ . 2 5.2 身份鉴别安全要求 ................................ ................................ . 6 6 交易安全性 ................................ ................................ ........... 8 6.1 抗抵赖机制 ................................ ................................ ....... 8 6.2 重放检测机制 ................................ ................................ ..... 8 6.3 防撞库及恶意查询 ................................ ................................ . 9 6.4 交易合法性检查 ................................ ................................ ... 9 6.5 交易漏洞防范 ................................ ................................ .... 10 7 数据安全性 ................................ ................................ .......... 10 7.1 传输数据的机密性保护 ................................ ............................ 10 7.2 传输数据的完整性保护 ................................ ............................ 11 7.3 存储数据的机密性保护 ................................ ............................ 11 7.4 存储数据的完整性保护 ................................ ............................ 11 7.5 页面展示信息的保护 ................................ .............................. 11 7.6 与第三方合作时金融信息的保护 ................................ .................... 12 8 客户个人信息保护 ................................ ................................ .... 12 8.1 客户个人信息的屏蔽保护 ................................ .......................... 12 8.2 客户个人信 息的访问控制 ................................ .......................... 13 8.3 客户个人信息的使用限制 ................................ .......................... 13 9 移动金融客户端安全 ................................ ................................ .. 13 9.1 客户端程序安全保护 ................................ .............................. 13 9.2 数据安全保护 ................................ ................................ .... 14 9.3 其他安全要求 ................................ ................................ .... 14 10 逻辑安全测评 ................................ ................................ ....... 15 10.1 身份鉴别测评 ................................ ................................ ... 15 10.2 账户管理测试 ................................ ................................ ... 18 10.3 金融交易测试 ................................ ................................ ... 19 11 系统运营安全管理 ................................ ................................ ... 21 11.1 配置管理 ................................ ................................ ....... 21 11.2 变更管理 ................................ ................................ ....... 21 11.3 风险管理 ................................ ................................ ....... 21 11.4 备份与恢复管理 ................................ ................................ . 21 全国团体标准信息平台 T/NIFA 28—2023 II 附录A（规范性） 密码技术要求 ................................ .......................... 23 参考文献 ................................ ................................ .............. 26 全国团体标准信息平台 T/NIFA 28—2023 III 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》和 GB/T 20004.1—2016《团体标准化