随着金融行业数字化转型日益深入,商业银行应用程序接口(API)成为金融机构拓展服务边界的重要抓手,金融机构的第三方合作伙伴可以通过商业银行API调取金融服务。因此,API的安全边界正逐渐由独立的局域网络扩展到开放的公共网络,并面临日益严峻的恶意攻击、数据泄露、合规风险等安全挑战,加强商业银行API的安全管理势在必行。
由中国金融认证中心(CFCA)、中国电子银行网和中国民生银行联合发布的《2022开放银行生态金融白皮书》中指出,开放银行作为一种新的银行服务形态,在促进传统商业银行服务方式的转变,将金融活水更精准、更及时地滴灌到客户需要的生态场景中使金融服务延伸至以往不被触及到的客户群体。
《2022开放银行生态金融白皮书》开放银行实践领域
随着数字化浪潮的涌现,开放银行作为数字金融的重要组成部分,以API、SDK等技术为手段,通过双向开放形式将金融服务的实践领域不断扩展。这些实践领域的蓬勃发展,无一不依赖于稳定、安全的API。在开放银行时代,API安全不仅仅是数据安全的问题,更涉及用户隐私、金融交易稳定性等多个方面。
为规范商业银行API安全管理,中国人民银行于2020年2月发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(以下简称《规范》)。《规范》对商业银行API的设计、部署、集成、运维等全生命周期过程提出了安全技术与安全管理要求,为开放银行服务模式的安全稳健发展提供了指导和保障。
商业银行可开展自查工作,按照《规范》要求排查风险点,提升API安全。也可委托专业检测机构进行安全测评,获取全方位的安全建议和指导,提升商业银行API的整体安全。
2022年12月,CFCA通过《金融科技产品认证目录(第二批)》检测机构能力核查,成为国内首批具备商业银行应用程序接口检测资质的机构之一,现正式对外开展商业银行应用程序接口检测工作。
为提高商业银行应用程序接口检测效率,CFCA自主研发“CFCA开放银行应用程序接口检测平台”(以下简称“平台”)。平台可在线开展API接口安全检测,实现一定程度的应用程序接口自动化检测,多方面验证API安全水平。检测内容如下:
CFCA依照《规范》要求,基于平台能力,根据各商业银行API特点量身定制检测方案,提出针对性安全建议,帮助商业银行全方位提升API安全水平。目前,CFCA已与多家商业银行进行合作交流,助其完善应用程序接口安全管理规范,提高应用程序接口安全性,得到客户的一致好评。
在数字时代的浪潮中,百业千行乘风借力,却也面对波诡云谲、此起彼伏的数字风险,信息安全工作便如一道坚实的防浪堤守护你我。CFCA立足金融行业,深悉商业银行应用程序接口安全之重。我们怀揣无尽诚意,愿与银行机构持续精诚合作,共同守护金融服务安全阵线。
