ICS35.240.40 A11 JR 中华人民共和国金融行业标准 JR/T0098.3—2012 中国金融移动支付 检测规范 第3部分:客户端软件 China financial mobile payment-Test specifications- Part 3:Client software 2012-12-12发布 2012-12-12实施 中国人民银行 发布 JR/T0098.3—2012 目次 前言 II 引言 . III 1范围 1 2规范性引用文件. .1 3客户端软件系统架构:. .1 4基本检测项 1 5功能检测项.... 6性能检测项 5 7安全检测项.,,, 6 参考文献 11 JR/T0098.3—2012 前言 《中国金融移动支付检测规范》标准由以下8部分构成: 第1部分:移动终端非接触式接口: —第2部分:安全芯片: 第3部分:客户端软件: 第4部分:安全单元(SE)应用管理终端: 第5部分:安全单元(SE)嵌入式软件安全: 第6部分:业务系统: 一第7部分:可信服务管理系统: —第8部分:个人信息保护. 本部分为该标准的第3部分. 本部分按照GB/T1.1-2009给出的规则起草 本部分由中国人民银行提出. 本部分由全国金融标准化技术委员会(SAC/TC180)归口. 本部分负责起草单位:中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司. 本部分参加起草单位:北京银联金卡科技有限公司(银行卡检测中心)、中金国盛认证中心、工业 和信息化部计算机与微电子发展研究中心(中国软件评测中心)、上海市信息安全测评认证中心、信息 产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集 成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术 有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司. 本部分主要起草人:李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、 李晓、尚可、郭栋、熊文招、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、 李微、陈吉、程恒. II JR/T0098.3—2012 引言 随着智能移动终端的普及和移动互联网相关产业的快速发展,移动互联网应用对支付能力的需求变 得越来越迫切.客户端软件作为应用与支付结合的新兴产品,以其便捷的操作、良好的用户体验,成为 移动支付一个新的发展趋势. 考虑到客户端软件运行平台的多样化,软件作为用户支付服务的窗口,选用安全可靠的客户端软件 是极其重要的.为确保移动支付业务的安全,在收集、分析和评估移动支付客户端软件风险的基础上, 标准的本部分从客户端软件的基本要求、功能、性能和安全四个方面提出对客户端软件的检测要求. III JR/T0098.3—2012 中国金融移动支付检测规范第3部分:客户端软件 1范围 本部分规定了于支持支付业务(包括处理订单)的移动终端客户端软件的检测要求,包括:移动终 端客户端程序、支付控件等.对于仅支持内容浏览等关联业务、不直接集成支付功能的应用软件的安全、 移动支付终端操作系统安全、SE的安全均不属于本部分的规定范围. 本部分适用于移动支付客户端软件检测机构以及设计、开发、集成、维护、运营单位. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本《包括的修改单)适用于本文件. JR/T0092-2012中国金融移动支付客户端技术规范 3客户端软件系统架构 见JR/T0092-2012中第4章. 4基本检测项 4.1开发与维护 4.1.1开发环境 检测目的:检查开发环境是否具有配套的维护机制,发现开发环境中可能存在的漏洞. 检测流程:检查开发环境工具清单、维护机制指引,并访谈、分析实际情况是否属实. 通过标准:具有明确的开发环境工具清单和维护机制,未发现开发环境存在明显漏洞. 4.1.2编码漏洞 检测目的:检查编码是否遵守标准的开发流程和编码安全规范,是否配套单元测试,发现请求、响 应、存储、配置等功能中可能存在的漏洞. 检测流程:检查编码规范、关键源代码是否存在安全漏洞. 通过标准:编码符合安全规范,未发现漏洞. 4.1.3安全补丁 检测目的:检查客户端软件安全补丁的管理程序是否合理. 检测流程:检查客户端软件安全补丁的管理程序、更新记录. 通过标准:应具备完整的安全补丁管理程序,安全补丁应通过充分的评估和测试,确保安装的补丁 不与现有的安全配置相冲突. 1 ...
JR/T 0098.3-2012 中国金融移动支付 检测规范 第3部分:客户端软件.pdf
