密博士:金融领域密码应用政策法规标准规范
2020年1月1日,《中华人民共和国密码法》正式施行。新修订的《商用密码管理条例》于2023年7月1日起正式施行。商用密码应用在金融、公安、社保、交通、能源、水利、教育、广电、税务等领域不断向纵深拓展。
金融是国民经济的血脉。金融安全是国家安全的重要组成部分,维护金融安全是关系经济社会发展全局的战略性大事。密码作为保障网络和数据安全的关键核心技术,可为数字金融提供身份验真假、数据防篡改、行为抗抵赖等支撑。
密博士汇总了我国金融领域部分公开的密码应用相关政策法规、标准规范。如有错漏,请在留言区指出。
一、法规规章
中国人民银行国家金融监督管理总局令〔2025〕第2号,自2025年11月1日起施行
第四条 银行卡清算机构应当遵守国家安全、国家网络安全有关法律法规,确保银行卡清算业务基础设施的安全、稳定和高效运行。银行卡清算业务基础设施应当满足国家网络安全等级保护要求,使用经国家密码管理机构认可的商用密码产品,符合国家及行业有关金融标准,且其核心业务系统原则上不得外包。
中国人民银行令〔2025〕第3号,自2025年6月30日起施行
第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施:
……
(三)原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。
……
第三十五条 数据处理者应当针对业务数据传输活动采取下列安全保护措施:
……
(三)原则上高敏感性数据项须加密传输至其他数据处理者、其他数据中心或者互联网。确需不加密传输的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据传输有使用商用密码保护特别规定的,按照其规定执行。
……
《国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知》
第二条 本办法所称银行保险机构,是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。
开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。国家有关主管部门另有规定的,应当依法遵守其规定。
第二十八条 银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。
银行保险机构利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护等制度要求。
中国证券监督管理委员会令(第218号),2023年5月1日起施行
第二十六条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,掌握执行程序和源代码并安全可靠存放。
经营机构应当根据自身发展需要,加强自主研发能力建设,持续提升自主可控能力。
核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新以及商用密码应用相关工作。
中国银行保险监督管理委员会令2022年第9号,自2023年3月1日起施行
第二条 本办法所称银行保险机构,是指在中华人民共和国境内依法设立的向消费者提供金融产品或服务的银行业金融机构和保险机构。
第四十五条 银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息,在合作协议中应当约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款。
合作过程中,银行保险机构应当严格控制合作方行为与权限,通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。
中国银行保险监督管理委员会令2021年第4号,自2021年6月27日起施行
第二条 本办法所称理财业务是指理财公司接受投资者委托,按照与投资者事先约定的投资策略、风险承担和收益分配方式,对受托的投资者财产进行投资和管理的金融服务。
本办法所称理财公司是指在中华人民共和国境内依法设立的商业银行理财子公司,以及中国银行保险监督管理委员会(以下简称银保监会)批准设立的其他主要从事理财业务的非银行金融机构。
本办法所称理财产品是指理财公司按照约定条件和实际投资收益情况向投资者支付收益、不保证本金支付和收益水平的非保本理财产品。
……
第七条 理财产品销售机构从事理财产品销售业务活动,应当持续具备下列条件:
……
(四)具备完善的防火墙、入侵检测、数据加密以及灾难恢复等信息安全管理体系和设施;
……
中国证券监督管理委员会令第179号,2021年1月15日修正施行
第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。
第四十六条 信息技术服务机构出现异常情形的,证券基金经营机构应当按照应急预案开展内部评估与审查;信息技术服务机构保障能力不足,导致相关产品或服务的可用性、完整性或机密性丧失的,应当及时更换信息技术服务机构。
第三条 本办法所称监管数据安全是指监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况。
第六条 银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。
二、金融政策
《中国人民银行国家发展改革委工业和信息化部金融监管总局中国证监会国家数据局国家外汇局关于印发<推动数字金融高质量发展行动方案>的通知》
五、完善数字金融治理体系
……
(十七)加强数据和网络安全防护。指导金融机构严格落实数据保护法律法规和标准规范,完善数据安全管理体系,强化数据安全的商用密码保护,建立健全全流程数据安全管理机制。组织金融机构定期进行数据和网络安全风险评估,识别潜在风险,接入金融行业相关网络安全态势感知平台,推动相关平台互联互通。开展网络安全相关压力测试,提升网络安全防护体系建设水平。搭建证券业数据和网络安全公共服务平台,加强基础、共性安全支撑。
《中国人民银行市场监管总局银保监会证监会关于印发<金融标准化“十四五”发展规划>的通知》
·健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。
《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》
银保监办发〔2020〕18号,成文日期为2020年2月24日
二、预防重点领域金融违法犯罪
……
(十五)严防信息科技领域违法犯罪行为。银行保险机构要制定内部网络安全管理制度和操作规程,建立监督制约机制,确保制度得到刚性执行。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。加强对客户信息收集、维护、使用人员的培训管理。在内部产品和业务流程设计上落实客户信息安全控制和风险提示。明确约定涉及客户资料交接的对外合作保密条款,消除信息泄露隐患。严防从业人员利用职权和管理漏洞,篡改后台数据,盗取资金,以及非法复制数据、贩卖客户信息等行为。
……
三、金融标准
(一)国家标准
GB/T 42926—2023《金融信息系统网络安全风险评估规范》
本文件确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。
表A.4 安全建设及运行维护管理脆弱性评估参考表
在评估项目“系统设计管理”里的“密钥选型”中明确评估要点“系统研发单位遵循国家密钥管理相关要求,对系统拟采用的加密方式、密码算法及密钥数量进行分析及技术论证,并在设计方案中进行详细说明”,分值2分,评分细则为“发现1例不符合国家密钥管理要求的情况扣0.5分,扣完为止”。
GB/T 21081—2007《银行业务 密钥管理相关数据元(零售)》
GB/T 21082.4—2007《银行业务 密钥管理(零售) 第4部分: 使用公开密钥密码的密钥管理技术》
自2007年12月1日起正式实施
GB/T 27909.1—2011《银行业务 密钥管理(零售) 第1部分:一般原则》
GB/T 27909.2—2011《银行业务 密钥管理(零售) 第2部分:对称密码及其密钥管理和生命周期》
GB/T 27909.3—2011《银行业务 密钥管理(零售) 第3部分:非对称密码系统及其密钥管理和生命周期》
GB/T 21082.4—2007《银行业务 密钥管理(零售) 第4部分: 使用公开密钥密码的密钥管理技术》
自2012年2月1日起正式实施
GB/T 27928.1-2011《金融业务 证书管理 第1部分:公钥证书》
自2012年5月1日起正式实施
GB/T 27929-2025《金融服务 采用对称加密技术进行报文鉴别的要求》
自2025年10月1日起正式实施
(二)行业标准
JR/T 0255—2022《金融行业信息系统商用密码应用 基本要求》
本文件规定了金融行业信息系统不同等级的密码应用基本要求,从密码算法合规性、密码技术合规性、密码产品和密码服务合规性方面提出了密码应用通用要求,从金融行业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个技术层面提出了第一级到第四级的密码应用技术要求,从管理制度、人员管理、建设运行和应急处置4个方面提出了第一级到第四级的密码应用管理要求。结合金融行业尚无第五级密码应用的实际,本文件对第五级密码应用技术要求和管理要求暂不做具体描述。
本文件适用于指导金融机构、商用密码应用安全性评估机构和金融行业主管部门实施信息系统商用密码应用的规划、建设、运行、测评及监督管理。
JR/T 0256—2022《金融行业信息系统商用密码应用 测评要求》
本文件规定了金融行业信息系统不同等级密码应用的测评要求,从密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性和密钥管理安全性方面,提出了第一级到第五级的密码应用通用测评要求;从金融业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个技术层面提出了第一级到第四级密码应用技术的测评要求;从管理制度、人员管理、建设运行和应急处置4个管理方面提出了第一级到第四级密码应用管理的测评要求。同时规定了整体测评、风险分析和评价、测评结论等测评环节的要求。
本文件适用于指导、规范金融行业信息系统在规划、建设、运行环节的商用密码应用安全性评估工作。
JR/T 0257—2022《金融行业信息系统商用密码应用 测评过程指南》
本文件规定了金融行业信息系统商用密码应用的测评过程,包括密码应用实施过程、测评基本原则、测评风险识别和测评风险规避,描述了密码应用方案评估和信息系统商用密码应用安全性评估(简称密评)的测评活动。
本文件适用于商用密码应用安全性评估机构、金融行业信息系统责任单位开展密评工作。
本标准描述了保险行业电子保单业务的密码应用需求,规定了电子保单的投保、签发、存储、验证、递送等电子保单管理主要环节的密码应用技术要求,本标准可为电子保单的密码应用提供指导。
本标准适用于电子保单系统的开发和使用。
GM/T 0072—2019《远程移动支付密码应用技术要求》
本标准描述了基于密码模块的远程移动支付密码应用架构,规定了远程移动支付的密码安全要素以及密码应用的技术要求。
本标准适用于对基于密码模块的远程移动支付中密码应用需要考虑的密码安全要素以及遵循的技术要求提供指导。
GM/T 0073—2019《手机银行信息系统密码应用技术要求》
本标准在GM/T 0054-2018、JR/T 007-2012等标准基础上,结合手机银行信息系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管理要求、安全管理要求等三方面,对不同安全保护等级的手机银行信息系统中密码应用提出具体的要求。
本标准适用于指导、规范和评估手机银行信息系统中的商用密码应用。
本标准规定了密码技术在网上银行业务中应用的相关要求,包括密码算法、密钥管理、证书管理、安全通道、密码设备及数字签名六个方面。
本标准适用于指导网上银行业务中密码技术相关安全功能的设计、实现和使用,对于网上银行系统中密码子系统的测试、管理可参照使用。
手机银行等系统中相关部分内容也可以参照本标准。
GM/T 0075—2019《银行信贷信息系统密码应用技术要求》
本标准在GM/T 0054-2018、JR/T 007-2012等标准基础上,结合银行信贷系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面,对不同安全保护等级的信贷信息系统中密码应用提出具体的要求。
本标准适用于指导、规范和评估信贷信息系统中的商用密码应用。
GM/T 0076—2019《银行卡信息系统密码应用技术要求》
本标准在GM/T 0054-2018、JR/T 007-2012等标准基础上,结合银行业金融机构银行卡系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面,对不同安全保护等级的银行卡系统中密码技术的应用提出具体的要求。
本标准适用于指导、规范和评估银行卡信息系统中的的商用密码应用。
GM/T 0077—2019《银行核心信息系统密码应用技术要求》
本标准在GM/T 0054-2018、JR/T 007-2012等标准基础上,结合银行业金融机构核心系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面,对不同安全保护等级的核心系统中密码技术应用提出具体的要求。
本标准适用于指导、规范和评估银行、金融机构的核心信息系统。
JR/T 0223—2021《金融数据安全 数据生命周期安全规范》
本文件规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。
本文件适用于指导金融业机构开展电子数据安全防护工作,并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。
本文件凡涉及密码技术的相关内容,按国家密码管理部门及行业主管部门有关规定实施;凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,遵循相关国家标准和行业标准。
JR/T 0060—2021《证券期货业网络安全等级保护基本要求》
7 第二级安全要求
7.1.9.3 产品采购和使用
本条款要求包括:
a) 网络安全产品采购和使用应符合国家主管部门的相关要求;
b) 密码产品与服务的采购和使用应符合国家密码管理主管部门的要求。
7.1.9.7 测试验收
本条款要求包括:
a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
8 第三级安全要求
8.1.2.2 通信传输
本条款要求包括:
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性;通过互联网、卫星网传递系统管理数据、鉴别信息和重要业务数据应采取加密方式。
8.1.9.2 安全方案设计
本条款要求包括:
a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;
c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
8.1.10.9 密码管理
本条款要求包括:
a) 应遵循密码相关的国家标准和行业标准;
b) 应使用国家密码管理主管部门认证核准的密码技术和产品。
……
6.2.2 密码安全
数字函证基础设施和金融机构数字函证业务系统使用的密码算法、密码产品以及密码服务应遵循国家密码管理部门相关要求,并遵循GB/T 39786的要求。
JR/T 0226—2021《保险行业信息共享平台数据交换规范》
3.1保险行业信息共享平台
为贯彻落实国家关于商业保险发展的有关政策要求,满足保险行业内外部信息共享及交互需求,支持相关国家政策落地实施,而建设的行业性公共平台或系统的统称。例如,全国车险信息平台、全国农业保险信息管理平台、健康险平台、保险中介平台、保单登记平台等。
8.5 密码安全
在联机类交易场景下,建议采用密码算法加强安全防护。算法要求和密钥管理要求如下:
8.6 算法安全
行业信息共享平台与对端交换数据应保证密码算法的安全性。具体技术要求如下:
a)密码算法及密码应用应符合《密码法》及国家密码管理局的有关要求;
b)行业信息共享平台应使用国产密码算法;
c)禁止使用私有算法。
8.7 密钥管理安全
应保证密钥生成、存储、使用过程的安全性。具体技术要求如下:
a)应保证生成的密钥不重复,确保其机密性;
b)加密和签名应分配不同的密钥,且相互分离;
c)不应以编码的方式将密钥编写在应用程序代码中,防止因代码泄露引发密钥泄露;
d)密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;
e)密钥使用时应采取必要的安全防护措施,防止密钥被非法使用;
f)密钥泄露时,应停止使用,并启动相应的应急处理和响应措施;
g)应按照密钥更换周期要求更换密钥。
8.16 脱机类数据安全传输
8.17 介质安全
在脱机非结构化类场景下,行业信息共享平台与对端通过脱机方式交换数据,可通过光盘、移动硬盘等介质进行。交换完毕,光盘应予以销毁,移动硬盘等磁介质应进行数据清除。
8.18 密码安全
8.19 算法安全
在脱机非结构化类场景下,行业信息共享平台与对端通过脱机方式交换数据,应保证密码算法的安全性。具体技术要求如下:
a)密码算法及密码应用应符合《密码法》及国家密码管理局的有关要求;
b)行业信息共享平台应使用国产密码算法;
c)禁止使用私有算法。
8.20 密钥管理安全
应保证密钥生成、存储、使用过程的安全性。具体技术要求如下:
a)应保证生成的密钥不重复,确保其机密性;
b)加密和签名应分配不同的密钥,且相互分离;
c)密钥应采取严格的安全防护措施,防止密钥被非法获取;
d)密钥使用时应采取必要的安全防护措施,防止密钥被非法使用;
e)密钥泄露时,应停止使用,并启动相应的应急处理和响应措施;
f)原则上,脱机类数据传输应采取一次性密钥加密;如不具备条件,应按照密钥更换周期要求更换密钥。
JR/T 0225—2021《保险移动应用信息安全基本要求》
6.1.4 算法安全
移动应用软件应保证密码算法的安全性,应保证密钥生成、存储、使用过程的安全性。具体技术要求如下:
a) 密码算法应符合国家密码管理局的有关要求;
b) 密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;
c) 密钥使用时,应采取必要的安全防护措施,防止密钥被非法使用;
d) 密码传输时,应保证传输过程的安全,防止中间人窃取密钥;
e) 密钥泄露时,应停止使用,并启动相应的应急处理和响应措施;
f) 应按照密钥更换周期要求更换密钥。
GM/T 0106—2021《银行卡终端产品密码应用技术要求》
本文件规定了银行卡终端产品上密码应用相关的技术要求,包括终端基本安全要求、终端密钥管理要求、终端数据安全要求以及密码算法正确性和性能要求。
本文件适用于银行卡终端产品上密码技术的应用,使用对象主要是与密码技术应用相关的银行卡终端产品设计、制造、使用等单位,以及需要对存量银行卡终端产品进行密码应用技术改造升级的相关单位。
本文件规定了电子保单自投保至责任终止全业务流程中商用密码应用的要求,包括电子保单业务流程中的商用密码应用要求、商用密码技术与管理要求。
本文件适用于指导中华人民共和国境内保险行业相关机构开展电子保单业务中的商用密码管理和应用。
JR/T 0323—2024《数字金融远程音视频手机银行技术规范》
8.2 传输安全 传输安全具体要求如下。
a)应对信令流、媒体流数据进行端到端加密传输,并保证一次会话一个密钥,防止流媒体数据被 非法访问。
b)应对业务数据进行加密传输,例如采用HTTPS传输、关键域加密等方式,保障业务数据安全。
c)使用的密码算法、密码产品以及密码服务应遵循国家密码管理部门与行业主管部门要求。
d)使用开源协议时,应制定合理的开源技术应用策略,确保开源协议安全。
本文件规定了分布式账本技术在贸易金融领域应用的目标、技术参考架构、相关技术要求等。
本文件适用于在贸易金融领域开展分布式账本技术研发和应用的相关机构。
7.3.5 密码服务
贸易金融分布式账本系统的密码服务功能满足以下要求。
a)应支持密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复、销毁等全生命周期管理。
b)对密钥的管理不应影响既有数据的完整性和有效性。
c)应保障密钥安全性,避免未经授权的访问。
d)应支持GM/T 0003(所有部分)所规定的SM2、GM/T 0004所规定的SM3、GM/T 0002所规定的SM4、GM/T 0044(所有部分)所规定的SM9等 国家密码管理部门或行业主管部门认可的商用密码算法。
注:
1.SM2指一种椭圆曲线公钥密码算法,该算法密钥长度为256比特。
2.SM3 指一种密码杂凑算法,该算法输出为256比特。
3.SM4 指一种分组密码算法,该算法分组长度为128比特,密钥长度为128比特。
4.SM9 指一种基于身份标识的非对称密码算法。
JR/T 0316—2024《区域性股权市场跨链认证安全规范》
本文件规定了区域性股权市场地方业务链与监管链跨链对接的安全认证技术与系统实现要求,包括密码算法要求、业务数据要求、地方业务链安全要求、地方业务系统安全要求、跨链机制要求及跨链安全要求。
本文件适用于在区域性股权市场中进行地方业务链及与地方业务链对接的地方业务系统建设或服务运营的机构。
6.4 业务数据传输安全
应采取加密算法确保业务数据的机密性,加密算法应采用国产密码算法,密钥协商、密钥保护手段应安全,应使用通过密码产品认证的产品。
应采取数字摘要、数字签名、HMAC等密码技术确保业务数据传输的完整性,密码算法应采用国产密码算法。
7.2 身份信息安全
地方业务链应能确保用户身份标识唯一性和可鉴别性。
地方业务链的校验鉴别信息应具有加密算法和数字签名的安全机制,确保区块链中不存在重复身份标识、身份鉴别信息不被冒用。
地方业务链应具有身份认证失败处理机制。
10.3 通过VPN网络访问
在监管链和地方业务链之间建立VPN连接,监管链通过地方业务链局域网地址调用地方业务链RPC接口,此方式下通过互联网传输加密后的数据。
JR/T 0285—2024《基于数字证书的移动终端金融安全身份认证规范》
本文件规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。
本文件适用于银行业金融机构、非银行支付机构,以及相关终端厂商、电子认证服务商等。
本文件规定了通过银行卡派生数字凭据实现银行卡数字化应用的相关技术要求,明确了数字银行卡技术体系架构、数字凭据关键控制过程、数字凭据应用流程、数字银行卡安全要求、公钥认证体系及其他要求等内容。
本文件适用于商业银行、非银行支付机构、银行卡清算机构、转接清算机构、支付信息服务提供方及相关产业合作企业,在数字化支付场景下基于数字凭据开展数字银行卡全生命周期管理与应用所需的相关软硬件设备及信息系统的设计、研发、集成和维护。
8.1.2 密码算法
规范密码算法要求如下。
a)应使用密码算法对数字凭据相关的数据(数字印签、银行卡应用密文等)进行加解密。
b)密码产品和加密算法应符合国家相关密码管理政策规定,应优先使用SM2、SM3、SM4等密码算法。
本标准规定了金融电子认证机构及自建电子认证系统的机构所应遵循的要求,本标准第5章“金融电子认证管理”适用于在金融领域提供电子认证服务的机构,包含为金融机构提供电子认证服务的第三方电子认证机构、自建电子认证系统并为自身客户提供服务的金融机构和非银行支付机构。上述机构为内部员工提供电子认证服务的可参考本标准。
四、金融规范
·清算机构、收单机构应当按照《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)规定,对银行卡受理终端采取密码识别技术等有效手段,确保银行卡受理终端序列号不被篡改。
一、规范银行卡交易报文管理
各单位要严格落实《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)相关要求,切实保障交易报文信息的完整性、真实性和可追溯性。……
四、加大银行卡受理终端支付风险防控力度
……
(四)加强受理终端密钥管理。各商业银行、支付机构要严格落实《中国人民银行关于进一步加强银行卡风险管理的通知》、《中国人民银行关于加强银行卡收单业务外包管理的通知银发〔2015〕199号),进一步强化受理终端密钥管理,严禁将终端密钥生成和管理工作交由外包服务机构办理;使用具备防拆机制的受理终端,采取联机激活等技术措施严禁违规重置终端,不具备联机激活重置功能的终端于2017年6月底前完成升级。银行卡清算机构要建立健全安全可控的入网终端维修管理机制,严防终端密钥泄露。
……
相关回顾
▌来源:云上(江西)密码服务科技有限公司
整理/密博士 编辑/邹紫凯 核校/叶凯灵 审签/金艳萍
©云上密码
- 云上(江西)密码服务科技有限公司
-
0791-88861782 -
jin@cipheroncloud.com - 密码服务热线:400-9699-016 叶女士
- 招聘事宜咨询:0791-88856956 金女士
- 地址:江西省南昌市南昌高新技术产业开发区火炬大街161号海上汇商业广场10楼 邮编:330096
赣公网安备 36010202000226号- 赣ICP备20003422号
- Copyright © 云上(江西)密码服务科技有限公司
