2024-09-14 www.dnxtw.com
电脑系统网 9 月 14 国家金融监督管理总局办公厅发布了《关于加强银行业保险业移动互联网应用程序管理的通知》。通知从四个方面提出 18 第一,加强整体管理,要求金融机构明确移动应用管理领导部门,建立移动应用账户,完善准入退出机制,控制移动应用数量;二是加强整个生命周期管理,要求金融机构规范移动应用需求分析、设计开发、测试验证、货架发布、监控运行,加强移动应用与运营环境的兼容性和适应性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性和个人信息保护的监管要求;四是加强监督管理,要求金融监督管理局各级派出机构加强移动应用监督。
计算机系统网附:
国家金融监督管理总局办公厅关于加强银行业保险业移动互联网应用程序管理的通知
金办发〔2024〕99 号
金融监管局、政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、金融公司、保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司、金融控股公司:
为指导银行金融机构、保险金融机构和金融控股公司(以下简称金融机构)进一步提高服务质量,规范移动互联网应用程序(内部和外部用户在移动智能终端上运行的应用软件,包括但不限于移动应用程序 APP、经国家金融监督管理总局同意,小程序、公众号等,以下简称移动应用程序管理,现将有关工作通知如下:
1、金融机构应重视移动应用管理,将移动应用建设纳入数字化转型总体规划,明确领导管理部门,加强统筹管理,加强业务与科技协调,夯实各方管理职责,规划建设功能全面、安全合规的移动应用。
二、二。金融机构应加强移动应用的总体管理,建立移动应用分类账,完善准入和退出机制,协调各部门和分支机构的移动应用建设规划,合理控制移动应用的数量。及时优化、整合或终止用户活动低、体验差、功能冗余、安全合规风险大的移动应用程序。
3、金融机构应明确移动应用管理部门和负责人,完善内部管理机制,将合规要求落实到业务需求、产品研发、推广和运营的各个环节。
4、与政府部门、企业等第三方合作建设移动应用的,金融机构应当明确移动应用管理责任主体,通过合同或者协议约定双方的责任和义务,认真履行网络安全和数据安全责任。严禁第三方通过移动应用非法开展金融业务。
5、金融机构应建立移动应用业务合规审计机制(包括第三方合作业务),严格按照许可证规定的业务范围和区域范围开展业务,按照监管要求进行销售流程可追溯性和信息披露,并定期进行业务合规检查和审计。
六、金融机构开展移动应用需求管理,应整合类似同质业务需求,使移动应用具有相对独立完整的业务场景和功能,使用方便性高,满足老化、未成年人保护要求,无歧视限制,加强移动应用和第三方软件开发工具包安全需求分析。
7、金融机构应做好移动应用程序设计、方案评审、软件开发、代码管理和变更控制,对移动应用程序集成的源代码或组件(包括第三方组件)进行安全风险管理,加强客户认证和系统应用逻辑控制的安全测试,禁止在移动应用程序中嵌入无关链接、无效链接、恶意程序等有风险的代码,并及时进行调查和清理。
8、金融机构应为移动应用(包括第三方软件开发工具包)建立测试验证和货架发布系统,在交付前完成缺陷和漏洞修复,并与移动应用分销平台(通过互联网提供应用发布、下载、动态加载等服务活动的平台,包括应用商店、快速应用中心、互联网小程序平台、浏览器插件平台等)合作,完成资质验证、货架审核、问题整改等工作,满足网络安全、数据安全、隐私保护、合规展览等要求。金融机构应控制移动应用程序的上架账户。
9、金融机构应实时监控移动应用程序(包括第三方软件开发工具包)的运行状态,加强账户权限管理,更新、维护和离线旧版本。金融机构终止移动应用运营的,应配合移动应用分销平台进行风险评估、数据迁移、隐私保护、用户通知等下架管理。金融机构应加强对假冒移动应用程序的监测和调查,发现假冒移动应用程序,应尽快采取公开澄清等处置措施,并及时向国家金融监督管理总局或其派出机构报告。
10、金融机构应加强移动应用与运营环境之间的兼容性和适应性管理,密切跟踪智能终端主要操作系统版本升级信息,关注移动应用分发平台软件版本升级公告,提前进行移动应用(包括第三方软件开发工具包)的兼容性测试。为进行移动应用适应性改造,应制定改造方案和应急预案,加强安全管理。
十一、金融机构应当按照网信、工信部门的要求,对互联网信息服务和移动互联网应用程序进行备案。确定为重要信息系统(支持重要业务,其信息安全和服务质量关系到公民、法人和其他组织的权益,或者关系到社会秩序、公共利益甚至国家安全的信息系统,包括涉及客户、涉及会计处理、实时性要求高的业务处理、渠道和涉及客户风险管理的管理信息系统)的移动应用。向金融监管总局或其派出机构报告。
12、金融机构应加强移动应用网络安全管理,严格执行国家网络安全等级保护制度,定期加强移动应用安全,加密数据传输,监控和识别异常流量、恶意程序、攻击和入侵、安全漏洞、非法逆向分析和破解、代码篡改和重新包装等风险,及时处理问题。金融机构应当对移动应用注册用户进行有效的身份验证。
13、金融机构应当按照“谁管理业务、谁管理业务数据、谁管理数据安全”的原则,明确移动应用数据安全管理的责任。结合移动应用的特点,加强数据安全措施,有效防范数据泄露、篡改、勒索等风险。
14、金融机构委托外包服务提供商建设和维护移动应用的,应严格执行信息技术外包风险监管要求,开展移动应用外包准入、监控评估和风险管理,严格按照“必须知道”和“最小授权”的原则控制外包服务提供商的数据访问权限,督促其加强数据安全管理,防止数据泄露。
15、金融机构应加强移动应用业务的连续管理和应急管理,结合移动应用特点进行业务影响分析,建立应急处置机制,制定应急预案,定期演练,及时向国家金融监督管理总局或其派出机构报告重大突发事件。
16、金融机构应严格执行国家法律法规和监管要求,建立移动应用个人信息保护制度,规范个人信息管理,按照“合法、合法、必要”的原则收集个人信息,告知用户收集个人信息的目的、使用和保护个人信息,发布投诉渠道信息,及时处理信息泄露和隐私合规相关问题,保护消费者权益。
17、金融机构应将移动应用风险纳入综合风险管理,识别非法展览、侵犯消费者权益等业务风险和网络安全漏洞等科技风险,完善风险防控措施,每年至少进行一次移动应用风险评估,每三年至少进行一次审计。重大移动应用风险事件发生时,应立即进行专项审计。
18、各级派出机构应当夯实辖区内金融机构移动应用管理的主要责任,督促辖区内金融机构落实信息技术监管体系要求,加强移动应用监测预警,定期进行渗透测试。加强非现场监督和现场检查中移动应用相关风险的关注,加强风险漏洞通报,及时督促整改。加强对金融机构移动应用违法行为的处罚和问责,对管理不当造成的重大风险事件、严重风险隐患、风险调查流于形式、问题整改不力等问责。
国家金融监管管理总局办公厅办公厅
2024 年 9 月 12 日
广告声明:文本中包含的外部跳转链接(包括不限于超链接、二维码、密码等形式)用于传递更多信息,节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。