“目前，中國銀行業務離柜交易率已達到90%以上，金融服務對網絡高度依賴。相對傳統風險，網絡風險擴散速度更快、范圍更廣、影響更大。突發性網絡安全事件也對金融機構的應急管理提出了更高要求?！?/span>

——銀保監會主席郭樹清在2020年新加坡金融科技節上發表題為《金融科技發展、挑戰與監管》的演講

近些年來，金融業發展呈現多元化的趨勢，業務從線下走向線上，從現實走向虛擬，在互聯網的加持下進一步強化社會經濟“動脈”作用，連通諸多行業生態，滲透“滴灌”社會生活各個角落，為人們的衣食住行提供越來越多的便利。

但硬幣也有另一面，如今互聯網安全態勢復雜、嚴峻，對于金融機構而言，在發展金融科技、升級金融服務的過程中，內有用戶隱私泄露、業務權限越界的隱患，外有黑客惡意攻擊、篡改、訛詐的風險。為保障金融業務安全穩定開展，國家有關部門制定了一系列法律法規、政策措施、標準規范。

2019年10月，中國人民銀行、國家市場監督管理總局聯合發布《金融科技產品認證目錄（第一批）》，并制定《金融科技產品認證規則》，正式將金融科技產品納入國家統一推進的認證體系。

2022年2月9日，《金融科技產品認證目錄（第二批）》發布，區塊鏈技術產品、商業銀行應用程序接口、多方安全計算金融應用共三項金融科技產品應用被納入第二批認證目錄。

市場監管總局和人民銀行將商業銀行應用程序接口列入《金融科技產品認證目錄（第二批）》，進一步敦促、指導銀行業不斷提升金融服務的安全性、穩定性，為廣大用戶提供更安全、更便捷、更友好的金融服務，也為數字安全機構合法合規、專業高效開展金融安全服務起到了政策航標的作用。

一、什么是商業銀行應用程序接口

如果將廣義的金融服務具象化地類比為一家銀行網點，那么應用程序接口（不同的金融服務API）就是網點中負責不同業務的銀行柜員，將你的服務請求（Request）錄入銀行系統并響應（Response）你的服務申請。

作為銀行用戶在辦理業務時只需根據業務選擇對應的銀行柜員并告知需求（選擇并發起API請求），然后等待柜員回復結果即可。用戶無需關注銀行柜員如何通過銀行業務系統（后臺服務器中的金融服務）完成具體工作流程。

我們進行移動支付、地鐵刷卡、股票交易、征信查詢、游戲內購、打賞主播等行為若選擇通過銀行劃扣款項，便離不開商業銀行應用程序接口為我們提供的金融服務。

二、商業銀行應用程序接口產品納入金融科技認證目錄歷程

2019年10月：中國人民銀行、國家市場監督管理總局聯合發布《中國人民銀行 國家市場監督管理總局聯合推動金融科技產品納入國家統一推行的認證體系》，并發布《金融科技產品認證目錄（第一批）》。

2020年2月：中國人民銀行發布《商業銀行應用程序接口安全管理規范》（JR/T 0185—2020） (以下簡稱“規范”）。

2020年3月：中國人民銀行發布《中國人民銀行關于發布金融行業標準加強商業銀行應用程序接口安全管理的通知》。

2022年1月：中國人民銀行、國家市場監督管理總局發布《金融科技產品認證目錄（第二批）》，將商業銀行應用程序接口列入目錄，從此商業銀行應用程序接口產品被納入國家統一推行的認證體系。

三、如何實施商業銀行應用程序接口安全管理檢測

人民銀行于2020年2月正式發布《商業銀行應用程序接口安全管理規范》（JR/T 0185—2020），目的是對使用商業銀行應用程序接口的各類金融服務進行規范，主要從技術和管理兩方面規范個人金融信息保護措施和金融API安全措施?！兑幏丁穼ι虡I銀行和應用方提出明確要求，規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求，貫穿API的整個生命周期。

商業銀行可開展自查工作，按照《規范》要求提升API安全。也可委托專業檢測機構進行安全測評，并獲取全方位的安全建議和指導，提升商業銀行API的整體安全。

中國金融認證中心（CFCA）已具備API產品檢測能力，同時為提高商業銀行應用程序接口檢測效率，CFCA自主研發了商業銀行應用程序接口安全管理檢測平臺（以下簡稱“平臺”）。該平臺可在線遠程開展API接口安全檢測，并實現一定程度的應用程序接口自動化檢測，從多方面驗證API安全水平，平臺檢測內容如下：

CFCA依照《規范》要求，基于該平臺能力根據各家商業銀行API特點量身定制檢測方案，提出針對性安全建議，幫助商業銀行全方位提升API安全水平。

目前，CFCA已與多家商業銀行進行合作交流，助其完善應用程序接口安全管理規范，提高應用程序接口安全性，得到行方的一致好評。

數字金融時代已然到來，商業銀行應用程序接口的安全邊界亦擴展至開放的全域互聯網中。安全之重，勢如泰山，CFCA立足金融行業，提供商業銀行應用程序接口安全管理檢測服務，與銀行機構精誠合作，共同守護金融服務安全陣線。

責任編輯：韓希宇