身處移動互聯、萬物互聯的時代，金融服務順應潮流，不斷推進數字化、移動化、場景化轉型。商業銀行應用程序接口（API）的安全邊界，正逐漸由獨立的局域網絡擴展到開放的公共網絡，如移動支付、跨界授信等場景。未來，金融信息安全的前沿陣地，不僅是提供服務與產品的金融機構，也是接入互聯網的每一臺設備、享受金融服務的每一個人。

在此背景下，國家有關部門陸續發布規范商業銀行應用程序接口安全管理的標準和要求，不斷敦促、指導銀行業提升金融服務安全性、穩定性，為用戶提供更安全、更便捷、更友好的金融服務。

2020年，中國人民銀行發布《商業銀行應用程序接口安全管理規范》（JR/T 0185—2020）與《中國人民銀行關于發布金融行業標準加強商業銀行應用程序接口安全管理的通知》；

2022年2月，中國人民銀行、國家市場監督管理總局發布《金融科技產品認證目錄（第二批）》 ，將商業銀行應用程序接口列入目錄，從此商業銀行應用程序接口產品被納入國家統一推行的認證體系。

其中，《商業銀行應用程序接口安全管理規范》（JR/T 0185—2020）（以下簡稱:《規范》）面向商業銀行和應用方，從技術和管理兩方面，對個人金融信息保護措施和金融API安全措施提出了明確要求，規定了商業銀行應用程序接口（API）的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求，貫穿API的整個生命周期。

商業銀行可開展自查工作，按照《規范》要求排查風險點；也可委托專業檢測機構進行安全測評，獲取全方位的安全建議和指導，提升API的整體安全。

2022年12月，中國金融認證中心（CFCA）通過《金融科技產品認證目錄（第二批）》檢測機構能力核查，成為國內首批具備商業銀行應用程序接口檢測資質的機構之一，現正式對外開展商業銀行應用程序接口檢測工作。

為提高商業銀行應用程序接口檢測效率，CFCA自主研發“CFCA開放銀行應用程序接口檢測平臺”（以下簡稱：平臺）。平臺可在線開展API接口安全檢測，實現一定程度的應用程序接口自動化檢測，多方面驗證API安全水平。檢測內容如下：

CFCA依照《規范》要求，基于平臺能力，根據各商業銀行API特點量身定制檢測方案，提出針對性安全建議，幫助商業銀行全方位提升API安全水平。目前，CFCA已與多家商業銀行進行合作交流，助其完善應用程序接口安全管理規范，提高應用程序接口安全性，得到客戶的一致好評。

CFCA立足金融行業，愿與銀行機構持續精誠合作，共同守護金融服務安全陣線。

責任編輯：韓希宇