人行办(bàn)公(gōng)厅于2018年8月15号印发了146号文(wén)《关于开展支付安(ān)全风险专向排查工(gōng)作(zuò)的通知》称為(wèi)进一步加强支付领域网络与信息安(ān)全管理(lǐ)，有(yǒu)效防范支付风险，切实保障消费者合法权益，人民(mín)银行决定开展支付安(ān)全风险专项排查工(gōng)作(zuò)。146号文(wén)中(zhōng)提到需要对金融支付机构的APP进行全面的检测，检测项多(duō)达182项，要求各机构10月底前报送APP清单，2018年11月至12月进行自查，后续人行会进行抽样检测。

文(wén)件下发后，专业的移动信息安(ān)全服務(wù)商(shāng)爱加密迅速组织相关人员研究文(wén)件内容，學(xué)习文(wén)件精(jīng)神，深刻了解本次检查的必要性和对支付安(ān)全的深遠(yuǎn)意义。爱加密希望在此次核查中(zhōng)為(wèi)各机构提供优质(zhì)的产(chǎn)品和服務(wù)，协助各机构提升自身支付安(ān)全达到排查标准。

可(kě)以看出人民(mín)银行146号文(wén)中(zhōng)的排查项是2015年以来在支付安(ān)全风险检查文(wén)件中(zhōng)高度概括的一份。排查项大多(duō)来自于之前的政策文(wén)件，如在之前的170号文(wén)中(zhōng)对支付敏感信息的安(ān)全防护、客户端软件的安(ān)全管理(lǐ)都早已提出要求。此次再对这些内容进行检查，彰显了人行对于此类安(ān)全问题的重视程度，以及把人民(mín)财产(chǎn)安(ān)全放在首位，不希望每一位中(zhōng)國(guó)公(gōng)民(mín)蒙受损失的美好愿景。

下面就来看一下文(wén)件内容：

检查对象

机构范围：商(shāng)业银行、非银行支付机构、清算机构。

客户端应用(yòng)软件范围：涵盖从业机构支付业務(wù)相关的客户端应用(yòng)软件，包括但不限于手机银行、移动支付等客户端应用(yòng)软件及支付控件。

系统范围：涵盖从业机构支付业務(wù)相关系统，包括但不限于行业银行的各种系统。

时间要求

从业机构自查整改

1. 2018年9月30日之前，从业机构向人民(mín)银行报送《客户端应用(yòng)软件明细表》。

2.   从业机构严格对照《支付安(ān)全风险专项排查列表》进行自查，发现问题及时整改并建立问题清单管控和动态跟踪机制。

3.   对短期无法完成整改的问题，要采取补偿措施，明确整改计划和方案，按期整改，2018年10月31日前，形成自查报告报送人民(mín)银行。

人民(mín)银行核实

1.  2018年11月至12月开展全面核查工(gōng)作(zuò)和抽样检测工(gōng)作(zuò)。

2.   全面核查:人民(mín)银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质(zhì)量不高、问题较多(duō)或整改率较低的从业机构进行现场核查。

3.   抽样检测：人民(mín)银行依据《客户端应用(yòng)软件明细表》，开展客户端应用(yòng)软件抽样检测工(gōng)作(zuò)。

排查内容

此次检查182项，共3个大类、29个子类，包含客户端应用(yòng)软件安(ān)全、支付系统安(ān)全管理(lǐ)、支付交易安(ān)全管理(lǐ)等多(duō)个方面。其中(zhōng)客户端应用(yòng)软件安(ān)全包括：身份验证信息管理(lǐ)、客户端数据录入安(ān)全、客户端数据传输安(ān)全、客户端应用(yòng)软件自身安(ān)全。支付系统安(ān)全管理(lǐ)包括物(wù)理(lǐ)安(ān)全、网络安(ān)全、主机安(ān)全、应用(yòng)安(ān)全、数据安(ān)全、业務(wù)连续性等方面。支付交易安(ān)全包括“交易安(ān)全基本要求、银行卡受理(lǐ)终端安(ān)全管理(lǐ)、银行卡交易安(ān)全、条码支付交易安(ān)全、線(xiàn)上交易业務(wù)开通身份认证安(ān)全管理(lǐ)、支付交易安(ān)全强度、交易验证与确认、交易过程安(ān)全、基于大数据技(jì )术的风险防控及2、3类银行的多(duō)种管理(lǐ)要求等。

爱加密助力各机构满足合规要求

爱加密作(zuò)為(wèi)专业的移动信息安(ān)全服務(wù)商(shāng)对应146号文(wén)件中(zhōng)的排查项充分(fēn)理(lǐ)解分(fēn)析，结合自身服務(wù)及产(chǎn)品能(néng)力為(wèi)银行及支付机构提供完整的解决方案。通过安(ān)全咨询、安(ān)全评估等服務(wù)，协助排查定位风险，并给出专业的咨询方案，最终落地到安(ān)全产(chǎn)品。爱加密可(kě)提供以下产(chǎn)品和服務(wù)，助力各机构满足合规要求。

移动应用(yòng)安(ān)全加固系统（对应第1条、第2条、第13条、第14条、第18条）：针对目前移动应用(yòng)普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安(ān)全风险，通过行业领先的六代加固技(jì )术，爱加密為(wèi)用(yòng)户提供全面的移动应用(yòng)加固加密技(jì )术和攻击防范服務(wù)。通过爱加密安(ān)全加固系统可(kě)以满足此次排查中(zhōng)对于身份认证、客户端应用(yòng)软件自身安(ān)全的要求。

移动应用(yòng)安(ān)全检测系统（对应第24条）：移动应用(yòng)安(ān)全检测平台是针对移动应用(yòng)行业可(kě)能(néng)出现的安(ān)全风险推出的专业移动应用(yòng)安(ān)全检测平台，该平台将為(wèi)移动应用(yòng)APP提供多(duō)方位全面體(tǐ)检，并為(wèi)移动应用(yòng)开发商(shāng)提供专业的安(ān)全加固数据依据。协助对移动应用(yòng)漏洞、硬编码、权限等问题进行检查，提供详细的修复建议及技(jì )术支持。

爱加密安(ān)全键盘（第6条、第7条）：爱加密安(ān)全键盘SDK支持Android/iOS/H5等平台。可(kě)以有(yǒu)效解决发文(wén)中(zhōng)对于客户端数据录入安(ān)全的要求。主要有(yǒu)以下功能(néng)和特点：无明文(wén)显示、通讯数据加密、数字字母支持混排。

爱加密通讯协议加密SDK（第8条、第9条）：爱加密通过集成协议加密SDK的技(jì )术，实现数据传输及通讯协议加密保护，保护App与服務(wù)器间的通信安(ān)全，保障通讯过程中(zhōng)的数据安(ān)全和接口安(ān)全。

InfoBeat智能(néng)数据平台（第15条、第16条、支付交易安(ān)全整个大类）：以数据驱动為(wèi)核心，实现无限数据接入、无限数据分(fēn)析、有(yǒu)效数据应用(yòng)。通过丰富的分(fēn)析模型，根据实际业務(wù)需求，形成有(yǒu)价值的可(kě)视化报表。并运用(yòng)无监督机器學(xué)习，对大量数据进行训练、建模、预测，实现持续智能(néng)运营。可(kě)以有(yǒu)效的发现发文(wén)中(zhōng)关于环境威胁、病毒木(mù)马的感知，并对支付交易的安(ān)全做到实时感知，為(wèi)风控策略提供基础。

安(ān)全服務(wù)（渗透测试、安(ān)全咨询、安(ān)全评估、源代码审计等）：对于此次发文(wén)中(zhōng)的要求，爱加密可(kě)以通过安(ān)全咨询、安(ān)全评估等方式為(wèi)广大机构提供安(ān)全服務(wù)，出具(jù)相关评估报告，提供咨询服務(wù)。帮助用(yòng)户建立安(ān)全规范、达到合规标准并配合用(yòng)户完成此次核查工(gōng)作(zuò)。