T/NIFA 33-2025 移动金融小程序安全要求.pdf

团体标准

T/NIFA 332025

移动金融小程序安全要求

Securityrequirements for financialmobileminiprogram

目次

前言...1范围2规范性引用文件3术语与定义，4缩略语.. 35L1与L2类别要求. 36安全要求. 6.1身份认证安全， 36.2逻辑安全 36.3服务端接口安全 56.4抗攻击能力 6.5密码应用安全. 66.6数据安全....7个人信息收集合规要求， 67.1收集个人信息告知同意， 7.2申请授权.... .9 .97.3收集行为要求.. 107.4拒绝或撤回同意要求 7.5更正、删除及注销要求 10 107.6个人信息处理规则要求 . 108开发管理要求 108.1代码质量 8.2代码管理 018.3测试验证与交付 11 118.4文档管理 11附录A（规范性）安全类别对应的要求 12附录B（资料性）小程序技术架构示意， 附录C（资料性）其他类型敏感信息示例. 13参考文献.. 14 15

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T20004.1-2016《团体标准化第1部分：良好行为指南》给出的规则起草.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由中国互联网金融协会提出.

本文件由中国互联网金融协会归口.

本文件起草单位：中国互联网金融协会、中国邮政储蓄银行股份有限公司、深圳前海微众银行股份北京国家金融科技认证中心有限公司、中互金认证有限公司、北银金融科技有限责任公司. 有限公司、浙江网商银行股份有限公司、蚂蚊科技集团股份有限公司、深圳市腾讯计算机系统有限公司、

本文件主要起草人：马超、高明、杨彬、单剑锋、于圆、任家琪、田然、曹中全、张建强、孙丹丹、江嘉航、陆碧波、熊伊婧、黄伟斌、蒋增增、张健、史汝辉、李士通、张毅.

移动金融小程序安全要求

1范围

方面的要求. 本文件给出了移动金融小程序的定义，明确了移动金融小程序在安全、个人信息收集、开发管理等

本文件适用于金融机构对移动金融小程序的开发、测试等方面的管理，也适用于评估机构开展移动金融小程序的安全评估.其他机构开发具有金融服务功能的小程序时也可参考本文件.

2规范性引用文件

下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T35273-2020信息安全技术个人信息安全规范

GB/T44588-2024数据安全技术互联网平台及产品服务个人信息处理规则

3术语与定义

GB/T35273-2020和JR/T0171-2020界定的以及下列术语和定义适用于本文件.

3. 1

移动金融服务mobile financialservice

金融机构通过移动终端提供的在线金融服务.

注：在线金融服务通常包括账户管理、投资与理财服务、支付与转账服务、信贷与信用服务、信用卡服务、保险服

务等，

[来源：ISO 12812-1:2017，3.25，有修改]

3. 2

框架型应用软件frame-basedapplicationsoftware

为在移动智能终端上运行，提供数据访问控制和小程序分发等管理能力，并为在其上运行的第三方小程序提供相应开发接口的应用软件.

3.3

小程序miniprogram

基于框架型应用软件开放接口实现的，用户无需安装即可使用的移动互联网应用程序.

注：关于小程序的技术架构参考见附录B.

[来源：GB/T 42582-2023，3.7，有修改]

T/NIFA 33-2025

移动金融小程序financialmobile miniprogram

为用户提供移动金融服务的小程序.

3.5

个人金融信息personalfinancialinformation

金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息.

注：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息.

[来源：JR/T 0171-2020，3.2]

3. 6

C2类别个人金融信息personalfinancialinformation（C2）

产品与服务的关键信息.该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主 C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融体的信息安全与财产安全造成一定危害.

[来源：JR/T0171-2020 4.2]

3.7

C3类别个人金融信息personalfinancialinformation（C3）

未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害.

有效期、银行卡密码、网络支付交易密码：账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密 注：C3类别个人金融信息包括但不限于银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和CVN2）、卡片码、查询密码：用于用户鉴别的个人生物识别信息.

[来源：JR/T 0171-2020 4.2]

支付敏感信息payment sensitive information

支付信息中涉及支付主体隐私和身份识别的重要信息.

注：支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息.

[来源：JR/T 0171-2020，3.3]

3.9

敏感个人信息sensitive personalinformation

人信息. 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个

注：敏感个人信息包括生物特征、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息.

[来源：GB/T44588-2024，3.4]

3. 10

个人生物识别信息personalbiometricinformation