?上节课我们提到安全单元(SE)的合规要求,在应用中一个不可忽视的环节就是SE嵌入式应用软件的安全。
SE嵌入式应用软件是在安全单元(SE)中、运行在SE嵌入式系统之上的软件(类似于运行在我们电脑上的office软件、QQ软件等),是移动金融业务的重要承载体,其功能、性能和安全性直接影响到移动金融业务的正常运作。
由于移动支付对多应用的支持,SE嵌入式应用软件需考虑实现多应用。也就是说,在用户取得并激活SE后,需要下载各个行业应用的SE才能进行移动支付交易,这些应用将从不同的平台下载获得,以支持SE内容动态管理,并保证其自身的功能、性能满足业务的要求,其安全性也能够得到有效的保障。
因此,根据《中国金融移动支付检测规范》的要求,SE嵌入式应用软件安全包括:移动支付交易功能符合性、性能以及安全性要求:
交易功能符合性要求主要规定SE嵌入式应用软件与受理终端交易功能的有效性,包括近场交易和远程交易功能;
性能方面主要要求再执行交易时,SE的业务响应、安全功能响应能力需要满足业务交易的要求,而且SE的性能应保持稳定;
安全性是重点,主要要求SE在数据传输、防范外来攻击和破解、防止信息泄露等方面满足标准的规定,能够有效保障存储的账户数据安全性。
《关于推动移动金融技术创新健康发展的指导意见》(以下简称《意见》)中明确,商业银行自行研发或使用其他合作机构(如电信运营商、手机厂商等)发行的SIM卡、全终端手机等作为账户介质时,各商业银行应承担账户介质安全和标准符合性管理的责任,采取有效措施确保合作机构落实相关要求。这样一来,商业银行势必要求其拟采购的账户介质产品通过相关的检测和认证,符合相关的标准规范要求。
本期我们主要简单介绍了安全单元(SE)嵌入式应用软件的安全,下一讲我们将介绍《意见》中的TSM(TrustedServiceManager,可信服务管理)平台,敬请