自中国人民银行下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号）（以下简称“237号文”）以来，移动金融客户端软件（以下简称“金融APP”）的备案工作就被提上日程。

237号文不仅提出要加强金融APP的监管力度，更是明确了金融APP在保险、证券等泛金融行业的安全建设标准，强调要进行实名备案。237号文将安全治理工作真正贯彻到了金融领域的方方面面，堪称“史上最严”移动客户端监管。

近日，中国互联网金融协会（以下简称“互金协会”）公布了第一批参与备案的试点机构，顿时一石激起千层浪。这意味着备案工作已开始从“纸面”落实到“地面”：今后，金融APP必须经由互金协会登记备案“落户”，不能“落户”的“黑户”或将失去在金融行业立足的资格。

问题来了，金融APP怎样才能安全“落户”？

01谁需要“落户”？

根据《关于开展移动金融客户端应用软件实名备案工作的通知》精神，国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行；各证券公司、基金公司、期货公司、私募投资基金管理机构；各保险集团（控股）公司、保险公司、保险资产管理公司；各支付机构均在参与范围内。

02要“落户”需“认证”

✔“落户”需要提供相关材料，主要包括：客户端软件提供方信息、客户端软件信息、客户端软件安全内控管理制度、个人信息保护策略以及外部评估报告等；

✔外部评估报告应由具备相关资质的权威、独立第三方认证机构进行检测认证。其中认证是由国家认监委认定的具有“金融科技产品”认证资质的认证机构进行实施。

03要“认证”需“检测”

认证由申请方向指定认证机构进行申请，初审合格后，由申请方选取的检测机构进行检测任务，完成检测后向认证机构提交检测报告。

04“落户”后需“年检”

按照237号文要求，每年至少开展一次评估工作。评估不合格以及未经年检或取消已“落户”资格。

简而言之

认证机构先进行“认证”初审；

初审通过后，由申请方选取检测机构进行检测，检测通过后即获得“认证”；

“认证”后，通过互金协会的备案系统提交相关材料进行“落户”，同时每年还需年检。

金融APP需要重点关注哪些方面，才能快速顺利 “通关”拿到认证资质？

01要“通关”重“标准”

认证工作是围绕标准展开的，相关方案制订的基础均来源于现行标准，包括：JR/T 0092《移动金融客户端应用软件安全管理规范》、JR/T 0098.3《中国金融移动支付 检测规范 第3部分：客户端软件》、T/PACA 0006《条码支付移动客户端软件 检测规范》等。检测内容涵盖：基本检测项、功能检测项、性能检测项、兼容性检测项以及最重要的安全检测项。对于标准的准确把握有助于企业快速顺利“通关”。

02要“通关”宜“咨询”

如果对标准细则以及认证内容仍然不清楚，建议您向指定的检测机构咨询，这样可以用最少的时间精准把握各项指标。

CFCA能提供哪些助力？

CFCA作为“客户端软件”备案检测指定的检测机构之一，可以提供备案所需检测报告，助力金融APP “落户”；直接与认证机构对接，提供 “咨询”“检测”“认证”一站式服务，并可以承担年检复测任务，全程为金融APP保驾护航。

优势在哪里？

CFCA直接参与了检测认证相关标准文件的修订工作，在政策解读和认证把控方面具有一定优势；拥有认监委的CMA、CNAS资质，中国人民银行的移动金融检测资质，公安部的等保测评资质，中国网安中心的信息安全认证资质，银联支付应用软件客户端安全认证资质等，在第三方评测方面拥有丰富的客户案例与实战经验。

责任编辑：王超