身处移动互联、万物互联的时代，金融服务顺应潮流，不断推进数字化、移动化、场景化转型。应用程序接口（API）成为银行拓展服务边界的重要抓手，第三方合作伙伴可以通过API调取金融服务。

因此，经由API的延展，银行数字金融的安全边界逐渐由独立的局域网络扩展到开放的公共网络，加强商业银行API的安全管理势在必行。

监管政策速览

2020年2月，中国人民银行发布《JR/T0185-2020 商业银行应用程序接口安全管理规范》，对商业银行应用程序接口的设计、部署、集成、运维等全生命周期过程提出了安全技术与安全管理要求。

2022年1月，中国人民银行、国家市场监督管理总局发布《金融科技产品认证目录（第二批）》 ，将商业银行应用程序接口列入目录，纳入国家统一推行的认证体系。

提升安全，可以这样做

银行可委托专业检测机构按照《JR/T0185-2020 商业银行应用程序接口安全管理规范》进行安全测评，并获取全方位的安全建议和指导，提升API整体安全。

2022年12月，中国金融认证中心（CFCA）通过《金融科技产品认证目录（第二批）》检测机构能力核查，成为国内首批具备商业银行应用程序接口检测资质单位之一。

CFCA商业银行应用程序接口检测，依据《JR/T0185-2020 商业银行应用程序接口安全管理规范》和《T/PCAC 0008-2020 商业银行应用程序接口安全管理检测规范》的要求，分别从：接口类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止及系统下线、安全管理等七个方面建立检测项，客观、公正评估商业银行API的标准符合性和系统安全性。

商业银行应用程序接口安全管理检测测评项覆盖情况

商业银行应用程序接口安全管理检测框架

同时，CFCA根据各个商业银行API的特点提出针对性安全建议，帮助商业银行全方位提升API安全水平。目前，CFCA已与多家商业银行开展合作交流，助其完善并提高API安全性，获得行方一致好评。

作为我国重要的信息安全基础设施，CFCA立足金融行业，深悉商业银行应用程序接口安全之重，愿与银行机构精诚合作，共同守护金融服务安全阵线。

责任编辑：方杰