近年来，随着行业内外部环境的不断变化，银行业务模式也逐渐发生变化。目前，银行已发展到.0阶段，成功进入数字银行时代。在科技创新方面，各银行加大了金融科技资源的投入，将科技与金融更加紧密地结合起来，形成了新的业务模式——。

业务模式创新不仅可以提升银行自身的金融服务能力，还可以将这种能力向外输出，以金融服务为能力基础，赋能更多业务场景。此时，银行不再仅仅提供服务，而更多地扮演着“连接”的角色。这一作用与“开放平台”的能力建设密不可分。

随着移动互联网业务场景的逐渐丰富，“小程序”这种能够碎片化业务功能、帮助App快速上线业务功能、实现敏捷迭代的工具也开始逐渐进入银行的关注。银行可以利用小程序支持将合作伙伴的功能集成到App中，聚合不同业务场景的流量入口，实现一个App解决所有客户需求的可能性，从而真正完成“连接”的使命。但有了小程序平台就能达到这个目的吗？为什么合作伙伴要把流量入口放在银行APP里？如何将流量平台上已经列出的小程序迁移到自己的应用中？银行能否通过小程序平台为用户提供差异化​​的金融服务？ 《个人信息保护法》颁布后，将对银行及合作伙伴的个人数据安全产生哪些影响或障碍？这些问题都是银行可能面临和解决的。

泛太极客致力于以小程序的形式，以轻应用技术赋能企业拥有自己的数字基础设施，构建自己的数字生态系统。帆泰极客科技，其运行沙箱的小程序具有从手机到PC到车载系统的跨设备支持能力。也获得了国家相关安全机构的认证，其“小程序应用商店”已有小程序灰度发布。以及实时管控能力，提供了实时风险控制的手段，这在金融行业尤其受欢迎。

本文首发于Twt社区。 Twt社区特地组织了金融行业专家、泛泰极客解决方案中心专家以及金融行业同行，共同探讨银行如何通过小程序加强App建设，以及针对“流量”和“流量”两大问题有哪些具体的解决方案。安全”和解决方案可以更有效地促进银行金融服务的发展。本文主要涵盖三个方面：银行如何构建小程序生态、银行如何保障小程序安全、银行如何形成管理小程序平台的共识。

一

银行如何打造小程序生态

01

小程序生态下，能否与银行公众号、APP生态对接，实现一站式客户服务？具体实施方式和可选范围有哪些？

目前繁泰小程序已与微信WXML小程序语法同步。如果是已经运行在微信环境中的小程序，无需修改代码（或极少量的修改）就可以无缝引入到App中。运行至公众号平台。

02

从银行的角度来看，如何构建小程序生态系统？如何实现与微信、支付宝等小程序生态的差异化优势？

银行的优势在于其金融属性。银行小程序生态可以结合开放银行，通过小程序链接银行及其生态合作伙伴，与微信、支付宝等小程序生态形成差异化优势。

03

商业银行部署小程序时，是直接引入已有的成熟产品，还是选择适合自己的框架，然后逐步添加业务场景？

通过小程序提供本地服务，然后引导本地第三方服务商入驻，或许是适合城商行等银行的实施方案。与各大互联网公司相比，城市商业银行最大的优势在于对当地服务、生活、民生行业（如衣食住行、基础服务支付等）的深入了解和洞察，在此基础上，他们提供基于小程序的推广和营销。规划流量可能更符合本地定位场景下的服务需求。泛泰极客小程序技术解决方案拥有丰富的银行生态建设经验。

04

城商行拓展小程序生态时，在相关监管标准下应如何设计和界定？账户级别和交易账户级别可以在小程序中实现吗？

问题一：小程序矩阵如何设计？

1、业务场景优化：线下网点与线上业务融合，线上预约与线下业务处理相结合，为用户提供预约排队、附近网点搜索、合作商户查询等服务。例如，用户可以在微信小程序中预约最近的网点提现服务，扫描网点二维码即可查找最近商户的折扣信息进行消费。

2、流量整合优化：为了吸引非原生用户（未开卡的客户、未使用网银的客户），银行可以利用日常支付、红包积分等微信小程序来引流流量移动银行应用程序。例如：小明使用农村信用社支付小程序或市民云小程序缴纳水费、电费，收到了五元红包。想要领取红包，他需要下载手机银行APP并注册后才能领取红包。 。

3、内部敏捷探索：小微类产品的产品创新可以提高用户粘性，培养团队。数字化转型和技术迭代优化不可能一蹴而就。从本地出发，容错率高的模块不仅可以培养团队，还可以通过测试。小微创新促进用户体验提升。

问题2：如何实现账户层面和交易层面的系统对接？

小程序可以连接账户、交易、订单等系统，但各家银行的系统设计和实现逻辑不同，需要根据具体案例进行分析。

05

如果想要构建一个生态系统，开发者可能不愿意将小程序的源码上传到平台进行编译。还有其他方法吗？

首先，小程序语法与微信小程序语法基本一致，这意味着微信生态中运行的小程序可以直接在集成了SDK的App中运行，无需任何修改（或少量修改） ;另外，小程序平台支持上传未编译的代码在云端进行编译，或者上传已编译的代码。如果开发者因为某种原因暂时不方便上传未编译的代码，那么上传编译的代码是没有问题的。

06

随着互联网普及率的不断提高，三四线城市甚至农村地区已经被互联网渗透。在这个时常谈生态建设的时代，农商行、村镇银行等小微银行如何开展自身的生态建设？如何通过微信小程序吸引流量？不同产业联盟？

通过小程序提供本地服务，然后引导本地第三方服务商入驻，或许是适合村镇银行等小微银行的实施方案。与各大互联网公司相比，村镇银行最大的优势在于对当地服务、生活、民生行业（如衣食住行、基础服务支付等）的深入了解和洞察，在此基础上，他们提供基于小程序的推广和营销。规划流量可能更符合本地定位场景下的服务需求。

二

银行如何保障小程序安全

在自己提供加密编译的情况下，关键业务逻辑使用其他js加密方式进行预加密，并再次加密。在关键业务逻辑中，业务数据与服务器之间的数据传输采用加密方式进行，未来将提供统一的加密解决方案。

01

小程序安全沙盒SDK解决方案如何在第三方服务商的利益与监管机构合规要求之间的冲突中找到平衡？

作为金融机构，所有业务推广实际上都是有限空间内的推广，每一项新业务都需要解决合规问题。小程序安全沙盒SDK解决方案就是在这样的背景下诞生的，目标是解决历史技术方案的合规问题。也就是说，小程序安全沙盒SDK解决方案是为了服务合规需求而生的，所以这里的“冲突”相对来说并不存在。

历史上的一些技术方案中，大部分都是基于H5来推广的。但H5本身无法管理自己的存储，数据传输行为无法加密保护，存在天然的技术缺陷。在小程序安全沙箱解决方案中，我们从零开始设计了整个SDK架构，重点是安全存储、数据独立性、加密保护。因此，简单来说，对于泛泰Geek SDK来说，合规和业务发展不再是冲突点，它本身就是解决这一冲突的方法。

02

如今，小程序在银行的应用越来越广泛。如何加强小程序的安全性？

与知名的微信小程序、支付宝小程序等小程序平台不同，小程序平台支持100%私有化部署，并通过三级安全认证和中国信息通信研究院SDK安全专项认证。在期权私有化部署的情况下，客户信息、交易信息等相关数据100%只能由银行控制。

关于小程序本身的安全加固，作为小程序开发者，还有以下其他安全方法：

在自己提供加密编译的情况下，关键业务逻辑使用其他js加密方式进行预加密，并再次加密。在关键业务逻辑中，业务数据与服务器之间的数据传输是通过加密方式进行的。未来，泛太极客平台还将提供统一的加密解决方案。

03

关于安全考虑和功能实现程度：对于数据源，需要客户提供呈现方式，如何做到最低限度原则和信息安全；对于需要个性化功能变更的小程序，分支机构管理员或前端人员是否可以简单地对小程序的功能进行更改？只需设置人员即可完成，操作简单；小程序需要连接的数据信息来源是否可靠、安全；有没有界面显示水印等安全手段？

对于最少客户信息原则，建议参考《网络安全法》、《民法通则》、《消费者权益保护法》、《常见类型移动互联网应用必要个人信息范围的规定》以及“保护个人隐私”的《个人信息保护法》。 《信息安全》和《应用程序需要负责为其内的小程序申请权限》，明确说明了39项常见必要个人信息的范围。

目前还提供灰度发布功能。业务人员无需研发人员参与即可完成向不同用户推送不同版本小程序的特殊功能（我们也与第三方低代码平台合作，业务人员可以在不知情的情况下自行输出小程序代码）代码）。

一直以来为金融证券行业客户提供较为完善的服务，也与领先的银行、证券公司、基金公司达成合作。近期，繁泰极客还将在小程序中推出水印功能。

04

关于小程序安全：银行小程序交易如何保证客户信息安全和系统安全？如何界定小程序可能涉及的隐私风险？

从产品设计之初，我们就充分考虑了小程序运行环境的安全性。从整体能力来看，SDK安全沙箱SDK为业务代码提供了封闭、安全的运行环境，有效防范外部代码干扰、数据泄露等风险。第三方App只能通过SDK主动暴露的接口启动运行时； SDK应能够完全控制业务应用所需的运行环境和所需的外部通信，并能通过多种机制确保网络通信不被拦截和干扰； SDK 安全沙箱内部还采用了独立的浏览器内核，运行环境与系统浏览器完全隔离（，）。

另外，SDK安全沙箱启动后，只会从服务器获取小程序，独立完成其页面内容的渲染和呈现。

05

第三方访问通常需要各种个人数据进行身份验证或数据同步。如何同步数据？如何保证数据同步过程中用户个人隐私数据不泄露？

需要遵守《网络安全法》、《民法典》、《消费者权益保护法》、《常见类型移动互联网应用必要个人信息范围的规定》等监管部门的要求和相关规定； 《个人信息保护法》对“保护个人隐私和信息安全”、“应用程序需要负责申请小程序权限”等都做了明确的说明，对39项常见的必要个人信息范围也做出了明确的说明，因此申请的权限小程序不应该是“全部满足”，而是“提供当前服务所需的必要信息”，这也需要以法规的形式符合第三​​方平台的“申请目的”。信息使用、数据保存期限有限、不得主动共享或向其他第三方转让用户信息等”。

实际向第三方同步数据时，还可以对相关数据进行加密或者设置存储有效期，比如采用差分隐私保护，或者将手机号码改为虚拟号码，只传递模糊地址信息，二次相关重要的用户信息。处理后传递至第三方平台。对于隐私保护，既要提高和注重实施的思想意识，又要注重技术方法。

不遗余力保障用户数据安全。 Geek始终以软件行业最高的安全标准保护用户数据。使用的安全模型和策略均基于国际标准和行业最佳实践。目前已通过质量体系认证、安全防护（三级）认证、中国信息通信研究院SDK安全检测等相关管理认证。

06

为了保证系统的安全，银行系统开发环境一般搭建在与互联网脱节的相对封闭、隔离的环境中。但小程序平台需要考虑使用边界。它们通常建立在互联网上。银行小程序平台和小程序的安全防控已成为必须考虑的问题。如何防止用户开发的小程序成为银行内网的跳板？

如果直接使用互联网行业现有的小程序平台，确实很难保证小程序在可控、受限的场景下运行。这也是我们小程序平台在保证安全能力方面的价值所在。提供“云端管理后台”和“设备端小程序安全沙箱”，保障银行场景的安全需求。其中，“云侧管理后台”是指为银行客户提供一套只属于自己的小程序管理后台（私有化），可以完成小程序信息和代码的前期制作。查看审核，防止第三方开发者将风险未知的小程序直接上架小程序平台； “客户端小程序安全沙箱”是提供的小程序运行时SDK，它不仅作为小程序代码的解释，还作为小程序独立运行的沙箱。小程序的运行不能干扰集成该小程序的宿主客户端（App）并产生任何影响。

另外，“云端管理后台”还包括“域名设置”。小程序中任何需要访问外部域名资源的请求都需要提前在这里报备，否则无法发出相应的请求。并于2021年3月获得三级安全认证，并于2021年10月获得中国信息通信研究院颁发的SDK安全专项评估。此外，还与第三方安全机构合作完成代码审核，模拟攻防等服务，确保提供的产品和服务稳定、安全、可靠。

07

小程序安全沙箱解决方案相比传统H5解决方案有哪些优势？

传统H5解决方案存在代码风险，包括：

三

银行如何就如何管理小程序平台达成共识

1、小程序是一个可以碎片化业务功能的工具，帮助App快速上线业务功能，实现敏捷迭代。帮助银行搭建开放平台，利用小程序支持合作伙伴的App功能，聚合不同业务。场景的流量入口实现了一个App可以解决客户所有需求的可能性。

2、小程序平台需支持私有化部署，并通过 3 A级认证和中国信息通信研究院SDK安全专项认证。在期权私有化部署的情况下，客户信息、交易信息等相关数据只能由银行控制。

3、小程序同步对齐微信WXML小程序语法。如果是已经在微信环境中运行的小程序，无需修改代码（或极少量的修改）就可以无缝运行。

4、小程序对关键业务逻辑进行预加密，并使用其他js加密方式再次加密。在关键业务逻辑中，业务数据与服务器之间的数据传输是通过加密方式进行的。

【编辑招募】

简历投递邮箱：

咨询电话：

长期有效