各家模式的创新，银行和合作方的业务模式逐步发生变革

近年来，随着行业内外部环境的不断变化，银行业务模式也在逐渐发生变化。目前，银行已发展到Bank4.0阶段，成功进入数字银行时代。在科技创新方面，各银行加大了对金融科技资源的投入，科技与金融的融合更加紧密。 ，形成新的商业模式——金融科技。

业务模式的创新不仅可以提升银行自身的金融服务能力，还可以将这种能力对外输出，以金融服务为能力基础，赋能更多业务场景。此时的银行不仅仅是提供服务，更多的是扮演“连接”的角色，这与“开放平台”的能力建设是分不开的。

随着移动互联网业务场景的逐渐丰富，“小程序”这个能够碎片化业务功能、帮助应用快速启动业务功能、实现敏捷迭代的工具，逐渐进入银行的视线。银行可以通过小程序支持合作伙伴的功能，聚合不同业务场景的流量入口，实现一个APP解决客户所有需求的可能，真正完成“连接”的使命。但是一个小程序平台能达到目的吗？小伙伴为什么要把流量入口放在银行APP里？如何将已经上架流量平台的小程序迁移到自己的App中？银行能否通过小程序平台为用户提供差异化​​金融服务？个人信息保护法颁布后，银行及合作伙伴对个人数据安全有何影响或障碍？这些问题可能是银行面临和解决的。

凡泰极客致力于以小程序的形式，以轻应用技术赋能企业拥有自己的数字基础设施，构建自己的数字生态。泛泰极客FinClip技术，其小程序运行沙盒具有从手机到PC到车载系统的跨设备支持，并通过了国家安全相关机构的认证，其“小程序应用商店”拥有小程序灰度。发布和实时管控能力提供了一种实时风控手段，在金融行业尤其流行。

本文首发于 Twt 社区。 Twt社区特地组织了金融行业专家、方太极客解决方案中心专家及金融行业同行，共同探讨银行如何通过小程序加强App建设，对于“流量”和“流量”两大问题有哪些具体的解决方案安全”和解决方案，可以更有效地促进银行和金融服务的发展。本文主要包括三个方面：银行如何构建小程序生态系统、银行如何保障小程序安全、银行如何构建和管理小程序平台的共识。

一个

银行如何构建小程序生态

01

小程序生态下，能否与银行公众号、App生态对接，实现一站式客服？具体实现方式和可选范围是什么？

目前番台小程序与微信WXML小程序语法同步。如果是已经在微信环境中运行的小程序，可以在App中引入FinClip SDK，无需修改代码（或极少修改）。之后无缝运行到公众号平台。

02

站在银行的角度，如何构建小程序生态？如何实现与微信、支付宝等小程序生态的差异化优势？

银行的优势在于其财务属性。银行小程序生态可以与开放银行以及通过小程序链接银行、银行的生态伙伴相结合，与微信、支付宝等小程序生态形成差异化优势。

03

商业银行在部署小程序时，是直接引入已有的成熟产品，还是选择适合自己的框架构建并逐步叠加业务场景？

通过小程序提供本地服务，然后引导本地第三方服务商入驻，可能是适合城商行等银行的解决方案。与大型互联网公司相比，城商行最大的优势在于对本地服务、生活、民生行业（如衣食住行、基础服务支付等）的深入了解和洞察。在此基础上，他们提供基于小程序的推广和营销。规划流量引流可能更符合本地定位场景的服务需求。泛泰极客FinClip小程序技术方案，银行生态建设经验丰富。

04

城商行拓展小程序生态。在相关监管规范下，他们应该如何设计和划定其范围？是否可以在账户层面和交易账户层面的小程序中实现？

问题一：小程序矩阵如何设计？

1、业务场景优化：线下网点与线上业务融合，线上预约与线下业务办理相结合，为用户提供预约排队、搜索附近网点、合作商户查询等服务例如，用户可以在微信小程序中预约就近的网点取现服务，扫描网点的二维码即可找到就近商户的优惠信息进行消费。

2、流量整合优化：为了吸引非本地用户（未开卡的客户和不使用网银的客户），银行可以使用生活支付等微信小程序，红包积分，将流量引流至手机银行应用。例如：小明使用农信社的支付小程序或市民云小程序支付水电费，获得5元红包。要兑换红包，他需要下载手机银行APP并注册，然后才能兑换红包。 .

3、内部敏捷探索：小微产品创新可以提高用户粘性，培养团队。数字化转型和技术迭代优化不可能一蹴而就。从本地入手，从容错性高的模块开始，既可以培养团队，又可以通过小微创新促进用户体验提升。

问题2：如何在账户和交易层面实现系统连接？

小程序可以实现账户、交易、订单等系统的对接，但是各个银行的系统设计和实现逻辑不同，需要根据具体案例来分析。

05

如果你想建立一个生态系统，也许开发者不愿意将小程序的源代码上传到平台进行编译。有没有其他办法？

首先，FinClip小程序的语法与微信小程序的语法基本一致，也就是说运行在微信生态系统中的小程序不需要改动（或少量改动），并且可以直接在集成了 FinClip SDK 的 App 中使用。此外，FinClip小程序平台支持上传未编译的代码在云端进行编译，或者上传编译好的代码。如果开发者由于某种原因暂时不方便上传未编译的代码，请上传编译后的代码。也没问题。

06

随着互联网的深入，三四线城市甚至农村地区已经被互联网渗透。在这个生态建设的时代，农商行、村镇银行等小微银行如何开展自己的生态建设？如何通过微信小程序吸引流量？跨界联盟？

通过小程序提供本地服务，然后引导本地第三方服务商入驻，可能是适合村镇银行等小微银行的解决方案。与大型互联网公司相比，村镇银行最大的优势在于对本地服务、生活、民生行业（如衣食住行、基本服务支付等）的深入了解和洞察，并在此基础上基于小程序进行推广和营销，规划流量引流可能更符合本地定位场景的服务需求。

第二

银行如何保证小程序的安全

在FinClip本身提供加密编译的情况下，关键业务逻辑使用其他js加密方式进行预加密。在关键业务逻辑中，业务数据与服务器之间的数据传输以加密方式进行。未来，FinClip 还将提供统一的加密方案。

01

小程序安全沙盒SDK解决方案如何在第三方服务商的利益和监管机构的合规要求之间找到平衡？

作为金融机构，所有的业务推广其实都是在有限的空间里，每一项新业务都需要解决合规问题。正是在这样的背景下，小程序安全沙盒SDK解决方案应运而生，旨在解决历史技术方案的合规性问题。也就是说，小程序安全沙盒SDK方案是为合规需求而生的，所以这里的“冲突”相对不存在。

在一些历史技术方案中，大部分都是基于H5的，但H5本身无法管理自己的存储，数据传输无法加密保护，自然存在技术缺陷。在小程序安全沙盒解决方案中，我们从零开始设计了整个SDK架构，重点关注安全存储、数据独立和加密保护。因此，简单来说，对于 FinClip SDK 来说，合规和业务发展不再是冲突点，而是解决这个冲突本身。

02

现在小程序在银行中的应用越来越广泛，如何加强小程序的安全性？

不同于知名的微信小程序、支付宝小程序等小程序平台，FinClip小程序平台支持100%私有化部署，并通过了中国信息科学研究院的三级保障认证和SDK安全专项认证通信技术。在期权私有化的情况下，客户信息、交易信息等所有相关数据只能由银行控制。

对于小程序本身的安全加固，作为小程序开发者，在安全方面也有以下几种方法：

在FinClip本身提供加密编译的情况下，关键业务逻辑使用其他js加密方式进行预加密。在关键业务逻辑中，业务数据与服务器之间的数据传输以加密方式进行。未来，方太极客的FinClip平台也将提供统一的加密方案。

03

关于安全性和功能实现程度的考虑：对于数据源是需要客户提供的呈现方式，如何做到最小原则和信息安全；对于小程序来说，需要个性化的功能变更是否可以由分支机构简单管理，可以由员工或一线人员通过简单的操作来完成；是小程序需要连接的数据和信息的来源是可靠和安全的；界面显示可以有水印等安全措施吗？

关于客户信息最少化原则，建议参考《网络安全法》、《民法典》、《消费者权益保护法》、《普通手机类型必要个人信息范围规定》 《互联网应用程序》和《个人信息保护法》中的“保护个人隐私和信息安全”，“应用程序需要对小程序的应用权限负责”，其中明确说明了39种常见的必要个人信息的范围。

FinClip 目前还提供灰度发布功能，业务人员无需研发人员参与即可完成向不同用户推送不同版本小程序的特殊功能（我们也与第三方低码平台合作，业务人员可以在完全不知道代码的情况下自行输出小程序代码）。

FinClip一直为金融证券行业的客户提供较为完善的服务，也与各大银行、证券公司、基金公司达成合作。近期，方太极客还将在小程序中推出水印功能。

04

关于小程序安全：银行小程序交易如何保障客户信息安全和系统安全？如何界定小程序可能涉及的隐私风险问题？

在FinClip产品设计之初，我们就充分考虑了小程序运行环境的安全性。在整体能力方面，FinClip SDK安全沙箱SDK为业务代码提供了一个封闭、安全的运行环境，有效防范外部代码干扰、数据泄露等风险。第三方App只能通过SDK主动暴露的接口启动runtime； SDK应能完全控制业务应用所需的运行环境和所需的对外通信，并能通过各种机制保证网络通信不被截获和干扰； FinClip SDK安全沙箱也使用独立的浏览器内核，运行环境与系统浏览器（Android、Windows）完全隔离。

另外，FinClip SDK安全沙箱只有在启动后才会从服务端获取小程序，独立完成其页面内容的渲染和呈现。

05

第三方访问通常需要各种个人数据进行身份验证或数据同步。如何进行数据同步，如何保证数据同步过程中不泄露用户的个人隐私数据？

需要遵守《网络安全法》、《民法典》、《消费者权益保护法》、《普通类型必要个人信息范围规定》等监管部门的要求和相关规定《移动互联网应用程序》和《个人信息保护法》在《保护个人隐私和信息安全》中，“应用程序需要对小程序的应用许可负责”作出了明确的解释，也对范围做了明确的解释39条常见的必要个人信息，所以对于小程序申请的权限不应是“全部”，而是“提供当前服务所需的必要信息”如何向客户推广小程序，并且还需要在第三方平台的约束下规定形式“以申请使用信息为目的，数据存储期限为有限期限，不得主动将用户信息共享或转让给其他第三方”等等。

在实际向第三方同步数据时，还可以对相关数据进行加密或设置存储有效期，如使用差分隐私保护，或将手机号码改为虚拟号码，仅传输模糊地址信息。信息经过二次处理后传递给第三方平台。在隐私保护方面，思想意识和实施技术方法有待提高和重视。

FinClip 不遗余力地确保用户数据的安全。方泰极客始终以软件行业最高的安全标准保护用户数据，所采用的安全模型和策略均基于国际标准和行业最佳实践。目前已通过ISO9001质量体系认证、安全等安全（三级）认证、中国信息通信研究院SDK安全检测等相关管理认证。

06

为了保证系统的安全性，银行系统的开发环境一般都搭建在一个与互联网断开连接的相对封闭隔离的环境中，但是小程序平台需要考虑使用的边界，一般建立在互联网上，针对银行。如何防止用户开发的小程序成为进入银行内网的跳板？

如果直接使用互联网行业现有的小程序平台，确实很难保证小程序运行在可控、受限的场景中。这也是 FinClip 小程序平台保障安全能力的价值所在。 FinClip 提供“云端管理后台”和“端侧小程序安全沙箱”，保障银行场景的安全需求。 “管理后台”是指为银行客户提供一套小程序管理后台（私有化），可完成小程序信息和代码的预览和审核，避免给第三方开发者带来未知风险。小程序直接上架小程序平台； “侧边小程序安全沙箱”是提供的小程序运行时SDK，它不仅充当小程序代码解释器，还充当小程序独立运行的沙箱。其中小程序的运行不会干扰集成小程序的宿主客户端（App），不会产生任何影响。

此外，“域名设置”也包含在“云端管理后台”中。小程序中任何访问外部域名资源的请求都需要在这里提前上报如何向客户推广小程序，否则无法进行相应的请求。 FinClip 还于 2021 年 3 月获得 Class 3 安全认证，并于 2021 年 10 月获得中国信息通信研究院颁发的 SDK 安全专项评估。此外，还与第三方安全机构合作完成代码审计，模拟攻防等业务，确保FinClip提供的产品和服务稳定、安全、可靠。

07

小程序安全沙盒方案相比传统H5方案有哪些优势？

传统的H5方案存在代码风险，包括：

三个

如何就如何管理银行小程序平台达成共识

1、小程序是一个可以碎片化业务功能，帮助应用快速启动业务功能，实现敏捷迭代的工具。有利于银行搭建开放平台，通过小程序支持合作伙伴的功能。入驻App，聚合不同业务场景的流量入口，实现一个App解决客户所有需求的可能。

2、小程序平台需要支持私有化部署，已通过中国信息通信研究院三级保障认证和SDK安全专项认证。在期权私有化部署的情况下，客户信息、交易信息等所有相关数据只能由银行控制。

3、小程序同步对齐微信WXML小程序语法。如果是已经在微信环境中运行的小程序，可以实现无需修改（或极少修改）的无缝代码。运行。

4、小程序使用其他js加密方式对关键业务逻辑进行预加密。在关键业务逻辑中，业务数据与服务器之间的数据传输是通过加密的方式进行的。

【编辑招聘】

简历投递电子邮件：

电话号码：

长期有效