企業財務報稅軟件開發

各省、自治區、直轄市和計劃單列市稅務局、地方稅務局，稅務總局駐各地特派員辦事處，局內各單位：

為貫徹落實國務院深化“放管服”改革的決策部署，優化稅收營商環境，進一步方便納稅人辦理稅收業務，稅務總局編制了《財務報表數據轉換參考標準v1.0》（以下簡稱《參考標準》），現予以發布，并就有關問題通知如下：

一、《參考標準》包括公用參考數據標準、按會計制度分列的34個參考數據標準以及安全要求（詳見附件）。

二、各省稅務機關應當遵照《參考標準》，升級完善網上辦稅系統，制定網上辦稅系統與企業財務軟件對接的接口規范并開放接口，實現網上辦稅系統與企業財務軟件的對接，支持自動計算應報稅稅額功能和更正申報表功能，支持企業財務報表數據格式與納稅申報財務報表數據格式之間的自動轉換（經參數配置），實現申報表、財務報表聯網報送，縮短企業的納稅申報時間。

三、各省稅務機關開放接口應當符合信息安全保護要求，確保納稅人報送數據的安全。

四、各省稅務機關開放接口后，應就企業使用相關接口的辦理條件、辦理時限、辦理方式、報送資料及流程等編制使用指南并進行公開和宣傳，便于納稅人掌握，順利實現財務報表自動轉換和聯網報送。

五、北京、上海稅務機關應當于2018年3月底前完成接口開放、公開、宣傳等相關工作，其他省稅務機關最遲應于2018年4月底前完成上述工作。

稅務總局

2018年3月16日

金稅三期工程財務報表報送與信息采集公用參考數據標準（V1.0.00，電子稿）

1.財務報表報送與信息采集公用表

1.1表單樣式

無

1.2數據標準

數據轉換工具客戶端安全要求（電子稿）

應按照《網上辦稅系統信息安全基本技術規范》（稅總函〔2014〕13號）和《稅務移動應用安全開發和評估規范V1.0》（稅總辦發〔2016〕60號）的有關規定對客戶端的運行環境安全、軟件自身安全、密碼保護、登錄控制以及信息保護進行安全檢測。

1.客戶端運行環境安全

【基本要求】

(1)針對客戶端自身運行安全的要求，在登錄頁面時應提醒終端用戶，告知用戶運行時需安裝個人防火墻、病毒防殺軟件及防釣魚控件等。

2.客戶端軟件自身安全

【基本要求】

(1)客戶端程序安裝壓縮包應包含客戶端軟件的安裝及身份鑒別數據導入的使用說明。

(2)客戶端程序的臨時文件（包括但不限于Cookies）應禁止存儲敏感信息，防止敏感信息泄露。

(3)客戶端程序應通過第三方中立測試機構（具有省級以上安全測評資質）的安全檢測，在提交第三方測試文檔時，應同時對其資質進行備案。

(4)客戶端程序自身應具備完整性檢測，當程序完整性受到破壞后，客戶端將無法正常使用。

(5)客戶端程序在開發階段應啟用安全編譯選項，安全編譯選項應包括但不限于NX，Shared，ASLR，GS，SSEH。

(6)客戶端程序在開發過程中應限定對Banned API 的使用。

(7)客戶端程序在某些特殊情況下需顯示敏感信息時，應采用隱藏部分信息內容等手段，防止諸如屏幕錄像技術等竊取信息的非法程序。

(8)客戶端程序應具有抗逆向分析、抗反匯編等安全性防護措施，防范攻擊者調試、分析和篡改客戶端程序。

(9)移動客戶端的安全規范，應參照《稅務移動應用安全開發和評估規范V1.0》（稅總辦發〔2016〕60號）的有關規定。

3.客戶端密碼保護

【基本要求】

(1)如果有初始密碼，應強制客戶在登錄時修改初始密碼。

(2)禁止明文顯示密碼，應使用相同位數的特殊字符（例如，*和#）代替。

(3)應確保密碼不能明文存儲在數據庫中。

(4)密碼長度應不少于8位，且為數字、字母和特殊字符中至少兩種形式的組合。

(5)系統應有自動檢驗弱口令的能力，當密碼輸入不符合復雜度要求時，不允許注冊成功或修改密碼。

4.客戶端登錄控制

【基本要求】

(1)應設置在一定時間內連續失敗登錄次數，并在接近限定次數時，提示客戶。超過限定次數后應立即鎖定電子稅務局該客戶的賬號至少30分鐘，此期間禁止該賬號的登錄和使用。

(2)退出登錄或關閉客戶端程序后，應立即終止會話。

(3)退出登錄時應提示客戶取下專用輔助安全設備，如USB KEY。

(4)設置會話超時機制，當用戶登錄某時間段內無任何操作時，應終止會話。

5.用戶敏感信息保護

【基本要求】

(1)系統提示不得泄露敏感信息，例如，登錄失敗時提示錯誤原因。

(2)客戶端代碼不得泄露敏感信息，例如，代碼注釋不得包含敏感信息、用戶私鑰或加密密鑰不得嵌入客戶端程序中。

(3)敏感信息在客戶端存儲或傳輸前必須經過加密處理，禁止明文存儲或傳輸。