中国人民银行关于进一步加强银行卡风险管理的通知
银发[2016]170号
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联股份有限公司,中国支付清算协会:
随着引动通信技术和互联网金融的快速发展,银行卡使用安全面临新的挑战。为进一步加强银行卡信息的安全管理,提升支付风险防控能力,现将有关事项通知如下:
一、强化银行卡信息的安全管理
(一)强化支付敏感信息内控管理。各商业银行、支付机构(从事银行卡收单业务、网络支付业务的非银行支付机构,下同)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号),健全支付敏感信息安全内控管理制度,并将有关情况于2016年9月1日前报告人民银行。一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密
码、网络支付交易密码等),确有必要留存的应取得客户本人及账户管理机构的授权。二是明确相关岗位和人员的管理责任,严格分离不相容岗位并控制信息操作权限,制定信息操作流程和规范,强化内部监督、责任追究机制,严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两次支付敏感信息安全的内部审计,并形成报告存档备查。发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的,应立即采取有效措施防止风险扩大,并向人民银行报告;涉嫌违法犯罪的,应及时报告公安机关。
(二)加强支付敏感信息的安全防护。各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输、存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采取具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
(三)全面应用支付标记化技术,自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
(四)强化交易密码保护机制。各商业银行、支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育,严格限制使用初始交易密码并提示客户及时修改,建立建议密码复杂度系统校验机制,避免交易密码过于简单(如“111111”、“123456”等)或与客户个人信息(如出生日期、证件号码、手机号码等)相似度过高。
(五)严格规范收单外包服务。各商业银行、支付机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015]199号),承担收单环节支付敏感信息安全管理责任。一是不得将核心业务系统运营、受理终端秘钥管理、特约商户资质审核等工作交由外包服务机构办理。二是指定专人管理终端秘钥和相关参数,确保不同的受理终端使用不同的终端主秘钥并定期更换。三是通过协议禁止实体和网络特约商户、外包服务机构留存支付敏感信息。四是每年对外包服务机构、实体和网络特约商户至少开支一次有一定独立性的安全评估,并形成报告存档备查,对于未遵守相关协议的,应立即终端合作。
(六)加强支付创新规范管理。对于重要支付技术应用、业务创新,各商业银行、支付机构应至少于项目上线前30日向人民银行备案,提交项目实施方案、外部安全评估报告等书面材料。业务开展过程中,应做好风险的动态监测、评估和防控工作。
二、加大银行卡互联网交易风险防控力度
(一)强化客户端软件安全管理。一是各商业银行、支付机构应从木马病毒防范、信息加密保护、运行环境可信等方面提升客户端软件安全防控嗯呢呢。客户端软件应能够监测并向后台系统反馈手机支付环境安全状况,作为限制、拒绝交易等风控策略的依据。二是对客户端软件及设置可信标识或快捷入口,并通过多种渠道告知客户正确的识别及访问方法。三是每年必须至少开展一次外部安全评估,形成报告存档备查,确保技术标准符合性。
(二)加强业务开通身份认证安全管理。中国人民银行安全控件下载安装自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多种因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应采取以下组合方式之一:一是采用复合《金融电子认证规范》(JR/T 0118)的数字证书,并组合交易密码等至少一种认证因素。二是采用复合《动态口令密码应用技术规范》(GM/T 0021)的动态令牌设备,并组合交易密码等至少一种认证因素。三是至少组合两种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等),并采用语音、短信、数据(如手机银行、即时通讯、邮件)等至少两种不同通信渠道。
(三)提升支付交易安全强度。一是各商业银行应依照《中国人民银行关于改进个人银行账户服务 加强账户管理的通知》(银发[2015]392号),建立健全个人银行结算账户分类管理机制,引导客户使用Ⅱ类、Ⅲ类银行账户办理小额网络支付业务,有效防控各类银行账户特别是Ⅰ类账户的信息泄露风险。二是在支付机构等合作方向商业银行发送支付指令、扣划客户银行卡资金时,各商业银行、支付机构应严格落实《非银行支付机构网络支付业务管理办法》(中国人民银行公告[2015]第43号公布)第十条规定,采取交易验证强度与交易额度相匹配的技术措施,提高交易的安全性。
(四)加强互联网交易风险监控。各商业银行、支付机构应利用大数据分析、用户行为建模等手段,建立交易风险监控模型和系统,及时预警异常交易,并采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。
(五)加大支付风险联动防控力度。各商业银行、支付机构应认真落实《中国人民银行 工业和信息化部 公安部 工商总局关于建立电信网络新型违法犯罪涉案账户紧急止付和快速冻结机制的通知》(银发[2016]86号),按照要求接入电信网络新型违法犯罪交易风险事件管理平台,加强涉案账户的止付、冻结管理。
三、切实防范磁条卡伪卡欺诈交易风险
(一)使用金融IC卡降低磁条卡交易风险。一是自2016年9月1日起,各商业银行新发行的基于人民币结算账户的银行卡,应为符合《中国金融集成电路(IC)卡规范》(JR/T 0025)的金融IC卡,并采用通过国家认证认可管理部门认可机构安全评估的芯片。二是各商业银行应从交易渠道、刷卡频次、单笔交易金额、日累计交易金额、交易地区等方面,进一步加强磁条交易风险控制。对于可以交易应通过短信、电话、客户端软件等进行交易确认和风险提示。自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易。三是各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换为金融IC卡的进度。
(二)加强受理终端安全管理。各商业银行、支付机构应从受理终端产品选型、验收、现场检查等环节加强安全管理,确保受理终端产品选型、验收、现场检查等环节加强安全管理,确保受理终端的技术标准符合性。银行卡清算机构应会同成员机构采取入网终端签名、唯一性标识等技术措施,加强受理终端入网管理,严禁不符合标准、非法改装的受理终端入网使用。对于存量终端应建立定期检查机制,持续开展终端抽检工作,确保布放的终端与合格样品的一致性,严控改装终端的使用。
(三)加大特约商户实名制管理力度。银行卡清算机构应会同成员机构建立健全实体和网络特约商户信息电子化管理体系,严格落实特约商户实名制相关规定,完整、准确记录特约商户及其法定代表人或主要负责人的身份信息,并对同一特约商户在不同商业银行和支付机构注册的信息进行关联管理。充分利用影像采集、区域定位等技术,采取多渠道交叉验证等有限手段,健全特约商户资质审核和信息更新机制,持续加强特约商户信息真实性管理。
(四)嘉庆违规特约商户黑名单管理。一是各商业银行、支付机构应建立健全违规实体和网络特约商户黑名单管理制度,明确黑名单纳入与移出条件、惩罚措施等。嘉庆对特约商户的监测、巡检,对于存在支付敏感信息泄露、非法改装终端、参与伪卡欺诈等违规行为的,应纳入黑名单管理,视严重程度从严采取延迟结算、暂停交易、终止合作等惩戒措施,并及时通知中国支付清算协会、银行卡清算机构。二是中国支付清算协会、银行卡清算机构应会同商业银行、支付机构建立健全黑名单信息共享和查询机制,加大联合惩戒力度,禁止拓展已纳入黑名单的特约商户。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。