銀發(fā)〔2016〕170號《中國人民銀行關(guān)于進(jìn)一步加強銀行卡風(fēng)險管理的通知》

中國人民銀行關(guān)于進(jìn)一步加強銀行卡風(fēng)險管理的通知

銀發(fā)〔2016〕170號
 

中國人民銀行上?？偛?，各分行、營(yíng)業(yè)管理部、各省會(huì )（首府）城市中心支行，各副省級城市中心支行；各國有商業(yè)銀行、股份制商業(yè)銀行，中國郵政儲蓄銀行；中國銀聯(lián)股份有限公司，中國支付清算協(xié)會(huì )：

隨著(zhù)移動(dòng)通信技術(shù)和互聯(lián)網(wǎng)金融的快速發(fā)展，銀行卡使用安全面臨新的挑戰。為進(jìn)一步加強銀行卡信息的安全管理，提升支付風(fēng)險防控能力，現將有關(guān)事項通知如下：

一、強化銀行卡信息的安全管理

（一）強化支付敏感信息內控管理。各商業(yè)銀行、支付機構（從事銀行卡收單業(yè)務(wù)、網(wǎng)絡(luò )支付業(yè)務(wù)的非銀行支付機構，下同）、銀行卡清算機構應嚴格落實(shí)《中國人民銀行關(guān)于銀行業(yè)金融機構做好個(gè)人金融信息保護工作的通知》(銀發(fā)〔2011〕17號），健全支付敏感信息安全內控管理制度，并將有關(guān)情況于2016年9月1日前報告人民銀行。一是嚴禁留存非本機構的支付敏感信息（包括銀行卡磁道或芯片信息、卡片驗證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò )支付交易密碼等），確有必要留存的應取得客戶(hù)本人及賬戶(hù)管理機構的授權。二是明確相關(guān)崗位和人員的管理責任，嚴格分離不相容崗位并控制信息操作權限，制定信息操作流程和規范，強化內部監督、責任追究機制，嚴禁從業(yè)人員非法存儲、竊取、泄露、買(mǎi)賣(mài)支付敏感信息。三是每年應至少開(kāi)展兩次支付敏感信息安全的內部審計，并形成報告存檔備查。發(fā)現因系統漏洞造成支付敏感信息泄露或內部人員違規行為的，應立即采取有效措施防止風(fēng)險擴大，并向人民銀行報告；涉嫌違法犯罪的，應及時(shí)報告公安機關(guān)。

（二）加強支付敏感信息的安全防護。各商業(yè)銀行、支付機構應在客戶(hù)端軟件與服務(wù)器、服務(wù)器與服務(wù)器之間進(jìn)行通道加密和雙向認證，對重要信息關(guān)鍵字段進(jìn)行散列或加密存儲，保障信息傳輸、存儲、使用安全。開(kāi)展網(wǎng)絡(luò )支付業(yè)務(wù)時(shí)，不得委托或授權無(wú)支付業(yè)務(wù)資質(zhì)的合作機構采集支付敏感信息，應采用具有信息輸入安全防護、即時(shí)數據加密功能的安全控件，采取有效措施防止合作機構獲取、留存支付敏感信息。

（三）全面應用支付標記化技術(shù)。自2016年12月1日起，各商業(yè)銀行、支付機構應使用支付標記化技術(shù)( Tokenization)，對銀行卡卡號、卡片驗證碼、支付機構支付賬戶(hù)等信息進(jìn)行脫敏處理，并通過(guò)設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息泄露和欺詐交易風(fēng)險。

（四）強化交易密碼保護機制。各商業(yè)銀行、支付機構應加強銀行卡、網(wǎng)絡(luò )支付等交易密碼的保護管理和客戶(hù)安全教育，嚴格限制使用初始交易密碼并提示客戶(hù)及時(shí)修改，建立交易密碼復雜度系統校驗機制，避免交易密碼過(guò)于簡(jiǎn)單（如“111111”、“123456”等）或與客戶(hù)個(gè)人信息（如出生日期、證件號碼、手機號碼等）相似度過(guò)高。

（五）嚴格規范收單外包服務(wù)。各商業(yè)銀行、支付機構應嚴格落實(shí)《銀行卡收單業(yè)務(wù)管理辦法》(中國人民銀行公告〔2013〕第9號公布）、《中國人民銀行關(guān)于加強銀行卡收單業(yè)務(wù)外包管理的通知》(銀發(fā)〔2015〕199號），承擔收單環(huán)節支付敏感信息安全管理責任。一是不得將核心業(yè)務(wù)系統運營(yíng)、受理終端密鑰管理、特約商戶(hù)資質(zhì)審核等工作交由外包服務(wù)機構辦理。二是指定專(zhuān)人管理終端密鑰和相關(guān)參數，確保不同的受理終端使用不同的終端主密鑰并定期更換。三是通過(guò)協(xié)議禁止實(shí)體和網(wǎng)絡(luò )特約商戶(hù)、外包服務(wù)機構留存支付敏感信息。四是每年對外包服務(wù)機構、實(shí)體和網(wǎng)絡(luò )特約商戶(hù)至少開(kāi)展一次有一定獨立性的安全評估，并形成報告存檔備查，對于未遵守相關(guān)協(xié)議的，應立即中斷合作。

（六）加強支付創(chuàng )新規范管理。對于重要支付技術(shù)應用、業(yè)務(wù)創(chuàng )新，各商業(yè)銀行、支付機構應至少于項目上線(xiàn)前30日向人民銀行備案，提交項目實(shí)施方案、外部安全評估報告等書(shū)面材料。業(yè)務(wù)開(kāi)展過(guò)程中，應做好風(fēng)險的動(dòng)態(tài)監測、評估和防控工作。

二、加大銀行卡互聯(lián)網(wǎng)交易風(fēng)險防控力度

（一）強化客戶(hù)端軟件安全管理。一是各商業(yè)銀行、支付機構應從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面提升客戶(hù)端軟件安全防控能力?？蛻?hù)端軟件應能夠監測并向后臺系統反饋手機支付環(huán)境安全狀況，作為限制、拒絕交易等風(fēng)控策略的依據。二是對客戶(hù)端軟件及官方網(wǎng)站設置可信標識或快捷入口，并通過(guò)多種渠道告知客戶(hù)正確的識別及訪(fǎng)問(wèn)方法。三是每年必須至少開(kāi)展一次外部安全評估，形成報告存檔備查，確保技術(shù)標準符合性。

（二）加強業(yè)務(wù)開(kāi)通身份認證安全管理。自2016年11月1日起，各商業(yè)銀行基于銀行卡與支付機構、商業(yè)機構建立關(guān)聯(lián)業(yè)務(wù)時(shí)，應嚴格采用多因素身份認證方式，直接鑒別客戶(hù)身份，并取得客戶(hù)授權。身份鑒別應采取以下組合方式之一：一是采用符合《金融電子認證規范》(JR/T 0118)的數字證書(shū)，并組合交易密碼等至少一種認證因素。二是采用符合《動(dòng)態(tài)口令密碼應用技術(shù)規范>(GM/T 0021)的動(dòng)態(tài)令牌設備，并組合交易密碼等至少一種認證因素。三是至少組合兩種動(dòng)態(tài)認證因素（如動(dòng)態(tài)驗證碼、基于客戶(hù)行為的動(dòng)態(tài)挑戰應答等），并采用語(yǔ)音、短信、數據（如手機銀行、即時(shí)通訊、郵件）等至少兩種不同通信渠道。

（三）提升支付交易安全強度。一是各商業(yè)銀行應依照《中國人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶(hù)服務(wù)加強賬戶(hù)管理的通知》（銀發(fā)〔2015〕392號），建立健全個(gè)人銀行結算賬戶(hù)分類(lèi)管理機制，引導客戶(hù)使用II類(lèi)、III類(lèi)銀行賬戶(hù)辦理小額網(wǎng)絡(luò )支付業(yè)務(wù)，有效防控各類(lèi)銀行賬戶(hù)特別是I類(lèi)賬戶(hù)的信息泄露風(fēng)險。二是在支付機構等合作方向商業(yè)銀行發(fā)送支付指令、扣劃客戶(hù)銀行卡資金時(shí)，各商業(yè)銀行、支付機構應嚴格落實(shí)《非銀行支付機構網(wǎng)絡(luò )支付業(yè)務(wù)管理辦法》(中國人民銀行公告〔2015〕第43號公布）第十條規定，采取交易驗證強度與交易額度相匹配的技術(shù)措施，提高交易的安全性。

（四）加強互聯(lián)網(wǎng)交易風(fēng)險監控。各商業(yè)銀行、支付機構應利用大數據分析、用戶(hù)行為建模等手段，建立交易風(fēng)險監控模型和系統，及時(shí)預警異常交易，并采取調查核實(shí)、風(fēng)險提示、延遲結算等措施。針對批量或高頻登錄等異常行為，應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進(jìn)行綜合識別，及時(shí)采取附加驗證、拒絕請求等手段。

（五）加大支付風(fēng)險聯(lián)動(dòng)防控力度。各商業(yè)銀行、支付機構應認真落實(shí)《中國人民銀行工業(yè)和信息化部公安部工商總局關(guān)于建立電信網(wǎng)絡(luò )新型違法犯罪涉案賬戶(hù)緊急止付和快速凍結機制的通知》（銀發(fā)〔2016〕86號)，按照要求接入電信網(wǎng)絡(luò )新型違法犯罪交易風(fēng)險事件管理平臺，加強涉案賬戶(hù)的止付、凍結管理。

三、切實(shí)防范磁條卡偽卡欺詐交易風(fēng)險

（一）使用金融IC卡降低磁條交易風(fēng)險。一是自2016年9月1日起，各商業(yè)銀行新發(fā)行的基于人民幣結算賬戶(hù)的銀行卡，應為符合《中國金融集成電路(IC)卡規范》(JR/T 0025)的金融IC卡，并采用通過(guò)國家認證認可管理部門(mén)認可機構安全評估的芯片。二是各商業(yè)銀行應從交易渠道、刷卡頻次、單筆交易金額、日累計交易金額、交易地區等方面，進(jìn)一步加強磁條交易風(fēng)險控制。對于可疑交易應通過(guò)短信、電話(huà)、客戶(hù)端軟件等進(jìn)行交易確認和風(fēng)險提示。自2017年5月1日起，全面關(guān)閉芯片磁條復合卡的磁條交易。三是各商業(yè)銀行應采取換卡不換號、實(shí)時(shí)發(fā)卡等措施加快存量磁條卡更換為金融IC卡的進(jìn)度。

（二）加強受理終端安全管理。各商業(yè)銀行、支付機構應從受理終端產(chǎn)品選型、驗收、現場(chǎng)檢查等環(huán)節加強安全管理，確保受理終端的技術(shù)標準符合性。銀行卡清算機構應會(huì )同成員機構采取入網(wǎng)終端簽名、唯一性標識等技術(shù)措施，加強受理終端入網(wǎng)管理，嚴禁不符合標準、非法改裝的受理終端入網(wǎng)使用。對于存量終端應建立定期檢查機制，持續開(kāi)展終端抽檢工作，確保布放的終端與合格樣品的一致性，嚴控改裝終端的使用。

（三）加大特約商戶(hù)實(shí)名制管理力度。銀行卡清算機構應會(huì )同成員機構建立健全實(shí)體和網(wǎng)絡(luò )特約商戶(hù)信息電子化管理體系，嚴格落實(shí)特約商戶(hù)實(shí)名制相關(guān)規定，完整、準確記錄特約商戶(hù)及其法定代表人或主要負責人的身份信息，并對同一特約商戶(hù)在不同商業(yè)銀行和支付機構注冊的信息進(jìn)行關(guān)聯(lián)管理。充分利用影像采集、區域定位等技術(shù)，采取多渠道交叉驗證等有效手段，健全特約商戶(hù)資質(zhì)審核和信息更新機制，持續加強特約商戶(hù)信息真實(shí)性管理。

（四）加強違規特約商戶(hù)黑名單管理。一是各商業(yè)銀行、支付機構應建立健全違規實(shí)體和網(wǎng)絡(luò )特約商戶(hù)黑名單管理制度，明確黑名單納入與移出條件、懲罰措施等。加強對特約商戶(hù)的監測、巡檢，對于存在支付敏感信息泄露、非法改裝終端、參與偽卡欺詐等違規行為的，應納入黑名單管理，視嚴重程度從嚴采取延遲結算、暫停交易、終止合作等懲戒措施，并及時(shí)通知中國支付清算協(xié)會(huì )、銀行卡清算機構。二是中國支付清算協(xié)會(huì )、銀行卡清算機構應會(huì )同商業(yè)銀行、支付機構建立健全黑名單信息共享和查詢(xún)機制，加大聯(lián)合懲戒力度，禁止拓展已納入黑名單的特約商戶(hù)。

（五）落實(shí)偽卡欺詐風(fēng)險責任轉移規則。銀行卡清算機構應會(huì )同成員機構進(jìn)一步落實(shí)銀行卡受理過(guò)程中的偽卡欺詐風(fēng)險責任，保護芯片化遷移方的權益。建立完善的投訴處理機制，妥善處理欺詐風(fēng)險事件，切實(shí)保障客戶(hù)的合法權益。

四、嚴格落實(shí)各項規定，加大督查處罰力度

（一）嚴格落實(shí)國家網(wǎng)絡(luò )安全和標準符合相關(guān)規定。各商業(yè)銀行、支付機構、銀行卡清算機構要嚴格落實(shí)國家網(wǎng)絡(luò )安全和信息技術(shù)安全有關(guān)規定，使用經(jīng)國家密碼管理機構認可的商用密碼產(chǎn)品。一是涉及的客戶(hù)端軟件、受理終端、銀行卡、數字證書(shū)、動(dòng)態(tài)令牌設備等應符合國家和金融行業(yè)相關(guān)標準，并通過(guò)國家認證認可管理部門(mén)認可機構的安全評估。二是業(yè)務(wù)系統建設和運營(yíng)應符合國家信息安全等級保護的相關(guān)要求。三是業(yè)務(wù)系統及備份系統應按照國家網(wǎng)絡(luò )安全相關(guān)要求部署在我國境內。

（二）建立健全監督檢查機制。人民銀行分支機構要高度重視、長(cháng)抓不懈，成立銀行卡風(fēng)險管理領(lǐng)導小組，建立日常監督檢查機制，將支付業(yè)務(wù)系統安全生產(chǎn)、受理終端（含網(wǎng)絡(luò )支付接口）安全、支付敏感信息保護等納入執法檢查，統籌做好指導協(xié)調、政策宣傳、執法檢查、情況通報等工作。

（三）加大違規行為處罰力度。人民銀行分支機構要嚴查因銀行卡受理終端改裝、支付交易驗證強度低、系統存在安全漏洞及受到網(wǎng)絡(luò )攻擊等造成的支付服務(wù)中斷、支付敏感信息泄露、資金損失事件，并依照《銀行卡收單業(yè)務(wù)管理辦法》、《非銀行支付機構網(wǎng)絡(luò )支付業(yè)務(wù)管理辦法》等有關(guān)規定從嚴處罰。對于情節嚴重的，依照《中華人民共和國中國人民銀行法》第四十六條規定，對相關(guān)機構及負有直接責任的董事、高級管理人員和其他直接責任人員進(jìn)行處罰；涉嫌犯罪的，及時(shí)報告公安機關(guān)。對于情節嚴重的支付機構，還應按照《非金融機構支付服務(wù)管理辦法》（中國人民銀行令〔2010〕第2號發(fā)布）、《非銀行支付機構分類(lèi)評級管理辦法》(銀發(fā)〔2016〕106號文印發(fā)）規定調低分類(lèi)評級直至注銷(xiāo)《支付業(yè)務(wù)許可證》。

（四）加強行業(yè)自律規范。中國支付清算協(xié)會(huì )要按照本通知要求和相關(guān)規定，制定銀行卡風(fēng)險管理行業(yè)自律規范，建立自律檢查、違規約束機制，并于2016年9月30日前向人民銀行報備后組織實(shí)施，督促會(huì )員單位加強自律，嚴格落實(shí)各項規定。

對于本通知規定的報告、報備事項，全國性商業(yè)銀行、中國支付清算協(xié)會(huì )、銀行卡清算機構應報送人民銀行總行，其他銀行業(yè)金融機構、支付機構應報送法人所在地人民銀行副省級城市中心支行以上分支機構。

請人民銀行副省級城市中心支行以上分支機構將本通知轉發(fā)至轄區內地方性銀行業(yè)金融機構和支付機構，加強組織落實(shí)。
 

中國人民銀行辦公廳

2016年6月15日

掃描二維碼 關(guān)注我們

本文鏈接：http://www.jumpstarthappiness.com/law/14848.html

本文關(guān)鍵詞： 銀發(fā), 中國人民銀行, 進(jìn)一步加強, 銀行卡, 風(fēng)險, 管理, 通知