第二十四條支付機構應當在中國境內擁有並運營獨立、安全、規範的在線支付業務處理系統及其備份系統。
支付機構為境內交易提供服務的,應當通過境內業務處理系統為其辦理網上支付業務,並在境內完成資金結算。
第二十五條支付機構應當根據客戶身份驗證方式、交易行為特征、信用狀況等因素,建立客戶風險評級管理制度,動態調整客戶風險評級。
第二十六條支付機構應當根據客戶支付指令的驗證方式、客戶風險評級、交易類型、交易金額、交易渠道、受理終端類型、商戶類型等因素,建立交易風險管理體系和交易監控體系。,對涉嫌套現、欺詐、非法融資、洗錢、恐怖融資的交易及時采取調查核實、延遲結算、終止服務等風險管理措施。凡發現有違法犯罪嫌疑的,應及時向公安機關報案,並向中國人民銀行及其分支機構報告。
第二十七條支付機構可以結合以下三個要素對使用支付賬戶余額的客戶的支付指令進行驗證:
(1)只有客戶知道的元素,例如靜態密碼;
(2)為客戶所獨有且不可復制或重復使用的元素,如通過安全通道生成和傳輸的數字證書、電子簽名和壹次性密碼;
(三)客戶自身的生理特征,如指紋。
支付機構應確保所采用的要素相互獨立,即某些要素的損壞或泄露不應導致其他要素的損壞或泄露。
第二十八條支付機構應當根據支付指令驗證方法的安全等級,限制個人客戶使用支付賬戶余額進行交易。對於支付機構使用數字證書或電子簽名等兩類或兩類以上因素的交易,壹天的累計限額由支付機構與客戶通過協議自主約定;支付機構采用兩種或兩種以上因素(包括數字證書和電子簽名)驗證交易的,單個客戶所有支付賬戶日累計金額不得超過5000元(不包括從支付賬戶向客戶本人同名銀行賬戶轉賬,下同);支付機構使用少於兩類因素驗證交易的,單個客戶所有支付賬戶日累計金額不得超過1,000元,支付機構應當承諾無條件、全額承擔該類交易風險損失的賠償責任。
第二十九條支付機構使用數字證書和電子簽名作為驗證要素的,應當通過符合相關技術安全標準、具備數據安全存儲和操作能力的硬件載體保護數字證書和電子簽名生成過程,確保數字證書的唯壹性、完整性和交易的不可否認性。
支付機構使用壹次性密碼作為驗證要素的,應當有效防範壹次性密碼獲取終端與支付指令發起終端為同壹物理設備所帶來的風險,並將壹次性密碼的有效期嚴格限制在最短的必要時間內。
支付機構以客戶的身體特征作為驗證因素的,應當通過符合相關技術安全標準、具備安全數據存儲和計算能力的硬件載體對其進行保護,防止其被非法存儲、復制或者重放。
第三十條支付機構應當每年對交易與信息安全管理系統、業務處理系統、交易監控系統等風險防控機制進行全面評估。評估應由不以任何方式參與在線支付服務開發或運營的專業人員進行。評估報告應於每年1和31前在網站上公布。
第三十壹條支付機構應當限制客戶嘗試登錄或者識別身份的次數,制定客戶訪問超時規則,並設定識別時限。
第三十二條支付機構應當制定應急預案,建立災難恢復系統,確保業務連續性和系統安全。
第三十三條支付機構應當充分尊重客戶的自主選擇權,不得強制客戶使用本機構提供的在線支付服務,也不得妨礙客戶使用其他機構提供的在線支付服務。
支付機構應當公平展示客戶可以選擇的各種資金收付方式,不得以任何形式誘導或者強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付,不得附加不合理的交易條件。
支付機構應根據客戶意願暫停、禁用或取消在線支付服務或支付賬戶的功能。
第三十四條支付機構應當參照《中國人民銀行關於銀行業金融機構個人金融信息保護工作的通知》(銀發[2011]17號)的相關規定,制定有效的客戶信息保護措施和風險控制機制,切實履行客戶信息保護責任。
第三十五條支付機構應當按照“最小化”的原則收集、使用、存儲和傳輸客戶信息,並告知客戶相關信息的用途和使用範圍。支付機構不得向本機構以外的其他機構和個人提供客戶信息,但辦理支付業務確有必要並經客戶逐壹確認和授權的除外,法律法規另有規定的除外。
支付機構不得存儲客戶銀行賬戶密碼、銀行卡驗證碼、有效期等敏感信息。支付機構因特殊業務需要確需存儲客戶銀行卡有效期的,應當取得客戶及開戶銀行的授權,並以加密形式存儲。
第三十六條支付機構應當通過協議禁止特約商戶存儲客戶賬戶密碼、銀行卡驗證碼、有效期等敏感信息,並采取定期檢查、技術監控等必要的監管措施。
特約商戶違反約定存儲上述敏感信息的,支付機構應當立即暫停或終止為其提供網絡支付服務,采取有效措施刪除敏感信息,防止信息泄露,並承擔因相關信息泄露造成的損失和責任。
第三十七條支付機構應當建立健全風險準備金制度和交易支付制度,對因客戶原因無法有效證明的資金損失,使用風險準備金進行足額支付,保護客戶合法權益。
支付機構應當在年度監管報告中如實反映客戶風險損失、客戶損失賠償、風險準備金計提、風險準備金使用和風險準備金余額等情況。
第三十八條支付機構應當向客戶充分提示網絡支付業務的潛在風險,及時揭示犯罪分子新的犯罪手段,對客戶進行必要的安全教育,並在經營前和經營中對高風險業務進行風險提示。
支付機構應當在每年6月365438+10月31日前,在網站上公布上壹年度發生的風險事件、客戶風險損失和客戶損失賠償情況。
第三十九條支付機構為客戶購買投資理財產品或者服務提供網絡支付服務的,應當確保相關產品或者服務提供者是取得相應業務資格並依法開展業務的機構,並充分提示客戶潛在風險。
第四十條支付機構應當采取有效措施,確保客戶在執行支付指令前能夠確認資金收付賬戶、交易金額等交易信息,並在支付指令完成後及時將結果告知客戶。
因交易超時、無響應或系統故障等原因導致支付指令無法正常處理的,支付機構應及時提醒客戶;因客戶原因導致支付指令未執行、未正確執行或延遲執行的,支付機構應主動通知客戶變更或協助客戶采取補救措施。
第四十壹條支付機構應當建立健全網絡支付業務差錯爭議和爭議投訴處理制度,向客戶公布相關受理機制和流程,配備專業部門和人員,真實、準確、及時處理交易差錯和客戶投訴。
第四十二條支付機構應當通過具有合法獨立域名的網站和統壹的24小時客服電話,向客戶提供在線支付服務和查詢、咨詢、投訴等配套服務。
支付機構應當告知客戶正確獲取相關服務的途徑,引導客戶有效識別服務渠道的真偽,防止不法分子通過冒充支付機構或提供虛假服務渠道實施網絡詐騙、盜取賬戶或竊取信息。
第四十三條支付機構應當為客戶提供至少最近壹年的免費交易信息查詢服務。
第四十四條支付機構因系統升級、調試等原因需要暫停網上支付業務的,應當至少提前5個工作日發布公告。
第四十五條支付機構變更協議條款、提高網上支付服務收費標準或者設立新的收費項目的,應當在實施前以顯著方式在網站上連續公示30日,並在客戶首次辦理相關業務前確認客戶知曉並接受所有需要調整的細節,保障客戶自主選擇相關服務。
第四十六條支付機構應當真實、完整記錄客戶的操作,包括但不限於登錄、支付指令驗證、身份信息變更、預留通訊號碼變更、業務功能調整、交易限額調整、資金收付方式變更、密碼、數字證書、電子簽名重置或掛失等。相關記錄應自運行生效之日起至少保存5年。
第四十七條商業銀行對涉及其銀行賬戶的關聯交易提出查詢、錯誤或投訴處理、風險控制等合理要求的,支付機構應當積極配合,及時處理。