第二,銀行系統維護,壹般會有短信提示,或者公告。銀行卡是商業銀行、郵政儲蓄機構等金融機構向社會發行的信用支付工具,具有消費信貸、轉賬結算、現金存取等全部或部分功能。銀行卡包括信用卡和借記卡。
擴展數據
壹是加強銀行卡信息安全管理
(1)加強敏感支付信息的內控管理。各商業銀行、支付機構(從事銀行卡收單業務和網上支付業務的非銀行支付機構,下同)、銀行卡清算機構應嚴格執行《中國人民銀行關於銀行業金融機構個人金融信息保護工作的通知》(銀發[2011]17號),完善支付敏感信息安全內控管理制度,並於2007年上報相關信息。
壹是嚴禁留存敏感支付信息(包括銀行卡磁道或芯片信息、卡片驗證碼、卡片有效期、銀行卡密碼、網上支付交易密碼等。)不歸機構所有。確需保留的,應當經客戶本人和賬戶管理機構授權。
二是明確相關崗位和人員的管理職責,嚴格分離不相容崗位和控制信息操作權限,制定信息操作流程和規範,強化內部監督和問責機制,禁止員工非法存儲、竊取、泄露、交易和支付敏感信息。
三是支付敏感信息安全內部審計每年至少進行兩次,並形成報告存檔備查。發現支付敏感信息泄露或內部人員因系統漏洞違規操作的,應立即采取有效措施防止風險擴大,並向中國人民銀行報告;涉嫌違法犯罪的,應當及時向公安機關報告。
(2)加強支付敏感信息的安全保護。各商業銀行和支付機構應在客戶端軟件與服務器之間、服務器與服務器之間進行通道加密和雙向認證,對重要信息的關鍵字段進行哈希或加密,確保信息傳輸、存儲和使用的安全。開展網絡支付業務時,不得委托或授權無支付業務資格的合作機構采集支付敏感信息。應采用具有信息輸入安全保護和即時數據加密功能的安全控制措施,並采取有效措施防止合作機構獲取和留存支付敏感信息。
(3)全面應用支付標記技術。2016 12 1起,各商業銀行和支付機構要利用支付令牌化技術對支付機構的銀行卡號、卡片驗證碼、支付賬戶等信息進行脫敏,通過設置支付標識的交易次數、交易金額、有效期、支付渠道等域控制屬性,從源頭控制信息泄露和欺詐交易風險。
(4)強化交易密碼保護機制。各商業銀行、支付機構要加強銀行卡、網上支付等交易密碼的保護管理和客戶安全教育,嚴格限制初始交易密碼的使用並提示客戶及時修改,建立交易密碼復雜程度的系統驗證機制,避免交易密碼過於簡單(如“1111”和“)。
(5)嚴格規範收單外包服務。各商業銀行和支付機構應嚴格執行《銀行卡收單管理辦法》(中國人民銀行公告[2013]第9號)和《中國人民銀行關於加強銀行卡收單外包管理的通知》(銀發[2065 438+05]199號),承擔收單過程中敏感支付信息的安全管理責任。
壹是核心業務系統運行、受理終端密鑰管理、特約商戶資質審查等工作不得交給外包服務機構。
二是指定專人管理終端密鑰及相關參數,確保不同受理終端使用不同的終端主密鑰,並定期更換。
三是禁止實體企業與網商、外包服務機構通過協議留存支付敏感信息。四是每年至少對外包服務機構、實體、網商進行壹次獨立的安全評估,並形成報告備案備查。那些不遵守有關協議的人應該立即停止合作。
(6)加強支付創新和規範管理。對於重要的支付技術應用和業務創新,各商業銀行和支付機構應在項目上線前至少30天向中國人民銀行備案,並提交項目實施方案、外部安全評估報告等書面材料。在業務發展過程中,要做好風險的動態監測、評估和防控。
二、加大銀行卡互聯網交易風險防控力度。
(1)加強客戶端軟件的安全管理。壹是商業銀行和支付機構應從特洛伊病毒防範、信息加密保護、可信運行環境等方面提高客戶端軟件的安全防控能力。客戶端軟件應能監控移動支付環境的安全狀況並反饋給後臺系統,作為限制和拒絕交易等風險控制策略的依據。二是為客戶端軟件和官網設置可信標識或快速入口,通過各種渠道告知客戶正確的識別和訪問方法。三是每年必須至少進行壹次外部安全評估,並形成報告存檔備查,確保符合技術標準。
(二)加強開業身份認證的安全管理。自2016 165438+10月1日起,商業銀行基於銀行卡與支付機構、商業機構建立相關業務時,應嚴格采用多因素身份認證,直接識別客戶身份並取得客戶授權。身份認證應采用以下組合方式之壹:壹是采用符合金融電子認證標準(JR/T 0118)的數字證書,至少組合交易密碼等壹種認證因素。二是采用符合《動態密碼應用技術規範>:(GM/T 0021)的代碼,至少結合交易密碼等壹項認證因素。第三,結合至少兩種動態認證因素(如動態驗證碼和基於客戶行為的動態挑戰響應),采用至少兩種不同的通信渠道如語音、短信和數據(如手機銀行、即時通訊和電子郵件)。
(3)增強支付交易的安全強度。壹是各商業銀行要按照《中國人民銀行關於改進個人銀行賬戶服務加強賬戶管理的通知》(銀發[2015]392號)要求,建立健全個人銀行結算賬戶分類管理機制,引導客戶使用ⅱ類、ⅲ類銀行賬戶開展小額網絡支付業務,有效防控各類銀行賬戶特別是ⅰ類賬戶的信息泄露風險。二是支付機構等合作夥伴向商業銀行發送支付指令、扣劃客戶銀行卡資金時,各商業銀行、支付機構應嚴格執行《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公告[2015]第43號)第十條,采取技術措施使交易驗證強度與交易金額相匹配,提高交易安全性。
(4)加強互聯網交易的風險監控。各商業銀行和支付機構要運用大數據分析、用戶行為建模等手段,建立交易風險監測模型和系統,及時預警異常交易,采取調查核實、風險預警、延遲結算等措施。對於批量或高頻登錄等異常行為,應利用IP地址、終端設備識別信息和瀏覽器緩存信息進行綜合識別,並及時采取追加驗證和拒絕請求等措施。
(五)加強支付風險聯動防控。各商業銀行、支付機構要認真落實《中國人民銀行、工業和信息化部、公安部、工商總局關於建立電信網絡新型違法犯罪涉案賬戶緊急止付和快速凍結機制的通知》(銀發[2065 438+06]86號),按要求接入電信網絡新型違法犯罪風險事件管理平臺,加強涉案賬戶止付和凍結管理。
第三,有效防範假磁條卡欺詐交易風險。
(壹)使用金融IC卡降低磁條交易風險。壹、自2006年9月1日起,商業銀行新發行的基於人民幣結算賬戶的銀行卡應是符合《中國金融集成電路(IC)卡規範》(JR/T 0025)的金融IC卡,采用通過國家認監委部門認可的機構安全評估的芯片。二是商業銀行要從交易渠道、刷卡頻率、單筆交易金額、日累計交易金額、交易區域等方面進壹步加強磁條交易的風險控制。對於可疑交易,應通過短信、電話和客戶端軟件進行交易確認和風險提示。2017年5月1日起,芯片磁條復合卡磁條交易全面關閉。三是商業銀行要采取換卡不換號、實時發卡等措施,加快金融ic卡替代現有磁條卡的進度。
(2)加強受理終端的安全管理。各商業銀行和支付機構要從產品選擇、受理、現場檢查等方面加強安全管理。,以確保碼頭的技術標準符合規定。銀行卡清算機構應當會同成員機構采取網絡接入終端簽名和唯壹標識等技術措施,加強受理終端網絡接入管理,禁止不合格和非法改裝的受理終端使用網絡。對庫存的終端應建立定期檢驗機制,持續進行終端抽樣檢驗,確保調配的終端與合格樣品的壹致性,嚴格控制改裝終端的使用。
(3)加強特約商戶實名制管理。銀行卡清算機構應當會同成員機構建立健全實體和網絡特約商戶電子信息管理系統,嚴格執行實名登記制度的相關規定,完整準確記錄特約商戶及其法定代表人或負責人的身份信息,對同壹特約商戶在不同商業銀行和支付機構登記的信息進行關聯管理。充分利用圖像采集、區域定位等技術,采取多渠道交叉驗證等有效手段,完善特約商戶資質審核和信息更新機制,不斷加強特約商戶信息真實性管理。
(四)加強違法商戶黑名單管理。壹是各商業銀行和支付機構要建立健全違法主體和網絡特約商戶黑名單管理制度,明確黑名單納入和移除條件、處罰措施。加強對特約商戶的監測和檢查。對泄露支付敏感信息、非法改裝終端、參與偽卡詐騙等違規行為,要納入黑名單管理。視情節輕重,嚴格采取延遲結算、暫停交易、終止合作等懲戒措施,並及時通報中國支付清算協會和銀行卡清算機構。二是中國支付清算協會、銀行卡清算機構要與商業銀行、支付機構建立健全黑名單信息共享和查詢機制,加大聯合懲戒力度,禁止擴大已列入黑名單的特約商戶。
(五)落實偽卡欺詐風險責任轉移制度。銀行卡清算機構應當會同成員機構進壹步落實銀行卡受理過程中偽卡欺詐的風險責任,保護芯片遷移方的權益。建立健全投訴處理機制,妥善處理欺詐風險事件,切實保護客戶合法權益。
四、嚴格執行規定,加大監管和處罰力度。
(1)嚴格執行國家網絡安全和標準,遵守相關規定。各商業銀行、支付機構和銀行卡清算機構應嚴格執行國家網絡安全和信息技術安全的相關規定,使用國家密碼管理機構認可的商用密碼產品。壹是客戶端軟件、受理終端、銀行卡、數字證書、動態令牌設備等。涉及的應符合國家和金融行業相關標準,並通過國家認監委認可的機構安全評估。二是業務系統的建設和運行應符合國家信息安全等級保護的相關要求。第三,根據國家網絡安全的相關要求,在國內部署業務系統和備份系統。
(2)建立健全監督檢查機制。人民銀行分支機構要高度重視,堅持不懈,成立銀行卡風險管理領導小組,建立日常監督檢查機制,將支付業務系統安全生產、受理終端(包括網上支付接口)安全、支付敏感信息保護等納入執法檢查,統籌做好指導協調、政策宣傳、執法檢查、情況通報等工作。
(3)加大對違規行為的處罰力度。人民銀行分支機構要嚴查因銀行卡受理終端改裝、支付交易驗證強度低、系統安全漏洞、網絡攻擊等造成的支付服務中斷、支付敏感信息泄露和資金損失,並按照《銀行卡收單管理辦法》和《非銀行支付機構網上支付業務管理辦法》的有關規定予以嚴懲。
情節嚴重的,依照《中華人民共和國中國人民銀行法》第四十六條對相關機構、董事、高級管理人員和其他直接責任人員進行處罰;涉嫌犯罪的,及時向公安機關舉報。對情節嚴重的支付機構,按照《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號)和《非銀行支付機構分類評級管理辦法》(銀發[2016]106號),降低分類評級直至註銷支付業務許可證。
(四)加強行業自律。中國支付清算協會要按照本通知要求和相關規定,制定銀行卡風險管理行業自律規範,建立自律檢查和違規約束機制,並於2016年9月30日前向中國人民銀行備案後組織實施,督促會員單位加強自律,嚴格執行各項規定。
參考資料:
中國人民銀行關於進壹步加強銀行卡風險管理的通知