中国人民银行关于进一步加强银行卡风险管理的通知
【法规类别】银行综合规定 【发文字号】银发[2016]170号 【发布部门】中国人民银行 【发布日期】2016.06.13 【实施日期】2016.06.13 【时效性】现行有效
【效力级别】部门规范性文件
中国人民银行关于进一步加强银行卡风险管理的通知
(银发[2016]170号)
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联股份有限公司,中国支付清算协会:
随着移动通信技术和互联网金融的快速发展,银行卡使用安全面临新的挑战。为进一步加强银行卡信息的安全管理,提升支付风险防控能力,现将有关事项通知如下: 一、强化银行卡信息的安全管理
(一)强化支付敏感信息内控管理。各商业银行,支付机构 (从事银行卡收单业务,网络支付业务的非银行支付机构,下同)、银行卡清算机构应严格落实《中国人民银行关于银 1 / 3
行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号),健全支付敏感信
息安全内控管理制度,并将有关情况于2016年9月1日前报告人民银行。一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码,网络支付交易密码等),确有必要留有的应取得客户本人及账户管理机构的授权。二是明确相关岗位和人员的管理责任,严格分离不相容岗位并控制信息操作权限,制定信息操作流程和规范,强化内部监督、责任追究机制,严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两次支付敏感信息安全的内部审计,并形成报告存档备查,发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的,应立即采取有效措施防止风险扩大,并向人民银行报告;涉嫌违法犯罪的,应及时报告公安机关。
(二)加强支付敏感信息的安全防护。各商业银行,支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输,存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采用具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
(三)全面应用支付标记化技术。自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
(四)强化交易密码保护机制。各商业银行,支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育,严格限制使用初始交易密码并提示客户及时修改,建立交易密码复杂度系统校验机制,避免交易密码过于简单(如“111111”、“123456”等)或与客户个人信息(如出生日期、证件号码。手机,号码等)相似度过高。 2 / 3
(五)严格规范收单外包服务。各商业银行、支付机构应严格落实《银行卡收单业务管理
办法》(中国人民银行公告[2013]第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015]199号),承担收单环节支付敏感信息安全管理责任。一是不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理,二是指定专人管理终端密钥和相关参数,确保不同的受理终端使用不同的终端主密匙并定期更换。三是通过协议禁止实体和网络特约商户、外包服务机构留存支付敏感信息。四是每年对外包服务机构、实体和网络
3 / 3
因篇幅问题不能全部显示,请点此查看更多更全内容