一、强化银行卡信息的安全管理
(一)强化支付敏感信息内控管理。各商业银行、支付机构(从事银行卡收单业务、网络支付业务的非银行支付机构,下同)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号),健全支付敏感信息安全内控管理制度,并将有关情况于2016年9月1日前报告人民银行。一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等),确有必要留存的应取得客户本人及账户管理机构的授权。二是明确相关岗位和人员的管理责任,严格分离不相容岗位并控制信息操作权限,制定信息操作流程和规范,强化内部监督、责任追究机制,严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两次支付敏感信息安全的内部审计,并形成报告存档备查。发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的,应立即采取有效措施防止风险扩大,并向人民银行报告;涉嫌违法犯罪的,应及时报告公安机关。
(二)加强支付敏感信息的安全防护。各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输、存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采用具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
(三)全面应用支付标记化技术。自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
(四)强化交易密码保护机制。各商业银行、支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育,严格限制使用初始交易密码并提示客户及时修改,建立交易密码复杂度系统校验机制,避免交易密码过于简单(如“111111”、“123456”等)或与客户个人信息(如出生日期、证件号码、手机号码等)相似度过高。
(五)严格规范收单外包服务。各商业银行、支付机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号),承担收单环节支付敏感信息安全管理责任。一是不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。二是指定专人管理终端密钥和相关参数,确保不同的受理终端使用不同的终端主密钥并定期更换。三是通过协议禁止实体和网络特约商户、外包服务机构留存支付敏感信息。四是每年对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估,并形成报告存档备查,对于未遵守相关协议的,应立即中断合作。
(六)加强支付创新规范管理。对于重要支付技术应用、业务创新,各商业银行、支付机构应至少于项目上线前30日向人民银行备案,提交项目实施方案、外部安全评估报告等书面材料。业务开展过程中,应做好风险的动态监测、评估和防控工作。
二、加大银行卡互联网交易风险防控力度
(一)强化客户端软件安全管理。一是各商业银行、支付机构应从木马病毒防范、信息加密保护、运行环境可信等方面提升客户端软件安全防控能力。客户端软件应能够监测并向后台系统反馈手机支付环境安全状况,作为限制、拒绝交易等风控策略的依据。二是对客户端软件及官方网站设置可信标识或快捷入口,并通过多种渠道告知客户正确的识别及访问方法。三是每年必须至少开展一次外部安全评估,形成报告存档备查,确保技术标准符合性。
(二)加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。
【如何提高银行的安全等级】相关文章:
如何划分客户等级04-03
如何提高情商07-19
绿松石如何划分等级09-03
如何提高员工安全意识和安全素质07-22
如何提高儿童视力04-14
如何提高睡眠质量04-18
如何提高学生的境界05-18
如何提高自我能力05-18
如何提高孩子自律03-21
如何提高自控能力03-18