来源:移动支付网 作者:本站收录 发布时间:2016-07-28 09:04:49 字体:[大 中 小]
摘 要:日前,中国支付清算协会组织向其有关会员单位起草了《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》,现予以印发。
清算协会指出,新型技术的推广应用为支付业务提供了更为快捷便利手段的同时,支付犯罪手法也在不断翻新,银行卡使用安全面临更为严峻的挑战,银行卡信息泄露事件时有发生。为进一步加强银行卡敏感信息安全管理,规范终端机具使用,提升支付风险防控能力,维护银行卡产业及支付清算行业健康发展环境。日前,中国支付清算协会组织向其有关会员单位起草了《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》,现予以印发。
原文如下:
关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书
新型技术的推广应用和快速升级为支付业务提供了更为快捷便利的手段。与此同时,支付犯罪手法在技术层面也在不断翻 新变化,银行卡使用安全面临更为严峻的挑战,银行卡信息安全 保护为各方所瞩目。为进一步提升支付行业整体风险防控能力, 加强银行卡敏感信息安全管理,防范不法分子通过改装POS机具 和网络渠道窃取敏感信息,有效控制敏感信息泄露事件,维护银行卡产业及支付清算行业健康发展环境,中国支付清算协会向从事银行卡发卡、收单、转接清算等业务的会员单位发出以下倡议:
一、强化支付敏感信息安全使用内控管理。
各商业银行,支付机构(从事银行卡收单业务、网络支付业务的非银行支付机 构)、银行卡清算机构应严格落实《中国人民银行关于银行业金 融机构做好个人金融信息保护工作的通知》(银发[2011]17 号), 健全支付敏感信息内控管理制度。
一是严禁留存非本机构的支付 敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效 期、银行卡密码、网络支付交易密码等),确有必要的应取得客 户本人及账户管理机构的授权。
二是明确相关岗位和人员的管理 责任,严格分离不相容岗位并控制信息操作权限,制定信息操作流程和规范,强化内部监督、责任追究机制,严禁从业人员非法 存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两 次支付敏感信息安全的内部审计,并形成报告存档备查。发现因 系统漏洞造成支付敏感信息泄露或内部人员违规行为的,应立即 采取有效措施防止风险扩大,并向人民银行报告;涉嫌违法犯罪 的,应及时报告公安机关。
二、大力推广应用金融 IC 卡,降低磁条交易风险。
一是积 极发行符合《中国金融集成电路(IC)卡规范》(JR/T0025)的 金融 IC 卡,并采用通过国家认证认可管理部门认可机构安全评 估的芯片。
二是发卡行应从交易渠道、刷卡频次、单笔交易金额、 日累计交易金额、交易地区等方面,进一步加强磁条交易风险控 制。
三是采取措施加快存量磁条卡更换为金融 IC 卡的进度。四 是落实伪卡欺诈风险责任转移规则。银行卡清算机构应会同发卡 银行、收单机构进一步落实银行卡受理过程中的伪卡欺诈风险责 任,保护芯片化迁移方的权益。建立不同层次的完善的投诉处理 机制,妥善处理欺诈风险事件,切实保障持卡人的合法权益。
三、规范受理终端安全管理,防止改装机具入网。
一是各收 单机构应加强银行卡受理终端产品选型、验收管理,确保使用符合国家、金融行业相关标准的受理终端。
二是银行卡清算机构应 会同收单机构采取入网终端签名、唯一性标识等技术措施,加强 受理终端入网管理,严禁不符合标准的、非法改造的、未通过检 测的受理终端入网使用。对于存量终端应建立定期检查机制,持续开展终端抽检工作,确保布放的终端与合格样品的一致性,严控改装终端的使用。
三是禁止在销售布放受理终端时,以提供套 现、套积分等违规服务为宣传营销手段。
四是对特约商户提出的 新增、更换、维护受理终端的要求,收单机构应履行必要的核实 程序。
五是严格控制特约商户受理终端的布放类型。移动销售点 终端(POS 机)原则上只能布放于航空、餐饮、交通罚款、上门收费、移动售货、物流配送等难以通过固定收银台结算款项,确 有使用需求的行业商户。
六是收单机构要对 ATM 建立定期巡检制 度,及时发现和排除风险隐患。加大傍晚、夜间等案件高发时段 ATM 的巡查力度,重点检查 ATM 等自助设备是否张贴有异常通知, ATM 出钞口、读卡器是否有堵塞或安装有其他附加装置,是否安 装有异常的刷卡进门装置,是否安装有盗取密码的摄像机,ATM 工作状态、夜间灯箱、自助区照明是否正常,ATM 电视监控、“110” 联动报警等技防设施工作是否正常。
四、提升支付敏感信息安全防护的技术水平。
一是全面应用 支付标记化技术(Tokenization),对卡号、卡片安全码等信息 进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有 效期、支付渠道等域控属性,从源头控制信息泄露和交易风险。
二是开展网络支付业务时,不得委托或授权无支付业务资质的合 作机构采集支付敏感信息,应采用具有信息输入安全防护、即时 数据加密功能的安全控件,采取有效措施防止合作机构获取、留 存支付敏感信息。
三是加强网络交易风险监控。利用大数据分析、用户行为建模等手段,建立交易风险监控模型和系统,及时预警 异常交易,并采取调查核实、风险提示、延迟结算等措施。针对 批量或高频登录等异常行为,应利用IP地址、终端设备标识信 息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝 请求等手段。
四是加强客户端软件安全管理,确保客户端软件符 合国家、金融行业相关标准和信息安全要求。从木马病毒防范、 信息加密保护、运行环境可信等方面提升客户端软件安全防控能力。
五是服务器端应对接收数据的有效性进行校验,防止客户端提交非法数据,进行SQL注入等攻击。
五、切实提高业务开通以及交易过程中的身份认证强度。
一是提高业务开通身份认证强度。自2016年11月1日起,银行基于银行卡账户与支付机构、商业机构建立关联业务时,应严格采 用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。
二是增强支付交易验证强度。在支付机构等合作方向银行发送支 付指令、扣划客户银行卡账户资金时,银行、支付机构应严格落 实《非银行支付机构网络支付业务管理办法》(中国人民银行公 告[2015]第 43 号公布)第十条规定,参照第二十二条、第二十 三条、第二十四条等相关要求,采取交易额度与验证强度相匹配 的技术措施,提高交易的安全性。银行应依照《中国人民银行关 于改进 个人 银 行账户 服务加强 账 户管 理的通 知 》(银发 [2015]392 号),建立健全个人银行结算账户分类管理机制,引 导客户使用 II 类、III 类银行账户办理小额网络支付业务,有效防控 I 类银行账户信息泄露风险。
六、加大特约商户规范管理力度。
一是银行卡清算机构应会同收单机构建立健全特约商户信息电子化管理体系,严格落实特 约商户实名制相关规定,完整、准确记录特约商户及其法定代表 人或主要负责人的身份信息,并对同一商户在不同收单机构的注 册信息进行关联管理,通过对商户信息的交叉比对,关注同一身份申请多个商户的情形,加强对一机多号(一机多商户)的违规 行为的排查。
二是充分利用影像采集、区域定位等技术,采取多 渠道交叉验证等有效手段,健全特约商户资质审核和信息更新机 制,持续加强特约商户信息真实性管理。
三是收单机构应确保特 约商户按规定使用受理终端(网络支付接口)和收单银行结算账 户,不得将受理终端(网络支付接口)用于受理协议约定以外的 用途,不得利用其从事或协助他人从事非法活动。
四是加强对特 约商户银行卡套现、磁道侧录、终端改装、终端移机等违规行为 的监控、巡检和风险评级,并采取延迟资金结算、暂停交易、收 回受理终端等措施。
五是各银行、支付机构应建立健全违规实体 和网络特约商户黑名单管理制度,明确黑名单纳入与移出条件、 惩罚措施等。加强对特约商户的监测、巡检,对于存在支付敏感 信息泄露、非法改装终端、参与伪卡欺诈等违规行为的,应纳入 黑名单管理,视严重程度从严采取延迟结算、暂停交易、终止合 作等惩戒措施,并及时报送中国支付清算协会、银行卡清算机构; 依托中国支付清算协会、银行卡清算机构的黑名单信息共享机制分享风险商户信息,禁止拓展已纳入黑名单的商户。
七、规范收单外包服务管理。
各收单机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第 9 号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银 发[2015]199 号),承担收单环节支付敏感信息安全管理责任。
一是不得将核心业务系统运营、受理终端密钥管理、特约商户资 质审核等工作交由外包服务机构办理。
二是指定专人管理终端密 钥和相关参数,确保不同的受理终端使用不同的终端主密钥并定 期更换。
三是通过协议禁止实体和网络特约商户、外包服务机构 不得留存支付敏感信息。
四是每年应对外包服务机构、实体和网 络特约商户至少开展一次有一定独立性的安全评估,并形成报告 存档备查,对于未遵守相关协议的,应立即终断合作。五是及时 将出现违法违规行为的外包服务机构信息报送中国支付清算协 会,纳入黑名单管理,并终止与其合作。
八、加强客户银行卡支付安全教育工作。
加强银行卡、互联 网支付等交易密码的保护管理和客户安全教育,培养客户风险防 范意识和安全支付习惯。提高商户的合规合法经营意识以及安全 防范意识,针对犯罪分子典型作案手法开展商户安全教育工作, 通过网站、微信、视频、邮件等不同渠道及时向商户普及犯罪分 子最新作案手法,提高商户风险防范水平。
九、行业各参与者应树立可持续发展的科学经营观,坚持依 法合规经营,努力提高从业人员道德和业务素质,强化对从业人员的职业道德素养教育,规范经营行为,自觉维护市场秩序,树立良好的支付行业形象。
十、行业各参与者应自觉接受社会监督。
严格遵守《中国支 付清算协会银行卡行业自律公约》、《银行卡业务风险控制与安全 管理指引》以及《银行卡收单外包业务自律规范》,增强自律意 识,坚持自我约束,设置争议及投诉解决渠道,接受社会监督, 妥善处理客户敏感信息保护工作中出现的争议与纠纷,保护相关 方的合法权益;积极接入中国支付清算协会风险信息共享系统, 利用会员单位风险信息共享机制提升风险防范效率;发现收单机 构、商户通过改装 POS 机盗取银行卡信息,从事欺诈等不法行为, 按中国支付清算协会发布的《支付结算违法违规行为举报奖励办 法实施细则》相关规定进行举报。
让我们携起手来,以强化自身内控机制建设为起点,利用先进技术手段实现敏感信息隔离保护,提升合作商户风险防范能力,提高客户自我信息防护意识,妥善处理业务争议纠纷,加强 行业联防联控能力,努力消除信息泄露隐患,营造安全可靠的银行卡支付环境,树立良好的行业形象,促进银行卡产业持续健康 发展。