清算協會指出,新型技術的推廣應用為支付業務提供了更為快捷便利手段的同時,支付犯罪手法也在不斷翻新,銀行卡使用安全面臨更為嚴峻的挑戰,銀行卡信息洩露事件時有發生。為進一步加強銀行卡敏感信息安全管理,規範終端機具使用,提升支付風險防控能力,維護銀行卡產業及支付清算行業健康發展環境。日前,中國支付清算協會組織向其有關會員單位起草了《關於加強銀行卡敏感信息安全管理 防範終端機具改裝的倡議書》,現予以印發。
原文如下:
關於加強銀行卡敏感信息安全管理 防範終端機具改裝的倡議書
新型技術的推廣應用和快速升級為支付業務提供了更為快捷便利的手段。與此同時,支付犯罪手法在技術層面也在不斷翻 新變化,銀行卡使用安全面臨更為嚴峻的挑戰,銀行卡信息安全 保護為各方所矚目。為進一步提升支付行業整體風險防控能力, 加強銀行卡敏感信息安全管理,防範不法分子通過改裝POS機具 和網絡渠道竊取敏感信息,有效控制敏感信息洩露事件,維護銀行卡產業及支付清算行業健康發展環境,中國支付清算協會向從事銀行卡發卡、收單、轉接清算等業務的會員單位發出以下倡議:
一、強化支付敏感信息安全使用內控管理。
各商業銀行,支付機構(從事銀行卡收單業務、網絡支付業務的非銀行支付機 構)、銀行卡清算機構應嚴格落實《中國人民銀行關於銀行業金 融機構做好個人金融信息保護工作的通知》(銀髮[2011]17 號), 健全支付敏感信息內控管理制度。
一是嚴禁留存非本機構的支付 敏感信息(包括銀行卡磁軌或晶片信息、卡片驗證碼、卡片有效 期、銀行卡密碼、網絡支付交易密碼等),確有必要的應取得客 戶本人及帳戶管理機構的授權。
二是明確相關崗位和人員的管理 責任,嚴格分離不相容崗位並控制信息操作權限,制定信息操作流程和規範,強化內部監督、責任追究機制,嚴禁從業人員非法 存儲、竊取、洩露、買賣支付敏感信息。三是每年應至少開展兩 次支付敏感信息安全的內部審計,並形成報告存檔備查。發現因 系統漏洞造成支付敏感信息洩露或內部人員違規行為的,應立即 採取有效措施防止風險擴大,並向人民銀行報告;涉嫌違法犯罪 的,應及時報告公安機關。
二、大力推廣應用金融 IC 卡,降低磁條交易風險。
一是積 極發行符合《中國金融集成電路(IC)卡規範》(JR/T0025)的 金融 IC 卡,並採用通過國家認證認可管理部門認可機構安全評 估的晶片。
二是發卡行應從交易渠道、刷卡頻次、單筆交易金額、 日累計交易金額、交易地區等方面,進一步加強磁條交易風險控 制。
三是採取措施加快存量磁條卡更換為金融 IC 卡的進度。四 是落實偽卡欺詐風險責任轉移規則。銀行卡清算機構應會同發卡 銀行、收單機構進一步落實銀行卡受理過程中的偽卡欺詐風險責 任,保護晶片化遷移方的權益。建立不同層次的完善的投訴處理 機制,妥善處理欺詐風險事件,切實保障持卡人的合法權益。
三、規範受理終端安全管理,防止改裝機具入網。
一是各收 單機構應加強銀行卡受理終端產品選型、驗收管理,確保使用符合國家、金融行業相關標準的受理終端。
二是銀行卡清算機構應 會同收單機構採取入網終端籤名、唯一性標識等技術措施,加強 受理終端入網管理,嚴禁不符合標準的、非法改造的、未通過檢 測的受理終端入網使用。對於存量終端應建立定期檢查機制,持續開展終端抽檢工作,確保布放的終端與合格樣品的一致性,嚴控改裝終端的使用。
三是禁止在銷售布放受理終端時,以提供套 現、套積分等違規服務為宣傳營銷手段。
四是對特約商戶提出的 新增、更換、維護受理終端的要求,收單機構應履行必要的核實 程序。
五是嚴格控制特約商戶受理終端的布放類型。移動銷售點 終端(POS 機)原則上只能布放於航空、餐飲、交通罰款、上門收費、移動售貨、物流配送等難以通過固定收銀臺結算款項,確 有使用需求的行業商戶。
六是收單機構要對 ATM 建立定期巡檢制 度,及時發現和排除風險隱患。加大傍晚、夜間等案件高發時段 ATM 的巡查力度,重點檢查 ATM 等自助設備是否張貼有異常通知, ATM 出鈔口、讀卡器是否有堵塞或安裝有其他附加裝置,是否安 裝有異常的刷卡進門裝置,是否安裝有盜取密碼的攝像機,ATM 工作狀態、夜間燈箱、自助區照明是否正常,ATM 電視監控、「110」 聯動報警等技防設施工作是否正常。
四、提升支付敏感信息安全防護的技術水平。
一是全面應用 支付標記化技術(Tokenization),對卡號、卡片安全碼等信息 進行脫敏處理,並通過設置支付標記的交易次數、交易金額、有 效期、支付渠道等域控屬性,從源頭控制信息洩露和交易風險。
二是開展網絡支付業務時,不得委託或授權無支付業務資質的合 作機構採集支付敏感信息,應採用具有信息輸入安全防護、即時 數據加密功能的安全控制項,採取有效措施防止合作機構獲取、留 存支付敏感信息。
三是加強網絡交易風險監控。利用大數據分析、用戶行為建模等手段,建立交易風險監控模型和系統,及時預警 異常交易,並採取調查核實、風險提示、延遲結算等措施。針對 批量或高頻登錄等異常行為,應利用IP位址、終端設備標識信 息、瀏覽器緩存信息等進行綜合識別,及時採取附加驗證、拒絕 請求等手段。
四是加強客戶端軟體安全管理,確保客戶端軟體符 合國家、金融行業相關標準和信息安全要求。從木馬病毒防範、 信息加密保護、運行環境可信等方面提升客戶端軟體安全防控能力。
五是伺服器端應對接收數據的有效性進行校驗,防止客戶端提交非法數據,進行SQL注入等攻擊。
五、切實提高業務開通以及交易過程中的身份認證強度。
一是提高業務開通身份認證強度。自2016年11月1日起,銀行基於銀行卡帳戶與支付機構、商業機構建立關聯業務時,應嚴格採 用多因素身份認證方式,直接鑑別客戶身份,並取得客戶授權。
二是增強支付交易驗證強度。在支付機構等合作方向銀行發送支 付指令、扣劃客戶銀行卡帳戶資金時,銀行、支付機構應嚴格落 實《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公 告[2015]第 43 號公布)第十條規定,參照第二十二條、第二十 三條、第二十四條等相關要求,採取交易額度與驗證強度相匹配 的技術措施,提高交易的安全性。銀行應依照《中國人民銀行關 於改進 個人 銀 行帳戶 服務加強 帳 戶管 理的通 知 》(銀髮 [2015]392 號),建立健全個人銀行結算帳戶分類管理機制,引 導客戶使用 II 類、III 類銀行帳戶辦理小額網絡支付業務,有效防控 I 類銀行帳戶信息洩露風險。
六、加大特約商戶規範管理力度。
一是銀行卡清算機構應會同收單機構建立健全特約商戶信息電子化管理體系,嚴格落實特 約商戶實名制相關規定,完整、準確記錄特約商戶及其法定代表 人或主要負責人的身份信息,並對同一商戶在不同收單機構的注 冊信息進行關聯管理,通過對商戶信息的交叉比對,關注同一身份申請多個商戶的情形,加強對一機多號(一機多商戶)的違規 行為的排查。
二是充分利用影像採集、區域定位等技術,採取多 渠道交叉驗證等有效手段,健全特約商戶資質審核和信息更新機 制,持續加強特約商戶信息真實性管理。
三是收單機構應確保特 約商戶按規定使用受理終端(網絡支付接口)和收單銀行結算帳 戶,不得將受理終端(網絡支付接口)用於受理協議約定以外的 用途,不得利用其從事或協助他人從事非法活動。
四是加強對特 約商戶銀行卡套現、磁軌側錄、終端改裝、終端移機等違規行為 的監控、巡檢和風險評級,並採取延遲資金結算、暫停交易、收 回受理終端等措施。
五是各銀行、支付機構應建立健全違規實體 和網絡特約商戶黑名單管理制度,明確黑名單納入與移出條件、 懲罰措施等。加強對特約商戶的監測、巡檢,對於存在支付敏感 信息洩露、非法改裝終端、參與偽卡欺詐等違規行為的,應納入 黑名單管理,視嚴重程度從嚴採取延遲結算、暫停交易、終止合 作等懲戒措施,並及時報送中國支付清算協會、銀行卡清算機構; 依託中國支付清算協會、銀行卡清算機構的黑名單信息共享機制分享風險商戶信息,禁止拓展已納入黑名單的商戶。
七、規範收單外包服務管理。
各收單機構應嚴格落實《銀行卡收單業務管理辦法》(中國人民銀行公告[2013]第 9 號公布)、《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀 發[2015]199 號),承擔收單環節支付敏感信息安全管理責任。
一是不得將核心業務系統運營、受理終端密鑰管理、特約商戶資 質審核等工作交由外包服務機構辦理。
二是指定專人管理終端密 鑰和相關參數,確保不同的受理終端使用不同的終端主密鑰並定 期更換。
三是通過協議禁止實體和網絡特約商戶、外包服務機構 不得留存支付敏感信息。
四是每年應對外包服務機構、實體和網 絡特約商戶至少開展一次有一定獨立性的安全評估,並形成報告 存檔備查,對於未遵守相關協議的,應立即終斷合作。五是及時 將出現違法違規行為的外包服務機構信息報送中國支付清算協 會,納入黑名單管理,並終止與其合作。
八、加強客戶銀行卡支付安全教育工作。
加強銀行卡、互聯 網支付等交易密碼的保護管理和客戶安全教育,培養客戶風險防 範意識和安全支付習慣。提高商戶的合規合法經營意識以及安全 防範意識,針對犯罪分子典型作案手法開展商戶安全教育工作, 通過網站、微信、視頻、郵件等不同渠道及時向商戶普及犯罪分 子最新作案手法,提高商戶風險防範水平。
九、行業各參與者應樹立可持續發展的科學經營觀,堅持依 法合規經營,努力提高從業人員道德和業務素質,強化對從業人員的職業道德素養教育,規範經營行為,自覺維護市場秩序,樹立良好的支付行業形象。
十、行業各參與者應自覺接受社會監督。
嚴格遵守《中國支 付清算協會銀行卡行業自律公約》、《銀行卡業務風險控制與安全 管理指引》以及《銀行卡收單外包業務自律規範》,增強自律意 識,堅持自我約束,設置爭議及投訴解決渠道,接受社會監督, 妥善處理客戶敏感信息保護工作中出現的爭議與糾紛,保護相關 方的合法權益;積極接入中國支付清算協會風險信息共享系統, 利用會員單位風險信息共享機制提升風險防範效率;發現收單機 構、商戶通過改裝 POS 機盜取銀行卡信息,從事欺詐等不法行為, 按中國支付清算協會發布的《支付結算違法違規行為舉報獎勵辦 法實施細則》相關規定進行舉報。
讓我們攜起手來,以強化自身內控機制建設為起點,利用先進技術手段實現敏感信息隔離保護,提升合作商戶風險防範能力,提高客戶自我信息防護意識,妥善處理業務爭議糾紛,加強 行業聯防聯控能力,努力消除信息洩露隱患,營造安全可靠的銀行卡支付環境,樹立良好的行業形象,促進銀行卡產業持續健康 發展。
1