|
一、强化银行卡信息安全管理
1、强化支付敏感信息内控管理。
各商业银行、支付机构必须健全支付敏感信息内控管理,并需在2016年9月1日前向人民银行报告。内容包括:①严禁留存非本机构的支付敏感信息;②明确相关岗位和人员的管理责任,严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息;③商业银行、支付机构每年至少开展两次支付敏感信息安全的内部审计。
2、各商业银行、支付机构必须加强支付敏感信息的安全防护。
各机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证。严禁委托或授权无支付业务资质的合作机构采集支付敏感信息,同时应采取措施防止合作机构获取、留存支付敏感信息。
例如央行叫停美团支付就是本条要求的体现。
3、全面应用支付标记化技术。
2016年12月1日起,各商业银行、支付机构都应使用支付标记化技术(Tokenization)对卡号、验证码、支付机构账户等信息进行脱敏处理。
这意味着一众第三方支付企业也要使用Token技术进行交易数据处理。
4、强化交易密码保护机制。
各商业银行、支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育。建立交易密码复杂度系统教研机制,避免交易密码过于简单。
简单来说就是严格限制“111111”“123456”等密码出现。
5、严格规范收单外包服务。
各商业银行、支付机构必须严格落实收单业务相关规定,承担起收单环节的安全管理责任。内容包括:①不得将核心业务系统运营、终端秘钥管理、特约商户资质审核等关键工作交由外包机构办理;②指定专人管理终端秘钥和相关参数,并定期更换主秘钥;③通过协议禁止特约商户留存支付敏感信息;④每年至少对外包机构开展一次安全评估。
6、加强支付创新规范管理。
对于重要的支付技术应用、业务创新,商业银行和支付机构必须至少于项目上线前30日向人民银行备案。
也就是说再有什么关于“钱”的创新,例如微信红包之类的项目要上线,必须提前一个月告诉央行。
二、加大银行卡互联网交易风险防控力度
1、强化APP软件安全管理。
各商业银行、支付机构应从木马防范、信息加密、运行环境可信等方面提升客户端软件安全安全防控能力。这对于各个软件加密平台来说是个好消息。
2、加强业务开通身份认证安全管理。
2016年11月1日起,各商业银行与支付机构、商业机构建立关联业务时,应采用多因素身份认证方式。至少组合两种动态认证因素(动态验证码、挑战应答等),并采用语音、短信、数据等至少两种不同的通信渠道进行。
3、提升支付交易安全强度。
各商业银行应依照央行个人银行账户分类(I类II类III类)的办法,建立健全银行结算账户分类管理机制。
4、加强互联网交易风险监控。
各商业银行、支付机构应该利用大数据分析、用户行为建模等手段建立风控模型,做到及时预警异常交易。
5、加大支付风险联动防控力度。
各商业银行、支付机构应落实与央行、工信部、公安部、工商总局等相关部门联系,共同联动防控诈骗犯罪交易。
三、切实防范磁条卡伪卡欺诈交易风险(金融IC卡)
四、严格落实各项规定,加大督查处罚力度(略) | 
发表于 2016-7-8 16:06
置顶卡
沉默卡
变色卡
抢沙发
千斤顶