当前位置: 首页 > 国际经贸摩擦应对 > 相关政策法规及规则惯例 > 正文

中国人民银行关于进一步加强银行卡风险管理的通知(2)

 发布日期:2017-08-23 10:28:08  文章来源:  浏览次数:
(二)加强支付敏感信息的安全防护。各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输、存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采取具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
(三)全面应用支付标记化技术,自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
(四)强化交易密码保护机制。各商业银行、支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育,严格限制使用初始交易密码并提示客户及时修改,建立建议密码复杂度系统校验机制,避免交易密码过于简单(如“111111”、“123456”等)或与客户个人信息(如出生日期、证件号码、手机号码等)相似度过高。
(五)严格规范收单外包服务。各商业银行、支付机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015]199号),承担收单环节支付敏感信息安全管理责任。一是不得将核心业务系统运营、受理终端秘钥管理、特约商户资质审核等工作交由外包服务机构办理。二是指定专人管理终端秘钥和相关参数,确保不同的受理终端使用不同的终端主秘钥并定期更换。三是通过协议禁止实体和网络特约商户、外包服务机构留存支付敏感信息。四是每年对外包服务机构、实体和网络特约商户至少开支一次有一定独立性的安全评估,并形成报告存档备查,对于未遵守相关协议的,应立即终端合作。