둘째, 은행 시스템 유지 관리, 일반적으로 문자 메시지 프롬프트 또는 공고가 있습니다. 은행카드는 상업은행, 우편저축기관 등 금융기관이 사회에 발행하는 신용지불수단으로 소비신용, 이체결제, 현금액세스 등 전체 또는 일부 기능을 갖추고 있다. 은행 카드에는 신용 카드와 직불 카드가 포함됩니다.
확장 데이터
첫째, 은행 카드 정보 보안 관리 강화
(1) 민감한 지불 정보의 내부 통제 관리를 강화합니다. 각 상업은행, 지급기관 (은행카드 청구업무와 온라인 지불업무에 종사하는 비은행 지급기관), 은행카드 청산기관은' 중국인민은행 은행업 금융기관 개인금융정보 보호 업무 통지' (은발 [2011]) 를 엄격히 집행해야 한다
첫째, 민감한 지불 정보 (은행 카드 트랙 또는 칩 정보, 카드 인증 코드, 카드 유효 기간, 은행 카드 암호, 온라인 지불 거래 암호 등) 를 보관하는 것은 엄격히 금지됩니다. ) 기관 소유가 아닙니다. 확실히 보존해야 하는 것은 고객 본인과 계좌 관리 기관의 허가를 받아야 한다.
둘째, 관련 일자리와 인력의 관리 책임을 명확히 하고, 호환되지 않는 일자리와 정보 조작 권한을 엄격하게 분리하고, 정보 운영 프로세스와 규범을 개발하고, 내부 감독과 책임 메커니즘을 강화하고, 직원들이 민감한 정보를 불법적으로 저장, 도용, 유출, 거래 및 지불하는 것을 금지하는 것이다.
셋째, 민감한 정보 보안 내부 감사를 1 년에 두 번 이상 실시하고 조사를 위해 보고서 아카이브를 형성합니다. 민감한 정보 유출이나 내부 인원이 시스템 허점 위반으로 운영되는 것을 발견하면 즉시 효과적인 조치를 취해 위험 확대를 방지하고 중국 인민은행에 보고해야 합니다. 위법범죄 혐의를 받은 사람은 제때에 공안기관에 보고해야 한다.
(2) 민감한 정보 지불의 보안을 강화한다. 각 상업 은행 및 지불 기관은 클라이언트 소프트웨어와 서버 간, 서버와 서버 간 채널 암호화 및 양방향 인증을 수행하고 중요한 정보의 키 필드를 해시 또는 암호화하여 정보 전송, 저장 및 사용을 안전하게 해야 합니다. 인터넷 지불 업무를 전개할 때, 지불 업무 자격이 없는 협력기관을 위임하거나 허가하여 지불에 민감한 정보를 수집할 수 없습니다. 정보 입력 보안 및 즉각적인 데이터 암호화 기능을 갖춘 보안 제어 조치를 취하고 협력기관이 지불에 민감한 정보를 획득하고 보유하지 못하도록 효과적인 조치를 취해야 합니다.
(3) 지불 마킹 기술의 완전한 적용. 201612/KLOC-0
(4) 거래 암호 보호 메커니즘 강화. 각 상업은행, 지급기관은 은행 카드, 온라인 지불 등 거래암호의 보호 관리 및 고객 보안 교육을 강화하고, 초기 거래암호의 사용을 엄격히 제한하고, 고객에게 적시에 수정하도록 요구하고, 거래암호의 복잡성에 대한 시스템 검증 메커니즘을 수립하여 거래비밀번호가 너무 간단하지 않도록 해야 한다 (예: "11/kloc")
(5) 청구처 아웃소싱 서비스를 엄격하게 규제합니다. 각 상업은행과 지급기관은' 은행카드 청구관리방법' (중국인민은행 공고 [20 13] 제 9 호) 과' 중국인인민은행 은행 은행 카드 영수증 아웃소싱 관리 강화에 관한 통지' (은발 [2065 438+05]/
첫째, 핵심 비즈니스 시스템 운영, 터미널 키 관리 수락, 머천트 자격 심사 등은 아웃소싱 서비스 기관에 넘겨서는 안 됩니다.
둘째, 터미널 키 및 관련 매개변수를 관리하는 사람을 지정하여 서로 다른 수신 터미널에서 서로 다른 터미널 마스터 키를 사용하고 정기적으로 교체하도록 합니다.
셋째, 실체기업과 인터넷 업체, 아웃소싱 서비스 기관이 계약을 통해 민감한 정보를 유보하는 것을 금지한다. 넷째, 매년 최소한 아웃소싱 서비스 기관, 실체, 인터넷 업체에 대해 독립적인 보안 평가를 실시하고 보고를 준비한다. 관련 협의를 준수하지 않는 사람들은 즉시 협력을 중단해야 한다.
(6) 지불 혁신 및 규범 적 관리를 강화한다. 주요 지불 기술 응용 프로그램 및 비즈니스 혁신의 경우 각 상업 은행 및 지불 기관은 프로젝트가 온라인화되기 최소 30 일 전에 중국 인민은행에 등록하고 프로젝트 구현 방안, 외부 안전 평가 보고서 등의 서면 자료를 제출해야 합니다. 업무 발전 과정에서 위험의 동적 모니터링, 평가 및 예방 조치를 잘 해야 한다.
둘째, 은행 카드 인터넷 거래 위험 예방 및 통제 강화.
(1) 클라이언트 소프트웨어의 보안 관리를 강화합니다. 첫째, 상업 은행과 지불 기관은 트로이 바이러스 예방, 정보 암호화 보호, 신뢰할 수 있는 운영 환경 등에서 클라이언트 소프트웨어의 보안 예방 및 통제 능력을 높여야 합니다. 클라이언트 소프트웨어는 모바일 결제 환경의 보안 상태를 모니터링하고 트랜잭션 제한 및 거부와 같은 위험 제어 정책의 근거로 백그라운드 시스템에 피드백을 제공할 수 있어야 합니다. 두 번째는 클라이언트 소프트웨어 및 공식 홈페이지를 위한 신뢰할 수 있는 로고나 빠른 포털을 설치하여 다양한 채널을 통해 고객에게 정확한 식별 및 액세스 방법을 알려주는 것입니다. 셋째, 1 년에 한 번 이상 외부 보안 평가를 실시하고 기술 표준을 준수할 수 있도록 보고서 아카이브를 만들어야 합니다.
(b) 개업 신분 인증의 안전관리를 강화하다. 20 1 6165438+10 월1일 이후, 상업 은행은 은행 카드 및 지불 기관, 상업 기관을 기준으로 관련 업무를 설정할 때 엄격해야 한다 인증은 금융 전자 인증 표준 (JR/T 0 1 18) 을 준수하는 디지털 인증서, 적어도 조합 거래 암호 등의 인증 요소 중 하나를 사용해야 합니다. 두 번째는' 동적 암호 응용 기술 사양 >: (GM/T 002 1) 을 준수하는 코드를 사용하여 거래 암호와 같은 인증 요소를 하나 이상 결합하는 것입니다. 셋째, 동적 인증 코드 및 고객 행동에 기반한 동적 도전 응답과 같은 최소 두 가지 동적 인증 요소를 결합하여 음성, 문자 메시지 및 데이터 (예: 휴대폰 은행, 인스턴트 메시징 및 e-메일) 와 같은 최소 두 가지 통신 채널을 사용합니다.
(3) 지불 거래의 안전 강도를 향상시킵니다. 첫째, 각 상업은행은' 개인은행 계좌 서비스 개선에 관한 중국인민은행 고시' (은발 [20 15]392 호) 둘째, 지급기관 등 파트너가 상업은행에 지급지침을 보내고 고객은행 카드 자금을 공제할 때 각 상업은행, 지급기관은' 비은행 지급기관 네트워크지급업무관리방법' (중국인민은행 공고 [20 15] 제 43 호) 제 10 조를 엄격히 집행해야 한다
(4) 인터넷 거래의 위험 모니터링을 강화한다. 각 상업은행과 지급기관은 빅데이터 분석, 사용자 행동 모델링 등의 수단을 활용해 거래 위험 모니터링 모델과 시스템을 구축하고, 이상 거래를 적시에 경고하고, 조사 검증, 위험 경보, 결제 지연 등의 조치를 취해야 한다. 배치 또는 고주파 로그인과 같은 비정상적인 동작의 경우 IP 주소, 터미널 장치 식별 정보 및 브라우저 캐시 정보를 사용하여 종합적으로 식별하고 추가 검증 및 요청 거부 등의 조치를 취해야 합니다.
(e) 지불 위험 연계 예방 및 통제를 강화한다. 각 상업은행, 지급기관은' 중국인민은행, 공업과 정보화부, 공안부, 공상총국' 을 성실히 시행해야 한다. 통신네트워크의 신형 위법범죄 관련 계좌 긴급 정지 지급 및 빠른 동결 메커니즘에 대한 통지 (은발 [2065 438+06]86 호), 필요에 따라 통신네트워크에 접근하는 새로운 위법범죄 위험사건 관리 플랫폼, 강화
셋째, 가짜 마그네틱 카드 사기 거래 위험을 효과적으로 예방한다.
(a) 금융 IC 카드를 사용하여 마그네틱 스트라이프 거래 위험을 줄입니다. 첫째, 2006 년 9 월 1 일부터 상업은행이 새로 발행한 인민폐 결제계좌를 기반으로 하는 카드는' 중국 금융집적회로 (IC) 카드 사양' (JR/T 0025) 을 준수하는 금융IC 카드여야 하며 국가공인감독위원회 부서를 통해 인정한 기관안전평가를 채택해야 한다. 두 번째는 상업은행이 거래 채널, 카드 카드 빈도, 단일 거래 금액, 일일 누적 거래 금액, 거래 지역 등에서 마그네틱 거래의 위험 통제를 더욱 강화해야 한다는 것이다. 의심스러운 거래의 경우 문자 메시지, 전화 및 클라이언트 소프트웨어를 통해 거래 확인 및 위험 힌트를 수행해야 합니다. 20 17 년 5 월 1 일부터 칩 스트라이프 복합카드 스트라이프 거래가 전면 폐쇄됐다. 셋째, 상업은행은 카드 교환번호, 실시간 카드 발급 등의 조치를 취해 금융 IC 카드가 기존 마그네틱 카드를 대체하는 진도를 가속화해야 한다.
(2) 터미널 접수의 안전 관리를 강화한다. 각 상업은행과 지불기관은 제품 선택, 접수, 현장 검사 등에서 안전관리를 강화해야 한다. , 부두의 기술 표준이 규정을 준수하는지 확인합니다. 은행 카드 청산 기관은 회원 기관과 네트워크 액세스 터미널 서명 및 고유 ID 와 같은 기술적 조치를 취하여 터미널 네트워크 액세스 관리를 강화하고 불합격 및 불법 개조를 금지하는 터미널 사용 네트워크를 금지해야 합니다. 재고 터미널은 정기적인 검사 메커니즘을 설정하고, 터미널 샘플링 검사를 계속하여, 배합된 터미널과 합격한 샘플의 일관성을 확보하고, 개조된 터미널의 사용을 엄격히 통제해야 한다.
(3) 머천트 실명제 관리를 강화하다. 은행 카드 청산 기관은 회원 기관과 건전한 실체 및 인터넷 특약 기업 전자 정보 관리 시스템을 구축하고 실명 등록 제도의 관련 규정을 엄격히 집행해야 하며, 특약 및 법정 대표인 또는 책임자의 신분 정보를 완전하고 정확하게 기록해야 합니다. 동일한 특약 업체가 서로 다른 상업 은행 및 지불 기관에 등록한 정보를 연관적으로 관리해야 한다. 이미지 수집, 지역 위치 확인 등의 기술을 최대한 활용하고, 여러 채널을 통한 교차 검증 등 효과적인 수단을 취하여 머천트 자격 감사 및 정보 업데이트 메커니즘을 보완하고 머천트 정보 신뢰성 관리를 지속적으로 강화합니다.
(d) 불법 상인 블랙리스트 관리를 강화하다. 첫째, 각 상업은행과 지급기관은 건전한 위법주체와 인터넷 특약 업체 블랙리스트 관리 제도를 세우고 블랙리스트 포함 및 제거 조건, 처벌 조치를 명확히 해야 한다. 특약 상인에 대한 모니터링과 검사를 강화하다. 지불민감한 정보 유출, 단말기 불법 개조, 위카드 사기 참여 등 위반 행위에 대해서는 블랙리스트 관리에 포함시켜야 한다. 줄거리의 경중함에 따라 결산 지연, 거래 정지, 협력 해지 등의 징계 조치를 엄격히 취하고 중국 지불 청산 협회와 은행 카드 청산 기관을 제때에 통보한다. 둘째, 중국지불청산협회, 은행카드 청산기관은 상업은행, 지급기관과 건전한 블랙리스트 정보 공유 및 조회 메커니즘을 구축해 합동징계력을 강화하고 블랙리스트에 오른 특약업자의 확대를 금지해야 한다.
(5) 위카드 사기 위험 책임 이전 제도를 실시하다. 은행 카드 청산 기관은 회원 기관과 함께 은행 카드 접수 과정에서 위조 카드 사기의 위험 책임을 더욱 이행하고 칩 이전 당사자의 권익을 보호해야 한다. 건전한 불만 처리 메커니즘을 수립하고, 사기 위험 사건을 적절히 처리하며, 고객의 합법적인 권익을 효과적으로 보호합니다.
넷째, 규정을 엄격히 집행하고 감독과 처벌을 강화한다.
(1) 국가 네트워크 보안 및 표준을 엄격하게 시행하고 관련 규정을 준수합니다. 각 상업 은행, 지불 기관 및 은행 카드 청산 기관은 국가 네트워크 보안 및 정보 기술 보안 관련 규정을 엄격하게 시행하고 국가 암호 관리 기관이 인정한 상용 암호 제품을 사용해야 합니다. 첫째, 클라이언트 소프트웨어, 수신 터미널, 은행 카드, 디지털 인증서, 동적 토큰 장치 등이 있습니다. 관련 사항은 국가 및 금융업계 관련 기준에 부합하고 국가공인감독위원회가 인정한 기관안전평가를 통과해야 한다. 둘째, 비즈니스 시스템의 구축 및 운영은 국가 정보 보안 수준 보호의 관련 요구 사항을 충족해야 합니다. 셋째, 국가 네트워크 보안 관련 요구 사항에 따라 비즈니스 시스템과 백업 시스템을 국내에 배치합니다.
(2) 감독 및 검사 메커니즘을 수립하고 개선한다. 인민은행 지점은 매우 중시하고, 꾸준하고, 은행카드 위험관리 지도부를 설립하고, 일상적인 감독검사 메커니즘을 세우고, 업무시스템 안전생산, 접수터미널 (온라인 지불인터페이스 포함) 안전, 지불민감한 정보보호 등을 법 집행검사에 포함시켜 지도조정, 정책홍보, 법집행검사, 상황통보 등을 총괄적으로 조율해야 한다.
(3) 위반에 대한 처벌을 강화한다. 인민은행 지점은 은행 카드 접수 단말기 개조, 지급 거래 검증 강도가 낮고, 시스템 보안 취약점, 사이버 공격 등으로 인한 지불 서비스 중단, 지불 기밀 정보 유출 및 자금 손실을 엄격히 조사해야 합니다. 또한' 은행 카드 청구 관리 방법' 과' 비은행 지불 기관 온라인 지불 업무 관리 방법' 의 관련 규정에 따라 엄중히 처벌해야 한다.
줄거리가 심각하여' 중화인민공화국 중국인민은행법' 제 46 조에 따라 관련 기관, 이사, 고위 경영진 및 기타 직접책임자를 처벌한다. 범죄 혐의가 있는 사람은 제때에 공안기관에 신고한다. 사정이 심각한 지불 기관의 경우' 비금융기관 지불 서비스 관리 방법' (중국인민은행령 [20 10] 제 2 호) 과' 비은행 지불 기관 분류 등급 관리 방법' (은발 [201) 에 따라
(d) 업계의 자율을 강화하다. 중국지불청산협회는 본 통지 요구 사항과 관련 규정에 따라 은행카드 위험관리업계의 자율규범을 제정하고, 자율검사와 위반제한메커니즘을 세우고, 20 16 년 9 월 30 일까지 중국인인민은행에 신고한 후 조직실시를 촉구하고 회원기관에 자율을 강화하고 각종 규정을 엄격히 집행할 것을 촉구해야 한다.
참고 자료:
은행 카드 리스크 관리 강화에 관한 중국 인민 은행 통지