中國人民銀行上海總部，各分行
、營業管理部
、各省會（首府）城市中心支行，各副省級城市中心支行；各國有商業銀行、股份製商業銀行，中國郵政儲蓄銀行；中國銀聯股份有限公司，中國支付清算協會：

 

　　隨sui著zhe移yi動dong通tong信xin技ji術shu和he互hu聯lian網wang金jin融rong的de快kuai速su發fa展zhan

，銀yin行xing卡ka使shi用yong安an全quan麵mian臨lin新xin的de挑tiao戰zhan。為wei進jin一yi步bu加jia強qiang銀yin行xing卡ka信xin息xi的de安an全quan管guan理li，提ti升sheng支zhi付fu風feng險xian防fang控kong能neng力li，現xian將jiang有you關guan事shi項xiang通tong知zhi如ru下xia：

　　

　　一、強化銀行卡信息的安全管理

　　

　　（一）強化支付敏感信息內控管理。各商業銀行、支付機構（從事銀行卡收單業務、網絡支付業務的非銀行支付機構，下同）、銀行卡清算機構應嚴格落實《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》(銀發〔2011〕17號），健全支付敏感信息安全內控管理製度，並將有關情況於2016年9月1日前報告人民銀行。一是嚴禁留存非本機構的支付敏感信息（包括銀行卡磁道或芯片信息、卡片驗證碼、卡片有效期
、銀行卡密碼、網絡支付交易密碼等）
，確que有you必bi要yao留liu存cun的de應ying取qu得de客ke戶hu本ben人ren及ji賬zhang戶hu管guan理li機ji構gou的de授shou權quan。二er是shi明ming確que相xiang關guan崗gang位wei和he人ren員yuan的de管guan理li責ze任ren，嚴yan格ge分fen離li不bu相xiang容rong崗gang位wei並bing控kong製zhi信xin息xi操cao作zuo權quan限xian，製zhi定ding信xin息xi操cao作zuo流liu程cheng和he規gui範fan，強qiang化hua內nei部bu監jian督du、責任追究機製，嚴禁從業人員非法存儲、竊取、泄露、買(mai)賣(mai)支(zhi)付(fu)敏(min)感(gan)信(xin)息(xi)。三(san)是(shi)每(mei)年(nian)應(ying)至(zhi)少(shao)開(kai)展(zhan)兩(liang)次(ci)支(zhi)付(fu)敏(min)感(gan)信(xin)息(xi)安(an)全(quan)的(de)內(nei)部(bu)審(shen)計(ji)，並(bing)形(xing)成(cheng)報(bao)告(gao)存(cun)檔(dang)備(bei)查(zha)。發(fa)現(xian)因(yin)係(xi)統(tong)漏(lou)洞(dong)造(zao)成(cheng)支(zhi)付(fu)敏(min)感(gan)信(xin)息(xi)泄(xie)露(lu)或(huo)內(nei)部(bu)人(ren)員(yuan)違(wei)規(gui)行(xing)為(wei)的(de)，應(ying)立(li)即(ji)采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)防(fang)止(zhi)風(feng)險(xian)擴(kuo)大(da)，並(bing)向(xiang)人(ren)民(min)銀(yin)行(xing)報(bao)告(gao)；涉嫌違法犯罪的，應及時報告公安機關。

　　

　　（二）加強支付敏感信息的安全防護。各商業銀行、支付機構應在客戶端軟件與服務器、服務器與服務器之間進行通道加密和雙向認證，對重要信息關鍵字段進行散列或加密存儲，保障信息傳輸、存儲、使用安全。開展網絡支付業務時
，不得委托或授權無支付業務資質的合作機構采集支付敏感信息
，應采用具有信息輸入安全防護
、即時數據加密功能的安全控件
，采取有效措施防止合作機構獲取、留存支付敏感信息。

　　

　　（三）全麵應用支付標記化技術。自2016年12月1日起，各商業銀行
、支付機構應使用支付標記化技術( Tokenization)，對銀行卡卡號、卡片驗證碼
、支付機構支付賬戶等信息進行脫敏處理，並通過設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性
，從源頭控製信息泄露和欺詐交易風險。

　　

　　（四）強化交易密碼保護機製。各商業銀行、支付機構應加強銀行卡、網(wang)絡(luo)支(zhi)付(fu)等(deng)交(jiao)易(yi)密(mi)碼(ma)的(de)保(bao)護(hu)管(guan)理(li)和(he)客(ke)戶(hu)安(an)全(quan)教(jiao)育(yu)

，嚴(yan)格(ge)限(xian)製(zhi)使(shi)用(yong)初(chu)始(shi)交(jiao)易(yi)密(mi)碼(ma)並(bing)提(ti)示(shi)客(ke)戶(hu)及(ji)時(shi)修(xiu)改(gai)，建(jian)立(li)交(jiao)易(yi)密(mi)碼(ma)複(fu)雜(za)度(du)係(xi)統(tong)校(xiao)驗(yan)機(ji)製(zhi)，避(bi)免(mian)交(jiao)易(yi)密(mi)碼(ma)過(guo)於(yu)簡(jian)單(dan)（如“111111”、“123456”等）或與客戶個人信息（如出生日期、證件號碼、手機號碼等）相似度過高。

　　

　　（五）嚴格規範收單外包服務。各商業銀行
、支付機構應嚴格落實《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公布）
、《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀發〔2015〕199號）

，承擔收單環節支付敏感信息安全管理責任。一是不得將核心業務係統運營、受理終端密鑰管理
、特(te)約(yue)商(shang)戶(hu)資(zi)質(zhi)審(shen)核(he)等(deng)工(gong)作(zuo)交(jiao)由(you)外(wai)包(bao)服(fu)務(wu)機(ji)構(gou)辦(ban)理(li)。二(er)是(shi)指(zhi)定(ding)專(zhuan)人(ren)管(guan)理(li)終(zhong)端(duan)密(mi)鑰(yao)和(he)相(xiang)關(guan)參(can)數(shu)，確(que)保(bao)不(bu)同(tong)的(de)受(shou)理(li)終(zhong)端(duan)使(shi)用(yong)不(bu)同(tong)的(de)終(zhong)端(duan)主(zhu)密(mi)鑰(yao)並(bing)定(ding)期(qi)更(geng)換(huan)。三(san)是(shi)通(tong)過(guo)協(xie)議(yi)禁(jin)止(zhi)實(shi)體(ti)和(he)網(wang)絡(luo)特(te)約(yue)商(shang)戶(hu)、外包服務機構留存支付敏感信息。四是每年對外包服務機構、實體和網絡特約商戶至少開展一次有一定獨立性的安全評估，並形成報告存檔備查，對於未遵守相關協議的，應立即中斷合作。

　　

　　（六）加強支付創新規範管理。對於重要支付技術應用、業務創新，各商業銀行
、支付機構應至少於項目上線前30日向人民銀行備案，提交項目實施方案、外部安全評估報告等書麵材料。業務開展過程中，應做好風險的動態監測

、評估和防控工作。

　　

　　二
、加大銀行卡互聯網交易風險防控力度

　　

　　（一）強化客戶端軟件安全管理。一是各商業銀行、支付機構應從木馬病毒防範
、信息加密保護
、運行環境可信等方麵提升客戶端軟件安全防控能力。客戶端軟件應能夠監測並向後台係統反饋手機支付環境安全狀況，作為限製
、拒(ju)絕(jue)交(jiao)易(yi)等(deng)風(feng)控(kong)策(ce)略(lve)的(de)依(yi)據(ju)。二(er)是(shi)對(dui)客(ke)戶(hu)端(duan)軟(ruan)件(jian)及(ji)官(guan)方(fang)網(wang)站(zhan)設(she)置(zhi)可(ke)信(xin)標(biao)識(shi)或(huo)快(kuai)捷(jie)入(ru)口(kou)，並(bing)通(tong)過(guo)多(duo)種(zhong)渠(qu)道(dao)告(gao)知(zhi)客(ke)戶(hu)正(zheng)確(que)的(de)識(shi)別(bie)及(ji)訪(fang)問(wen)方(fang)法(fa)。三(san)是(shi)每(mei)年(nian)必(bi)須(xu)至(zhi)少(shao)開(kai)展(zhan)一(yi)次(ci)外(wai)部(bu)安(an)全(quan)評(ping)估(gu)
，形(xing)成(cheng)報(bao)告(gao)存(cun)檔(dang)備(bei)查(zha)，確(que)保(bao)技(ji)術(shu)標(biao)準(zhun)符(fu)合(he)性(xing)。

　　

　　（二）加強業務開通身份認證安全管理。自2016年11月1日起

，各商業銀行基於銀行卡與支付機構
、商業機構建立關聯業務時
，應嚴格采用多因素身份認證方式
，直接鑒別客戶身份
，並取得客戶授權。身份鑒別應采取以下組合方式之一：一是采用符合《金融電子認證規範》(JR/T 0118)的數字證書，並組合交易密碼等至少一種認證因素。二是采用符合《動態口令密碼應用技術規範>(GM/T 0021)的動態令牌設備，並組合交易密碼等至少一種認證因素。三是至少組合兩種動態認證因素（如動態驗證碼、基於客戶行為的動態挑戰應答等），並采用語音、短信、數據（如手機銀行、即時通訊
、郵件）等至少兩種不同通信渠道。

　　

　　（三）提升支付交易安全強度。一是各商業銀行應依照《中國人民銀行關於改進個人銀行賬戶服務加強賬戶管理的通知》（銀發〔2015〕392號）

，建立健全個人銀行結算賬戶分類管理機製，引導客戶使用II類
、III類銀行賬戶辦理小額網絡支付業務
，有效防控各類銀行賬戶特別是I類賬戶的信息泄露風險。二是在支付機構等合作方向商業銀行發送支付指令
、扣劃客戶銀行卡資金時，各商業銀行
、支付機構應嚴格落實《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公布）第十條規定，采取交易驗證強度與交易額度相匹配的技術措施，提高交易的安全性。

　　

　　（四）加強互聯網交易風險監控。各商業銀行
、支付機構應利用大數據分析、用戶行為建模等手段，建立交易風險監控模型和係統，及時預警異常交易，並采取調查核實
、風險提示

、延遲結算等措施。針對批量或高頻登錄等異常行為，應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進行綜合識別
，及時采取附加驗證、拒絕請求等手段。

　　

　　（五）加大支付風險聯動防控力度。各商業銀行、支付機構應認真落實《中國人民銀行工業和信息化部公安部工商總局關於建立電信網絡新型違法犯罪涉案賬戶緊急止付和快速凍結機製的通知》（銀發〔2016〕86號)，按照要求接入電信網絡新型違法犯罪交易風險事件管理平台

，加強涉案賬戶的止付、凍結管理。

　　

　　三
、切實防範磁條卡偽卡欺詐交易風險

　　

　　（一）使用金融IC卡降低磁條交易風險。一是自2016年9月1日起
，各商業銀行新發行的基於人民幣結算賬戶的銀行卡，應為符合《中國金融集成電路(IC)卡規範》(JR/T 0025)的金融IC卡
，並采用通過國家認證認可管理部門認可機構安全評估的芯片。二是各商業銀行應從交易渠道、刷卡頻次、單筆交易金額、日累計交易金額
、交易地區等方麵，進一步加強磁條交易風險控製。對於可疑交易應通過短信、電話、客戶端軟件等進行交易確認和風險提示。自2017年5月1日起，全麵關閉芯片磁條複合卡的磁條交易。三是各商業銀行應采取換卡不換號、實時發卡等措施加快存量磁條卡更換為金融IC卡的進度。

　　

　　（二）加強受理終端安全管理。各商業銀行、支付機構應從受理終端產品選型

、驗收、現場檢查等環節加強安全管理
，確保受理終端的技術標準符合性。銀行卡清算機構應會同成員機構采取入網終端簽名、唯一性標識等技術措施
，加強受理終端入網管理，嚴禁不符合標準、非fei法fa改gai裝zhuang的de受shou理li終zhong端duan入ru網wang使shi用yong。對dui於yu存cun量liang終zhong端duan應ying建jian立li定ding期qi檢jian查zha機ji製zhi
，持chi續xu開kai展zhan終zhong端duan抽chou檢jian工gong作zuo
，確que保bao布bu放fang的de終zhong端duan與yu合he格ge樣yang品pin的de一yi致zhi性xing，嚴yan控kong改gai裝zhuang終zhong端duan的de使shi用yong。

　　

　　（三）加jia大da特te約yue商shang戶hu實shi名ming製zhi管guan理li力li度du。銀yin行xing卡ka清qing算suan機ji構gou應ying會hui同tong成cheng員yuan機ji構gou建jian立li健jian全quan實shi體ti和he網wang絡luo特te約yue商shang戶hu信xin息xi電dian子zi化hua管guan理li體ti係xi，嚴yan格ge落luo實shi特te約yue商shang戶hu實shi名ming製zhi相xiang關guan規gui定ding
，完wan整zheng、準zhun確que記ji錄lu特te約yue商shang戶hu及ji其qi法fa定ding代dai表biao人ren或huo主zhu要yao負fu責ze人ren的de身shen份fen信xin息xi，並bing對dui同tong一yi特te約yue商shang戶hu在zai不bu同tong商shang業ye銀yin行xing和he支zhi付fu機ji構gou注zhu冊ce的de信xin息xi進jin行xing關guan聯lian管guan理li。充chong分fen利li用yong影ying像xiang采cai集ji、區域定位等技術
，采取多渠道交叉驗證等有效手段，健全特約商戶資質審核和信息更新機製
，持續加強特約商戶信息真實性管理。

　　

　　（四）加強違規特約商戶黑名單管理。一是各商業銀行、支付機構應建立健全違規實體和網絡特約商戶黑名單管理製度，明確黑名單納入與移出條件、懲罰措施等。加強對特約商戶的監測
、巡檢
，對於存在支付敏感信息泄露、非法改裝終端
、參與偽卡欺詐等違規行為的，應納入黑名單管理
，視嚴重程度從嚴采取延遲結算
、暫停交易
、終止合作等懲戒措施
，並及時通知中國支付清算協會
、銀行卡清算機構。二是中國支付清算協會、銀行卡清算機構應會同商業銀行
、支付機構建立健全黑名單信息共享和查詢機製
，加大聯合懲戒力度
，禁止拓展已納入黑名單的特約商戶。

　　

　　（五）落(luo)實(shi)偽(wei)卡(ka)欺(qi)詐(zha)風(feng)險(xian)責(ze)任(ren)轉(zhuan)移(yi)規(gui)則(ze)。銀(yin)行(xing)卡(ka)清(qing)算(suan)機(ji)構(gou)應(ying)會(hui)同(tong)成(cheng)員(yuan)機(ji)構(gou)進(jin)一(yi)步(bu)落(luo)實(shi)銀(yin)行(xing)卡(ka)受(shou)理(li)過(guo)程(cheng)中(zhong)的(de)偽(wei)卡(ka)欺(qi)詐(zha)風(feng)險(xian)責(ze)任(ren)
，保(bao)護(hu)芯(xin)片(pian)化(hua)遷(qian)移(yi)方(fang)的(de)權(quan)益(yi)。建(jian)立(li)完(wan)善(shan)的(de)投(tou)訴(su)處(chu)理(li)機(ji)製(zhi)


，妥(tuo)善(shan)處(chu)理(li)欺(qi)詐(zha)風(feng)險(xian)事(shi)件(jian)
，切(qie)實(shi)保(bao)障(zhang)客(ke)戶(hu)的(de)合(he)法(fa)權(quan)益(yi)。

　　

　　四

、嚴格落實各項規定，加大督查處罰力度

　　

　　（一）嚴格落實國家網絡安全和標準符合相關規定。各商業銀行
、支付機構
、銀yin行xing卡ka清qing算suan機ji構gou要yao嚴yan格ge落luo實shi國guo家jia網wang絡luo安an全quan和he信xin息xi技ji術shu安an全quan有you關guan規gui定ding，使shi用yong經jing國guo家jia密mi碼ma管guan理li機ji構gou認ren可ke的de商shang用yong密mi碼ma產chan品pin。一yi是shi涉she及ji的de客ke戶hu端duan軟ruan件jian、受理終端、銀行卡、數字證書、dongtailingpaishebeidengyingfuheguojiahejinrongxingyexiangguanbiaozhun，bingtongguoguojiarenzhengrenkeguanlibumenrenkejigoudeanquanpinggu。ershiyewuxitongjiansheheyunyingyingfuheguojiaxinxianquandengjibaohudexiangguanyaoqiu。sanshiyewuxitongjibeifenxitongyinganzhaoguojiawangluoanquanxiangguanyaoqiubushuzaiwoguojingnei。

　　

　　（二）建立健全監督檢查機製。人民銀行分支機構要高度重視、長抓不懈
，成立銀行卡風險管理領導小組
，建立日常監督檢查機製

，將支付業務係統安全生產
、受理終端（含網絡支付接口）安全
、支付敏感信息保護等納入執法檢查，統籌做好指導協調、政策宣傳
、執法檢查、情況通報等工作。

　　

　　（三）加大違規行為處罰力度。人民銀行分支機構要嚴查因銀行卡受理終端改裝

、支付交易驗證強度低、係統存在安全漏洞及受到網絡攻擊等造成的支付服務中斷、支付敏感信息泄露、資金損失事件，並依照《銀行卡收單業務管理辦法》、《非銀行支付機構網絡支付業務管理辦法》等有關規定從嚴處罰。對於情節嚴重的
，依照《中華人民共和國中國人民銀行法》第四十六條規定，對相關機構及負有直接責任的董事、高級管理人員和其他直接責任人員進行處罰；涉嫌犯罪的，及時報告公安機關。對於情節嚴重的支付機構，還應按照《非金融機構支付服務管理辦法》（中國人民銀行令〔2010〕第2號發布）、《非銀行支付機構分類評級管理辦法》(銀發〔2016〕106號文印發）規定調低分類評級直至注銷《支付業務許可證》。

　　

　　（四）加強行業自律規範。中國支付清算協會要按照本通知要求和相關規定，製定銀行卡風險管理行業自律規範，建立自律檢查、違規約束機製，並於2016年9月30日前向人民銀行報備後組織實施，督促會員單位加強自律，嚴格落實各項規定。

　　

　　對於本通知規定的報告、報備事項，全國性商業銀行
、中國支付清算協會
、銀行卡清算機構應報送人民銀行總行
，其他銀行業金融機構、支付機構應報送法人所在地人民銀行副省級城市中心支行以上分支機構。

　　

　　請人民銀行副省級城市中心支行以上分支機構將本通知轉發至轄區內地方性銀行業金融機構和支付機構
，加強組織落實。