账户信息安全(培训版)090929.ppt

* * * * * * * * * * 讲师姓名：丁一鸣 中国银联 上海分公司 联系电话 * * 谢 谢！ * * * * * * * * * * * * * * * * * * * * * * * 如何按照罚则标准对责任方进行调查处理的工作流程 三、账户信息安全管理制度体系介绍 成立事件调查组 事件调查 责任及损失范围界定 申报损失 责任承担 * 银联卡账户信息安全事件调查及处理操作流程 ⑤ 信息泄漏方 工作小组 对事件进行调查 向调查组提交 事件相关材料 撰写调查报告， 提交泄漏方反馈确认 责任及损失范围界定 是否有异议 审核补充材料， 决定是否修改调查报告 无异议 有异议 决定是否实地调查 风管委办公室 成立事件调查工作小组 形成并反馈最终调查报告 ④ ⑤ ⑥ ② ③ ⑥ 三、账户信息安全管理制度体系介绍 事件调查及处理流程－－事件调查 * 工作小组 风险管理委员会 审议《工作建议》 申报损失 投票表决 将《工作建议》 通报成员机构 未通过 通过 根据《调查报告》 形成《工作建议》 提交风管委审议 重新核定 损失补偿范围 ③ ① ② ③ ④ 三、账户信息安全管理制度体系介绍 * 事件调查及处理流程－－责任及损失范围界定 事件调查及处理流程－－损失申报 成员机构 工作小组 接收申报材料 接收《工作建议》 责任承担 申报换卡成本补偿 及损失赔偿 审核申报材料 审核未通过 审核通过 ① ② ③ ④ ④ 三、账户信息安全管理制度体系介绍 * 工作小组 中国银联 上海信息中心 汇总申报材料 提交《处理意见》 实现资金划转 提交清算 ① ② ③ 报损机构 接收费用明细 编制费用明细 相关报表 事件责任方 ② 三、账户信息安全管理制度体系介绍 事件调查及处理流程－－责任承担 * 银联卡收单机构账户信息安全管理标准 基于《规则》总体框架，参考国际银行卡支付产业账户信息安全的相关标准，并结合国内实际情况，对收单机构的账户信息安全管理提出了更为具体和细致的要求 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 人员及组织管理 账户信息与交易数据生命周期管理 系统及网络安全管理 商户和第三方服务机构管理 * 基本要求： 磁道信息、卡片验证码、个人标识代码及卡片有效期 各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码及个人标识代码（PIN）及有效期。 银行卡主账号（卡号） 持卡人身份证件号码 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 * * 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 政 策 制 定 建立账户信息安全管理制度体系 制订账户信息安全管理规定 建立账户信息安全日常业务操作流程 落实账户信息安全管理权限及责任 建立账户信息安全监督及检查机制 建立对外包服务商的账户信息安全管理机制 建立账户信息安全事件应急预案 账户信息安全管理审计 * 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 组 织 管 理 * 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 访 问 控 制 三、账户信息安全管理制度体系介绍 账户信息的销毁 账户信息存储要求 账户信息访问控制 账户信息的保护 账户信息的使用 不得存储银行卡磁道信息、CVN、CVN2、PIN及卡片有效期 监督员在场 建立登记记录 遵循“业务需知”、“双人控制”原则，加强物理和逻辑访问控制 卡号屏蔽、对PIN采取硬加密、双倍长密钥算法保护 真实账户信息不得用于开发测试 * 银联卡收单机构账户信息安全管理标准 账户信息与交易数据生命周期管理 * 三、账户信息安全管理制度体系介绍 银联卡收单机构账户信息安全管理标准 系统及网络安全管理 依据《银联卡收单机构账户信息安全管理标准》，引入有资质的合规评估机构，对收单业务参与方的帐户信息安全管理状况进行合规评估，以提升银联网络账户信息安全管理水平。 * 三、账户信息安全管理制度体系介绍 银联卡收单业务账户信息安全合规评估相关规定 * 三、账户信息安全管理制度体系介绍 银联卡收单业务账户信息安全合规评估相关规定 《银联卡收单业务账户信息安全合规评估管理暂行规定》 《银联卡账户信息安全合规评估机构管理暂行办法》 《银联卡收单业务账户信息安全合规评估工作试行办法》 中国银联风险管理委员会 合规评估机构 特约商户 重点是MIS商户 收单服务机构 收单专业化服务提供商 * 三、账户信息安全管理制度体系介绍 合 规 评 估 工 作 构 架