银行卡业务风险控制与安全管理指引.pdfVIP

银行卡业务风险控制与安全管理指引 第一章 总则 第一条 为保护持卡人、商户以及成员单位的合法权益，维 护银行卡市场秩序，规范银行卡业务风险控制与安全管理，加强 银行卡业务自律管理，根据《中国人民银行法》、《中华人民共和 国商业银行法》、《银行卡收单业务管理办法》等法律法规、规章, 制定本指引。 第二条 成员单位从事银行卡发卡、收单及转接清算等银行 卡业务，应遵循本指引。 第二章 基本要求 第三条 成员单位应制定明确的银行卡业务发展战略和风 险管理规划，建立健全银行卡业务内部控制、授权管理和风险管 理体系、组织、制度、流程和岗位，明确分工和相关职责,严格 实行授权管理，有效识别、评估、监测和控制业务风险。 第四条 成员单位应遵守反洗钱法律法规要求，履行反洗钱 和反恐怖融资义务。 客户身份资料在业务关系结束后、客户交易信息在交易结束 后，应当至少保存五年。 第五条 成员单位经营银行卡业务，应依法保护客户合法权 益和相关信息安全。未经客户授权，不得将相关信息用于本单位 - 2 - 银行卡业务以外的其他用途。 第六条 成员单位可以基于自愿和保密原则，对银行卡业务 中出现不良行为的营销人员、持卡人、特约商户、服务机构等有 关风险信息进行共享，加强在风险管理方面的合作。 第七条 成员单位应建立健全银行卡业务操作风险的防控 制度和应急预案，有效防范操作风险。 第八条 成员单位经营银行卡业务，应充分向持卡人披露相 关信息，揭示业务风险，建立健全相应的投诉处理机制。 第九条 成员单位应建立银行卡业务重大安全事故和风险 事件报告制度，与监管部门保持经常性沟通。出现重大安全事故 和风险事件后应在 24 小时内向监管部门报告，并随时关注事态 发展，及时报送后续情况。 第十条 成员单位因机构解散、依法被撤销、被宣告破产， 或经监管部门批准终止部分或全部银行卡业务的，应自解散、被 撤销、被宣告破产或被批准终止业务之日起，在大众媒体、营业 场所及其网站显著位臵就终止原因、终止时间、客户债权债务清 算事项以及监管部门要求公告的其他事项，公告至少90 天。 第三章 银行卡业务风险管理体系 第十一条 成员单位应建立与本机构银行卡业务性质、规模 相匹配的风险管理组织架构，以有效识别、评估、监测、控制业 务风险。 第十二条 成员单位的风险管理组织架构至少应涵盖董事 - 3 - 会、高级管理层、风险管理部门、其他相关部门及各层级对应职 责。 第十三条 成员单位的董事会对本单位风险管理承担最终 责任。 董事会应当根据本单位风险状况、发展规模和速度，建立全 面的风险管理战略、政策和程序，判断本单位面临的主要风险， 确定适当的风险容忍度和风险偏好，督促高级管理层有效地识别、 计量、监测、控制并及时处理本单位面临的各种风险。 第十四条 高级管理层在风险日常管理方面，对董事会负责， 负责执行董事会批准的风险管理政策。高级管理人员，主要包括 总经理、副总经理、财务负责人、技术负责人或实际履行上述职 责的人员。主要职责包括： （一）负责制定、定期审查和监督执行风险管理的政策、程 序和操作规程，定期向董事会提交总体风险情况的报告； （二）审阅风险管理职能部门提交的风险管理报告，充分了 解机构风险管理的总体情况，重大风险事件处理机制及日常风险 监控、评价的有效性； （三）界定各部门风险管理职责及风险管理报告的渠道、频 率、内容，督促各部门切实履行风险管理职责，保障风险管理体 系正常运行； （四）为风险管理措施的落实提供资源，包括但不限于配备 足够的人力、物力和恰当的组织结构、管理信息系统以及技术水 - 4 - 平，以有效识别、计量、