村镇银行卡业务风险防范管理规定.docVIP

PAGE PAGE 11 xxxxxxx银行 卡业务风险防范管理规定 第一章 总则 第一条 为加强xxxxxxx银行（以下简称本行）银行卡业务的管理，及时识别、防范、控制本行借记卡业务过程中的各种风险，防范银行卡业务风险，维护本行和持卡人、特约单位及其他当事人的合法权益，依据中国人民银行《银行卡业务管理办法》、银行业监督管理机构以及中国银联股份有限公司（以下简称“中国银联”）的有关规定，特制定本规定。 第二条 卡业务风险是指在银行卡业务办理过程中，由于各种原因导致本行、持卡人或其它当事人的合法利益受到损害。 第三条 卡业务风险可分为内部风险和外部风险。内部风险是指本行在业务处理、计算机系统安全、卡片管理等各个环节中的操作和员工道德品质造成的风险；外部风险是指恶意假冒持卡人使用卡造成的风险，包括通过制作假卡、盗取他人密码、使用作废卡片等手段非法支取客户账户资金造成的风险。 第四条 卡业务风险管理严格遵循事前防范、事中控制、事后监督的原则。 第二章 基本制度 第五条 岗位制度 本行设立卡部，管理卡的相关业务。卡部须认真执行银行卡业务的相关规章制度、岗位职责。 第六条 权限管理制度 卡部、科技信息部、营业网点须按不同的岗位设置相应处理权限，对超出权限的业务必须取得主管授权。授权人必须严格执行操作规范。 第七条 保密制度 除国家法律规定外，本行员工不得对外泄露客户账户、资料等相关信息。 第八条 登记制度 卡部、科技信息部、营业网点在受理银行卡卡业务的各个环节，须建立健全登记制度，做到“准确及时、记载清晰、签章齐全、责任分明”。 第三章 制卡管理 第九条 成品卡的制作采取外包方式，本行通过招标方式在取得中国银联资质认证的专业制卡单位中确定。 第十条 我行与制卡厂商签订安全保密协议。制卡厂商须严格按照相关规定制卡、运输和交接。 第十一条 卡部统一负责全行卡片的订制，其他机构和个人都不得私下向制卡厂商订单制卡。 第十二条 卡片个人化信息由本行业务系统主机生成，经加密后使用。 第四章 信息系统安全管理 第十三条 信息系统安全管理包括软件开发与服务、账户信息、交易数据、密钥等的安全管理。 第十四条 科技信息部须制定严格的技术开发安全管理制度，采取有效措施防止信息系统集成商人员在软件开发与服务过程中接触或泄露有关本行和其他银行的银行卡敏感信息。 第十五条 在将有关银行卡的技术和服务外包给第三方的，须与外包方签订安全保密协议，明确外包的主要内容和外包方应该承担的各项义务和责任。 第十六条 科技信息部须建立完善的信息安全管理体制，制定账户信息与交易数据安全制度。根据业务需要的原则，明确必须通过身份验证、权限管理、密码管理等手段，严格控制访问、使用账户信息及交易数据，防止未经授权擅自对数据进行查看、纂改和破坏；严格保护持卡人账户信息及交易数据。不得将涉及持卡人安全的账户信息及交易数据用于软件开发和模拟测试；对持卡人账户信息及交易数据须在具有安全保护措施的系统中存储和传输。对超出保存期限的，应及时销毁。 第十七条 科技信息部必须使用硬件加密设备生成和存储密钥、对个人密码（PIN）加解密以及鉴别报文；密钥和个人密码的完整明文只允许存储在硬件加密设备中，不得在硬件加密设备外出现；对密钥及组件的任何操作必须遵循分人分段、双重控制、信息拆分的原则。 密钥的生成、注入与存储、传输、接收、泄漏与重置、删除与销毁、保管均按中国银联的有关规定执行。 第十八条 科技信息部须加强对跨行交易数据的安全管理，尽到充分的保密义务。 按照中国银联的相关规定，只能存储用于交易清分所必需的他行银联卡最基本账户信息和交易数据，不得存储他行银联卡的磁道信息、卡片验证码及个人密码。 跨行交易的账户信息和交易数据只用于辅助完成银联卡交易，不得将账户信息和交易数据用于除此之外的任何其他用途，更不能将上述数据提供给任何未被授权的个人或机构。 未经中国银联授权，不得擅自对包含银行卡账户信息或交易数据的设备进行更改和维护。 第十九条 在进行电子银行交易时，本行采取动态密码技术和增加持卡人身份号码验证等方式增强交易的安全性。 第二十条 科技信息部须保障受卡终端完整、准确读取并传输卡片验证码（CVN）。 本行的银行卡业务系统采用验证卡片验证码式。如验证错误次数达到三次时，本行的银行卡业务系统自动冻结该卡账户。 对于上传磁道信息中未含卡片验证码的交易，本行的银行卡业务系统一律予以拒绝。 第二十一条 本行在ATM交易凭条、账单、网页、移动通讯设备或电子邮件中显示卡号信息时，采用卡号屏蔽的方式保护卡号安全（对银行卡号倒数第二至第五位进行屏蔽）。 第二十二条 科技信息部须建立银行卡业务操作主管负责制，主管对银行卡系统的运行和维护，对银行卡系统的运行情况