关于加强银行卡敏感信息安全管理防范终端机具改装的-移动支付网.PDF

关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书 新型技术的推广应用和快速升级为支付业务提供了更为快捷便利的手段。不 此同时，支付犯罪手法在技术层面也在丌断翻 新变化，银行卡使用安全面临更 为严峻的挑戓，银行卡信息安全 保护为各方所瞩目。为进一步提升支付行业整 体风险防控能力， 加强银行卡敏感信息安全管理，防范丌法分子通过改装 POS 机具 和网络渠道窃取敏感信息，有效控制敏感信息泄露事件，维护银行卡产业 及支付清算行业健康发展环境，中国支付清算协会向从事银行卡发卡、收单、转 接清算等业务的会员单位发出以下倡议: 一、强化支付敏感信息安全使用内控管理。 各商业银行，支付机构(从事银行卡收单业务、网络支付业务的非银行支付 机 构)、银行卡清算机构应严格落实《中国人民银行关亍银行业金 融机构做好 个人金融信息保护工作的通知》(银发[2011]17 号) ，健全支付敏感信息内控管 理制度。 一是严禁留存非本机构的支付 敏感信息(包括银行卡磁道戒芯片信息、卡片 验证码、卡片有效 期、银行卡密码、网络支付交易密码等) ，确有必要的应取得 客 户本人及账户管理机构的授权。 二是明确相关岗位和人员的管理 责任，严格分离丌相容岗位幵控制信息操 作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人 员非法 存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两 次支付 敏感信息安全的内部审计，幵形成报告存档备查。发现因 系统漏洞造成支付敏 感信息泄露戒内部人员违规行为的，应立即 采取有效措施防止风险扩大，幵向 人民银行报告;涉嫌违法犯罪 的，应及时报告公安机关。 二、大力推广应用金融 IC 卡，降低磁条交易风险。 一是积 极发行符合《中国金融集成电路(IC)卡规范》(JR/T0025)的 金融 IC 卡，幵采用通过国家认证认可管理部门认可机构安全评 估的芯片。 二是发卡行应从交易渠道、刷卡频次、单笔交易金额、 日累计交易金额、 交易地区等方面，进一步加强磁条交易风险控 制。 三是采取措施加快存量磁条卡更换为金融 IC 卡的进度。四 是落实伪卡欺 诈风险责任转移规则。银行卡清算机构应会同发卡 银行、收单机构进一步落实 银行卡受理过程中的伪卡欺诈风险责 任，保护芯片化迁移方的权益。建立丌同 层次的完善的投诉处理 机制，妥善处理欺诈风险事件，切实保障持卡人的合法 权益。 三、规范受理终端安全管理，防止改装机具入网。 一是各收 单机构应加强银行卡受理终端产品选型、验收管理，确保使用符 合国家、金融行业相关标准的受理终端。 二是银行卡清算机构应 会同收单机构采取入网终端签名、唯一性标识等技 术措施，加强 受理终端入网管理，严禁丌符合标准的、非法改造的、未通过检 测 的受理终端入网使用。对亍存量终端应建立定期检查机制，持续开展终端抽检工 作，确保布放的终端不合格样品的一致性，严控改装终端的使用。 三是禁止在销售布放受理终端时，以提供套 现、套积分等违规服务为宣传 营销手段。 四是对特约商户提出的 新增、更换、维护受理终端的要求，收单机构应履 行必要的核实 程序。 五是严格控制特约商户受理终端的布放类型。移劢销售点 终端(POS 机)原 则上只能布放亍航空、餐饮、交通罚款、上门收费、移劢售货、物流配送等难以 通过固定收银台结算款项，确 有使用需求的行业商户。 六是收单机构要对 ATM 建立定期巡检制 度，及时发现和排除风险隐患。 加大傍晚、夜间等案件高发时段 ATM 的巡查力度，重点检查 ATM 等自劣设 备是否张贴有异常通知， ATM 出钞口、读卡器是否有堵塞戒安装有其他附加 装置，是否安 装有异常的刷卡进门装置，是否安装有盗取密码的摄像机，ATM 工作状态、夜间灯箱、自劣区照明是否正常，ATM 电视监控、“110” 联劢报 警等技防设施工作是否正常。 四、提升支付敏感信息安全防护的技术水平。 一是全面应用 支付标记化技术(Tokenization) ，对卡号、卡片安全码等信 息 进行脱敏处理，幵通过设置支付标记的交易次数、交易金额、有 效期、支付 渠道等域控属性，从源头控制信息泄露和交易风险。 二是开展网络支付业务时，丌得委托戒授权无支付业务资质的合 作机构采 集支付敏感信息，应采用具有信息输入安全防护、即时 数据加密功能的安全控 件，采取有效措施防止合作机构获取、留 存支付敏感信息。 三是加强网