日前,人行辦公廳發佈《關於開展支付安全風險專項排查工作的通知》,通知稱為進一步加強支付領域網絡與信息安全管理,有效防範支付風險,切實保障消費者合法權益,人民銀行決定開展支付安全風險專項排查工作。
排查內容、範圍及方式
(一)排查內容。
按照《支付安全風險專項排查列表》開展專項排查,內容包括:
一是排查客戶端應用軟件敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患。
二是排查支付業務系統在系統安全、交易安全、數據保護、業務連續性、賬戶管理、內控管理等方面存在的問題。
三是督查支付交易報文規範化改造、終端信息註冊等工作落實情況。四是
排查支付產品質量管理方面存在的不足,切實防範支付業務安全風險。(二)排查範圍。
1.機構範圍:商業銀行、非銀行支付機構、清算機構等(以下統稱從業機構)。
2.客戶端應用軟件範圍:涵蓋從業機構支付業務相關的客戶端應用軟件,包括但不限於手機銀行、移動支付等客戶端應用軟件及支付控件。
3.系統範圍:涵蓋從業機構支付業務相關係統,包括但不限於商業銀行的銀行卡發行與受理、互聯網支付、移動支付、手機銀行、風控管理、賬戶管理等系統,非銀行支付機構的互聯網支付、移動支付、銀行卡收單、預付卡發行與受理、風控管理等系統,清算機構的轉接清算系統、大數據分析校驗平臺、支付終端註冊管理平臺等系統。
工作安排
(一)從業機構自查整改( 2018年9月至10月)。
1.2018年9月30日前,從業機構向人民銀行報送《客戶端應用軟件明細表》(附件2)。
2.從業機構嚴格對照《支付安全風險專項排查列表》逐項對本機構支付安全隱患進行自查,對發現的問題及時整改,並建立問題清單管控和動態跟蹤機制。對於短期內無法完成整改的問題,要採取補償措施,明確整改計劃和方案,按期整改。2018年10月31日前,形成自查報告報送人民銀行。
(二)人民銀行核實(2018年11月至12月)。
1.全面核查。人民銀行對從業機構自查及整改情況採取訪談、查看系統、查閱資料等方式進行全面核查。對於自查質量不高、問題較多或整改率較低的從業機構進行現場核查。
2.抽樣檢測。人民銀行依據《客戶端應用軟件明細表》,開展客戶端應用軟件抽樣檢測工作。
(三)總結及後續管理(2019年1月至2月)。
人民銀行分支機構要對整體情況及主要問題進行認真全面分析總結,形成書面報告,於2019年3月1日前報送人民銀行總行。對於未完成整改的問題,要求從業機構作為2019 年內部審計和外部安全評估的重點,持續監督整改。
人民銀行總行將根據排查整體情況,總結歸納突出、典型問題,及時發佈風險提示,並對支付安全風險專項排查及整改情況進行通報。
工作要求
(一)人民銀行分支機構要成立專項排查小組,結合本地實際情況制定切實可行的工作方案,認真組織從業機構進行全面自查及整改,做好核實工作。
(二)從業機構要高度重視,根據本通知要求制定行之有效的自查方案,全面開展自查和整改工作,積極配合人民銀行做好核實工作。
(三)人民銀行分支機構要以此次排查為契機,充分利用排查結果,形成從業機構支付安全畫像,並將其作為轄區內商業銀行考核和非銀行支付機構分類評級、支付業務許可證續展的參考依據。
(四)對於本通知規定的報告事項,全國性商業銀行、清算機構報送人民銀行總行,其他商業銀行、非銀行支付機構報送法人所在地人民銀行副省級城市中心支行以上分支機構。
支付安全風險專項排查列表
一、客戶端應用軟件安全
身份證驗證信息管理
客戶端數據錄入安全
客戶端數據傳輸安全
客戶端應用軟件自身安全
二、支付系統安全管理
物理安全
網絡安全
主機安全
應用安全
數據安全
業務連續性
三、支付交易安全管理
交易安全基本要求
銀行卡受理終端安全管理
銀行卡交易安全
條碼支付交易安全
線上交易業務開通身份認證安全管理
支付交易安全強度
交易驗證與確認
交易過程安全
基於大數據技術的風險防控
II、III類銀行賬戶系統賬戶管理基本要求
II、III類銀行賬戶系統密鑰管理要求
II、III類銀行賬戶系統賬戶管理安全要求
II、III類銀行賬戶系統密碼功能
II、III類銀行賬戶系統線上交易處理功能
II、III類銀行賬戶系統線下交易處理功能
II、III類銀行賬戶系統交易限制
II、III類銀行賬戶系統開戶風險監控
II、III類銀行賬戶系統交易風險監控
II、III類銀行賬戶系統交易欺詐監控
閱讀更多 公子異人 的文章
