集体行动!持续6个月,36家人民银行分支机构开展支付安全风险专项排查工作

来源:支付快讯

8月份央行下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》通知称为进一步加强支付领域网络与信息安全管理,有效防范支付风险,切实保障消费者合法权益,人民银行决定开展支付安全风险专项排查工作,并给出明确时间表,检查机构包括银行,支付机构 清算机构等,并给出明确多达182个检查要点,特别是针对第三方支付机构的检查,人民银行分支机构要以此次排查为契机,充分利用排查结果,形成从业机构支付安全画像,并将其作为辖区内商业银行考核和非银行支付机构分类评级、支付业务许可证续展的参考依据。

截至目前央行累计注销支付牌照名单已增加到33家注销,多家机构是因为牌照续展不予通过注销,根据央行官网公开信息,剩下还未参与第一次续展的支付机构仅剩21家,其中2019年到期有19家,2020到期两家。其中我们熟悉公司有乐刷、盛迪嘉、畅捷通、合利宝,瑞银信等。

33家机构支付牌照已经被注销,央行公示!

业内人士分析,现在监管部门查得越来越严,一旦发现违法违规行为便毫不留情,影响后续续展工作。此前已有第三方支付机构撞上枪口,导致续展失败。有了前车之鉴,第三方支付机构在业务规范化方面着实需要下番功夫。特别是本次检查更多是检查系统安全行问题,各家机构要加强本身系统安全的。

此前央行总行营管部科技部副处长刘立安在非银行支付机构技术交流会上介绍,出现这几种情况就会在续展中被“一票否决”,支付机构将面临“不予续展”的决定。存在支付业务核心系统外包,或缺少必要的备份设备(包括但不限于核心网络设备、应用服务器、数据库服务器等);支付业务系统存在较大风险漏洞,造成个人敏感信息泄露,造成较大损失或社会影响。

目前各地人民银行都已经开始行动,目前呼和浩特、青岛、济南等分支行纷纷组织部署支付安全专项排查工作行动,通过组织动员会议,电话会议,培训活动传达总行专项检查各项要求,结合本地实际是结合辖区实际,制定排查工作方案,引导排查工作有序开展,一场全国范围内支付安全大检查正式开始!

排查内容、范围及方式

(一)排查内容。

按照《支付安全风险专项排查列表》开展专项排查,内容包括:

一是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。

二是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。

三是督查支付交易报文规范化改造、终端信息注册等工作落实情况。四是排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险。

(二)排查范围。

1.机构范围:商业银行、非银行支付机构、清算机构等(以下统称从业机构)。

2.客户端应用软件范围:涵盖从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件。

3.系统范围:涵盖从业机构支付业务相关系统,包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统,非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统,清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。

工作安排

(一)从业机构自查整改( 2018年9月至10月)。

1.2018年9月30日前,从业机构向人民银行报送《客户端应用软件明细表》(附件2)。

2.从业机构严格对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查,对发现的问题及时整改,并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题,要采取补偿措施,明确整改计划和方案,按期整改。2018年10月31日前,形成自查报告报送人民银行。

(二)人民银行核实(2018年11月至12月)。

1.全面核查。人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。

2.抽样检测。人民银行依据《客户端应用软件明细表》,开展客户端应用软件抽样检测工作。

(三)总结及后续管理(2019年1月至2月)。

人民银行分支机构要对整体情况及主要问题进行认真全面分析总结,形成书面报告,于2019年3月1日前报送人民银行总行。对于未完成整改的问题,要求从业机构作为2019 年内部审计和外部安全评估的重点,持续监督整改。

人民银行总行将根据排查整体情况,总结归纳突出、典型问题,及时发布风险提示,并对支付安全风险专项排查及整改情况进行通报。
工作要求

(一)人民银行分支机构要成立专项排查小组,结合本地实际情况制定切实可行的工作方案,认真组织从业机构进行全面自查及整改,做好核实工作。

(二)从业机构要高度重视,根据本通知要求制定行之有效的自查方案,全面开展自查和整改工作,积极配合人民银行做好核实工作。

(三)人民银行分支机构要以此次排查为契机,充分利用排查结果,形成从业机构支付安全画像,并将其作为辖区内商业银行考核和非银行支付机构分类评级、支付业务许可证续展的参考依据。

(四)对于本通知规定的报告事项,全国性商业银行、清算机构报送人民银行总行,其他商业银行、非银行支付机构报送法人所在地人民银行副省级城市中心支行以上分支机构。