央行发布通知:将对所有支付机构进行安全风险全面排查!
日前,人行办公厅发布《关于开展支付安全风险专项排查工作的通知》,通知称为进一步加强支付领域网络与信息安全管理,有效防范支付风险,切实保障消费者合法权益,人民银行决定开展支付安全风险专项排查工作。
排查内容、范围及方式
(一)排查内容。
按照《支付安全风险专项排查列表》开展专项排查,内容包括:
1.是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。
2.是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。
3.是督查支付交易报文规范化改造、终端信息注册等工作落实情况。四是排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险。
(二)排查范围。
1.机构范围:商业银行、非银行支付机构、清算机构等(以下统称从业机构)。
2.客户端应用软件范围:涵盖从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件。
3.系统范围:涵盖从业机构支付业务相关系统,包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统,非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统,清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。
工作安排
(一)从业机构自查整改( 2018年9月至10月)。
1.2018年9月30日前,从业机构向人民银行报送《客户端应用软件明细表》(附件2)。
2.从业机构严格对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查,对发现的问题及时整改,并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题,要采取补偿措施,明确整改计划和方案,按期整改。2018年10月31日前,形成自查报告报送人民银行。
(二)人民银行核实(2018年11月至12月)。
1.全面核查。人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。
2.抽样检测。人民银行依据《客户端应用软件明细表》,开展客户端应用软件抽样检测工作。
(三)总结及后续管理(2019年1月至2月)。
人民银行分支机构要对整体情况及主要问题进行认真全面分析总结,形成书面报告,于2019年3月1日前报送人民银行总行。对于未完成整改的问题,要求从业机构作为2019 年内部审计和外部安全评估的重点,持续监督整改。
人民银行总行将根据排查整体情况,总结归纳突出、典型问题,及时发布风险提示,并对支付安全风险专项排查及整改情况进行通报。
工作要求
(一)人民银行分支机构要成立专项排查小组,结合本地实际情况制定切实可行的工作方案,认真组织从业机构进行全面自查及整改,做好核实工作。
(二)从业机构要高度重视,根据本通知要求制定行之有效的自查方案,全面开展自查和整改工作,积极配合人民银行做好核实工作。
(三)人民银行分支机构要以此次排查为契机,充分利用排查结果,形成从业机构支付安全画像,并将其作为辖区内商业银行考核和非银行支付机构分类评级、支付业务许可证续展的参考依据。
(四)对于本通知规定的报告事项,全国性商业银行、清算机构报送人民银行总行,其他商业银行、非银行支付机构报送法人所在地人民银行副省级城市中心支行以上分支机构。
支付安全风险专项排查列表
一、客户端应用软件安全
- 身份证验证信息管理;
- 客户端数据录入安全;
- 客户端数据传输安全;
- 客户端应用软件自身安全;
二、支付系统安全管理
- 物理安全;
- 网络安全;
- 主机安全;
- 应用安全;
- 数据安全;
- 业务连续性;
三、支付交易安全管理
- 交易安全基本要求;
- 银行卡受理终端安全管理;
- 银行卡交易安全;
- 条码支付交易安全;
- 线上交易业务开通身份认证安全管理;
- 支付交易安全强度;
- 交易验证与确认;
- 交易过程安全;
- 基于大数据技术的风险防控;
II、III类银行账户系统账户管理基本要求
II、III类银行账户系统密钥管理要求
II、III类银行账户系统账户管理安全要求
II、III类银行账户系统密码功能
II、III类银行账户系统线上交易处理功能
II、III类银行账户系统线下交易处理功能
II、III类银行账户系统交易限制
II、III类银行账户系统开户风险监控
II、III类银行账户系统交易风险监控
II、III类银行账户系统交易欺诈监控