據(jù)了解，日前支付清算協(xié)會下發(fā)針對銀行卡受理終端改裝問題倡議書，目前市面上受理銀行卡終端類型多樣，同時私自改裝終端的行為也屢禁不止，給持卡人帶來較大風(fēng)險！

明確新型技術(shù)的推廣應(yīng)用為支付業(yè)務(wù)提供了更為快捷便利的手段，同時支付犯罪手法也在不斷翻新，銀行卡使用安全面臨更為嚴峻的挑戰(zhàn)，銀行卡信息泄露事件時有發(fā)生，威脅銀行卡產(chǎn)業(yè)參與主體及持卡人合法權(quán)益。為進一步加強銀行卡敏感信息安全管理，規(guī)范終端機具使用，提升支付風(fēng)險防控能力，要求各會員單位切實踐行本倡議，加強行業(yè)自律和自我約束，共同推動銀行卡產(chǎn)業(yè)健康發(fā)展。

文件全文

關(guān)于加強銀行卡敏感信息安全管理防范終端機具改裝的倡議書

新型技術(shù)的推廣應(yīng)用和快速升級為支付業(yè)務(wù)提供了更為快捷便利的手段。與此同時，支付犯罪手法在技術(shù)層面也在不斷翻新變化，銀行卡使用安全面臨更為嚴峻的挑戰(zhàn)，銀行卡信息安全保護為各方所矚目。為進一步提升支付行業(yè)整體風(fēng)險防控能力，加強銀行卡敏感信息安全管理，防范不法分子通過改裝POS機具和網(wǎng)絡(luò)渠道竊取敏感信息，有效控制敏感信息泄露事件，維護銀行卡產(chǎn)業(yè)及支付清算行業(yè)健康發(fā)展環(huán)境，中國支付清算協(xié)會向從事銀行卡發(fā)卡、收單、轉(zhuǎn)接清算等業(yè)務(wù)的會員單位發(fā)出以下倡議:

一、強化支付敏感信息安全使用內(nèi)控管理。

各商業(yè)銀行，支付機構(gòu)(從事銀行卡收單業(yè)務(wù)、網(wǎng)絡(luò)支付業(yè)務(wù)的非銀行支付機構(gòu))、銀行卡清算機構(gòu)應(yīng)嚴格落實《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)[2011]17號)，健全支付敏感信息內(nèi)控管理制度。

一是嚴禁留存非本機構(gòu)的支付敏感信息(包括銀行卡磁道或芯片信息、卡片驗證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等)，確有必要的應(yīng)取得客戶本人及賬戶管理機構(gòu)的授權(quán)。

二是明確相關(guān)崗位和人員的管理責(zé)任，嚴格分離不相容崗位并控制信息操作權(quán)限，制定信息操作流程和規(guī)范，強化內(nèi)部監(jiān)督、責(zé)任追究機制，嚴禁從業(yè)人員非法存儲、竊娶泄露、買賣支付敏感信息。三是每年應(yīng)至少開展兩次支付敏感信息安全的內(nèi)部審計，并形成報告存檔備查。發(fā)現(xiàn)因系統(tǒng)漏洞造成支付敏感信息泄露或內(nèi)部人員違規(guī)行為的，應(yīng)立即采取有效措施防止風(fēng)險擴大，并向人民銀行報告；涉嫌違法犯罪的，應(yīng)及時報告公安機關(guān)。

二、大力推廣應(yīng)用金融IC卡，降低磁條交易風(fēng)險。

一是積極發(fā)行符合《中國金融集成電路(IC)卡規(guī)范》(JR/T0025)的金融IC卡，并采用通過國家認證認可管理部門認可機構(gòu)安全評估的芯片。

二是發(fā)卡行應(yīng)從交易渠道、刷卡頻次、單筆交易金額、日累計交易金額、交易地區(qū)等方面，進一步加強磁條交易風(fēng)險控制。

三是采取措施加快存量磁條卡更換為金融IC卡的進度。四是落實偽卡欺詐風(fēng)險責(zé)任轉(zhuǎn)移規(guī)則。銀行卡清算機構(gòu)應(yīng)會同發(fā)卡銀行、收單機構(gòu)進一步落實銀行卡受理過程中的偽卡欺詐風(fēng)險責(zé)任，保護芯片化遷移方的權(quán)益。建立不同層次的完善的投訴處理機制，妥善處理欺詐風(fēng)險事件，切實保障持卡人的合法權(quán)益

三、規(guī)范受理終端安全管理，防止改裝機具入網(wǎng)。

一是各收單機構(gòu)應(yīng)加強銀行卡受理終端產(chǎn)品選型、驗收管理，確保使用符合國家、金融行業(yè)相關(guān)標準的受理終端。

二是銀行卡清算機構(gòu)應(yīng)會同收單機構(gòu)采取入網(wǎng)終端簽名、唯一性標識等技術(shù)措施，加強受理終端入網(wǎng)管理，嚴禁不符合標準的、非法改造的、未通過檢測的受理終端入網(wǎng)使用。對于存量終端應(yīng)建立定期檢查機制，持續(xù)開展終端抽檢工作，確保布放的終端與合格樣品的一致性，嚴控改裝終端的使用。

三是禁止在銷售布放受理終端時，以提供套現(xiàn)、套積分等違規(guī)服務(wù)為宣傳營銷手段。

四是對特約商戶提出的新增、更換、維護受理終端的要求，收單機構(gòu)應(yīng)履行必要的核實程序。

五是嚴格控制特約商戶受理終端的布放類型。移動銷售點終端(POS機)原則上只能布放于航空、餐飲、交通罰款、上門收費、移動售貨、物流配送等難以通過固定收銀臺結(jié)算款項，確有使用需求的行業(yè)商戶。

六是收單機構(gòu)要對ATM建立定期巡檢制度，及時發(fā)現(xiàn)和排除風(fēng)險隱患。加大傍晚、夜間等案件高發(fā)時段ATM的巡查力度，重點檢查ATM等自助設(shè)備是否張貼有異常通知，ATM出鈔口、讀卡器是否有堵塞或安裝有其他附加裝置，是否安裝有異常的刷卡進門裝置，是否安裝有盜取密碼的攝像機，ATM工作狀態(tài)、夜間燈箱、自助區(qū)照明是否正常，ATM電視監(jiān)控、“110”聯(lián)動報警等技防設(shè)施工作是否正常。

四、提升支付敏感信息安全防護的技術(shù)水平。

一是全面應(yīng)用支付標記化技術(shù)(Tokenization)，對卡號、卡片安全碼等信息進行脫敏處理，并通過設(shè)置支付標記的交易次數(shù)、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息泄露和交易風(fēng)險。

二是開展網(wǎng)絡(luò)支付業(yè)務(wù)時，不得委托或授權(quán)無支付業(yè)務(wù)資質(zhì)的合作機構(gòu)采集支付敏感信息，應(yīng)采用具有信息輸入安全防護、即時數(shù)據(jù)加密功能的安全控件，采取有效措施防止合作機構(gòu)獲娶留存支付敏感信息。

三是加強網(wǎng)絡(luò)交易風(fēng)險監(jiān)控。利用大數(shù)據(jù)分析、用戶行為建模等手段，建立交易風(fēng)險監(jiān)控模型和系統(tǒng)，及時預(yù)警異常交易，并采取調(diào)查核實、風(fēng)險提示、延遲結(jié)算等措施。針對批量或高頻登錄等異常行為，應(yīng)利用IP地址、終端設(shè)備標識信息、瀏覽器緩存信息等進行綜合識別，及時采取附加驗證、拒絕請求等手段。

四是加強客戶端軟件安全管理，確?？蛻舳塑浖蠂?、金融行業(yè)相關(guān)標準和信息安全要求。從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面提升客戶端軟件安全防控能力。

五是服務(wù)器端應(yīng)對接收數(shù)據(jù)的有效性進行校驗，防止客戶端提交非法數(shù)據(jù)，進行SQL注入等攻擊。

五、切實提高業(yè)務(wù)開通以及交易過程中的身份認證強度。

一是提高業(yè)務(wù)開通身份認證強度。自2016年11月1日起，銀行基于銀行卡賬戶與支付機構(gòu)、商業(yè)機構(gòu)建立關(guān)聯(lián)業(yè)務(wù)時，應(yīng)嚴格采用多因素身份認證方式，直接鑒別客戶身份，并取得客戶授權(quán)。

二是增強支付交易驗證強度。在支付機構(gòu)等合作方向銀行發(fā)送支付指令、扣劃客戶銀行卡賬戶資金時，銀行、支付機構(gòu)應(yīng)嚴格落實《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》(中國人民銀行公告[2015]第43號公布)第十條規(guī)定，參照第二十二條、第二十三條、第二十四條等相關(guān)要求，采取交易額度與驗證強度相匹配的技術(shù)措施，提高交易的安全性。銀行應(yīng)依照《中國人民銀行關(guān)于改進個人銀行賬戶服務(wù)加強賬戶管理的通知》(銀發(fā)[2015]392號)，建立健全個人銀行結(jié)算賬戶分類管理機制，引導(dǎo)客戶使用II類、III類銀行賬戶辦理小額網(wǎng)絡(luò)支付業(yè)務(wù)，有效防控I類銀行賬戶信息泄露風(fēng)險。

六、加大特約商戶規(guī)范管理力度。

一是銀行卡清算機構(gòu)應(yīng)會同收單機構(gòu)建立健全特約商戶信息電子化管理體系，嚴格落實特約商戶實名制相關(guān)規(guī)定，完整、準確記錄特約商戶及其法定代表人或主要負責(zé)人的身份信息，并對同一商戶在不同收單機構(gòu)的注冊信息進行關(guān)聯(lián)管理，通過對商戶信息的交叉比對，關(guān)注同一身份申請多個商戶的情形，加強對一機多號(一機多商戶)的違規(guī)行為的排查。

二是充分利用影像采集、區(qū)域定位等技術(shù)，采取多渠道交叉驗證等有效手段，健全特約商戶資質(zhì)審核和信息更新機制，持續(xù)加強特約商戶信息真實性管理。

三是收單機構(gòu)應(yīng)確保特約商戶按規(guī)定使用受理終端(網(wǎng)絡(luò)支付接口)和收單銀行結(jié)算賬戶，不得將受理終端(網(wǎng)絡(luò)支付接口)用于受理協(xié)議約定以外的用途，不得利用其從事或協(xié)助他人從事非法活動。

四是加強對特約商戶銀行卡套現(xiàn)、磁道側(cè)錄、終端改裝、終端移機等違規(guī)行為的監(jiān)控、巡檢和風(fēng)險評級，并采取延遲資金結(jié)算、暫停交易、收回受理終端等措施。

五是各銀行、支付機構(gòu)應(yīng)建立健全違規(guī)實體和網(wǎng)絡(luò)特約商戶黑名單管理制度，明確黑名單納入與移出條件、懲罰措施等。加強對特約商戶的監(jiān)測、巡檢，對于存在支付敏感信息泄露、非法改裝終端、參與偽卡欺詐等違規(guī)行為的，應(yīng)納入黑名單管理，視嚴重程度從嚴采取延遲結(jié)算、暫停交易、終止合作等懲戒措施，并及時報送中國支付清算協(xié)會、銀行卡清算機構(gòu)；依托中國支付清算協(xié)會、銀行卡清算機構(gòu)的黑名單信息共享機制分享風(fēng)險商戶信息，禁止拓展已納入黑名單的商戶。

七、規(guī)范收單外包服務(wù)管理。

各收單機構(gòu)應(yīng)嚴格落實《銀行卡收單業(yè)務(wù)管理辦法》(中國人民銀行公告[2013]第9號公布)、《中國人民銀行關(guān)于加強銀行卡收單業(yè)務(wù)外包管理的通知》(銀發(fā)[2015]199號)，承擔(dān)收單環(huán)節(jié)支付敏感信息安全管理責(zé)任。

一是不得將核心業(yè)務(wù)系統(tǒng)運營、受理終端密鑰管理、特約商戶資質(zhì)審核等工作交由外包服務(wù)機構(gòu)辦理。

二是指定專人管理終端密鑰和相關(guān)參數(shù)，確保不同的受理終端使用不同的終端主密鑰并定期更換。

三是通過協(xié)議禁止實體和網(wǎng)絡(luò)特約商戶、外包服務(wù)機構(gòu)不得留存支付敏感信息。

四是每年應(yīng)對外包服務(wù)機構(gòu)、實體和網(wǎng)絡(luò)特約商戶至少開展一次有一定獨立性的安全評估，并形成報告存檔備查，對于未遵守相關(guān)協(xié)議的，應(yīng)立即終斷合作。五是及時將出現(xiàn)違法違規(guī)行為的外包服務(wù)機構(gòu)信息報送中國支付清算協(xié)會，納入黑名單管理，并終止與其合作。

八、加強客戶銀行卡支付安全教育工作。

加強銀行卡、互聯(lián)網(wǎng)支付等交易密碼的保護管理和客戶安全教育，培養(yǎng)客戶風(fēng)險防范意識和安全支付習(xí)慣。提高商戶的合規(guī)合法經(jīng)營意識以及安全防范意識，針對犯罪分子典型作案手法開展商戶安全教育工作，通過網(wǎng)站、微信、視頻、郵件等不同渠道及時向商戶普及犯罪分子最新作案手法，提高商戶風(fēng)險防范水平。

九、行業(yè)各參與者應(yīng)樹立可持續(xù)發(fā)展的科學(xué)經(jīng)營觀，堅持依法合規(guī)經(jīng)營，努力提高從業(yè)人員道德和業(yè)務(wù)素質(zhì)，強化對從業(yè)人員的職業(yè)道德素養(yǎng)教育，規(guī)范經(jīng)營行為，自覺維護市場秩序，樹立良好的支付行業(yè)形象。

十、行業(yè)各參與者應(yīng)自覺接受社會監(jiān)督。

嚴格遵守《中國支付清算協(xié)會銀行卡行業(yè)自律公約》、《銀行卡業(yè)務(wù)風(fēng)險控制與安全管理指引》以及《銀行卡收單外包業(yè)務(wù)自律規(guī)范》，增強自律意識，堅持自我約束，設(shè)置爭議及投訴解決渠道，接受社會監(jiān)督，妥善處理客戶敏感信息保護工作中出現(xiàn)的爭議與糾紛，保護相關(guān)方的合法權(quán)益；積極接入中國支付清算協(xié)會風(fēng)險信息共享系統(tǒng)，利用會員單位風(fēng)險信息共享機制提升風(fēng)險防范效率；發(fā)現(xiàn)收單機構(gòu)、商戶通過改裝pos機盜取銀行卡信息，從事欺詐等不法行為，按中國支付清算協(xié)會發(fā)布的《支付結(jié)算違法違規(guī)行為舉報獎勵辦法實施細則》相關(guān)規(guī)定進行舉報。

讓我們攜起手來，以強化自身內(nèi)控機制建設(shè)為起點，利用先進技術(shù)手段實現(xiàn)敏感信息隔離保護，提升合作商戶風(fēng)險防范能力，提高客戶自我信息防護意識，妥善處理業(yè)務(wù)爭議糾紛，加強行業(yè)聯(lián)防聯(lián)控能力，努力消除信息泄露隱患，營造安全可靠的銀行卡支付環(huán)境，樹立良好的行業(yè)形象,促進銀行卡產(chǎn)業(yè)持續(xù)健康發(fā)展。