加强银行卡敏感信息安全管理出台规范了

清算协会指出，新型技术的推广应用为支付业务提供了更为快捷便利手段的同时，支付犯罪手法也在不断翻新，银行卡使用安全面临更为严峻的挑战，银行卡信息泄露事件时有发生。为进一步加强银行卡敏感信息安全管理，规范终端机具使用，提升支付风险防控能力，维护银行卡产业及支付清算行业健康发展环境。日前，中国支付清算协会组织向其有关会员单位起草了《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》，现予以印发。

　　原文如下：

　　关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书

　　新型技术的推广应用和快速升级为支付业务提供了更为快捷便利的手段。与此同时，支付犯罪手法在技术层面也在不断翻 新变化，银行卡使用安全面临更为严峻的挑战，银行卡信息安全 保护为各方所瞩目。为进一步提升支付行业整体风险防控能力， 加强银行卡敏感信息安全管理，防范不法分子通过改装POS机具 和网络渠道窃取敏感信息，有效控制敏感信息泄露事件，维护银行卡产业及支付清算行业健康发展环境，中国支付清算协会向从事银行卡发卡、收单、转接清算等业务的会员单位发出以下倡议:

　　一、强化支付敏感信息安全使用内控管理。

　　各商业银行，支付机构(从事银行卡收单业务、网络支付业务的非银行支付机 构)、银行卡清算机构应严格落实《中国人民银行关于银行业金 融机构做好个人金融信息保护工作的通知》(银发[2011]17 号)， 健全支付敏感信息内控管理制度。

　　一是严禁留存非本机构的支付 敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效 期、银行卡密码、网络支付交易密码等)，确有必要的应取得客 户本人及账户管理机构的授权。

　　二是明确相关岗位和人员的管理 责任，严格分离不相容岗位并控制信息操作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人员非法 存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两 次支付敏感信息安全的内部审计，并形成报告存档备查。发现因 系统漏洞造成支付敏感信息泄露或内部人员违规行为的，应立即 采取有效措施防止风险扩大，并向人民银行报告;涉嫌违法犯罪 的，应及时报告公安机关。

　　二、大力推广应用金融 IC 卡，降低磁条交易风险。

　　一是积 极发行符合《中国金融集成电路(IC)卡规范》(JR/T0025)的 金融 IC 卡，并采用通过国家认证认可管理部门认可机构安全评 估的芯片。

　　二是发卡行应从交易渠道、刷卡频次、单笔交易金额、 日累计交易金额、交易地区等方面，进一步加强磁条交易风险控 制。

　　三是采取措施加快存量磁条卡更换为金融 IC 卡的进度。四 是落实伪卡欺诈风险责任转移规则。银行卡清算机构应会同发卡 银行、收单机构进一步落实银行卡受理过程中的伪卡欺诈风险责 任，保护芯片化迁移方的权益。建立不同层次的完善的投诉处理 机制，妥善处理欺诈风险事件，切实保障持卡人的合法权益。

　　三、规范受理终端安全管理，防止改装机具入网。

　　一是各收 单机构应加强银行卡受理终端产品选型、验收管理，确保使用符合国家、金融行业相关标准的受理终端。

　　二是银行卡清算机构应 会同收单机构采取入网终端签名、唯一性标识等技术措施，加强 受理终端入网管理，严禁不符合标准的、非法改造的、未通过检 测的受理终端入网使用。对于存量终端应建立定期检查机制，持续开展终端抽检工作，确保布放的终端与合格样品的一致性，严控改装终端的使用。

　　三是禁止在销售布放受理终端时，以提供套 现、套积分等违规服务为宣传营销手段。

　　四是对特约商户提出的 新增、更换、维护受理终端的要求，收单机构应履行必要的核实 程序。

　　五是严格控制特约商户受理终端的布放类型。移动销售点 终端(POS 机)原则上只能布放于航空、餐饮、交通罚款、上门收费、移动售货、物流配送等难以通过固定收银台结算款项，确 有使用需求的行业商户。

　　六是收单机构要对 ATM 建立定期巡检制 度，及时发现和排除风险隐患。加大傍晚、夜间等案件高发时段 ATM 的巡查力度，重点检查 ATM 等自助设备是否张贴有异常通知， ATM 出钞口、读卡器是否有堵塞或安装有其他附加装置，是否安 装有异常的刷卡进门装置，是否安装有盗取密码的摄像机，ATM 工作状态、夜间灯箱、自助区照明是否正常，ATM 电视监控、"110" 联动报警等技防设施工作是否正常。

　　四、提升支付敏感信息安全防护的技术水平。

一是全面应用 支付标记化技术(Tokenization)，对卡号、卡片安全码等信息 进行脱敏处理，并通过设