加强银行卡敏感信息安全管理出台规范了

置支付标记的交易次数、交易金额、有 效期、支付渠道等域控属性，从源头控制信息泄露和交易风险。

　　二是开展网络支付业务时，不得委托或授权无支付业务资质的合 作机构采集支付敏感信息，应采用具有信息输入安全防护、即时 数据加密功能的安全控件，采取有效措施防止合作机构获取、留 存支付敏感信息。

　　三是加强网络交易风险监控。利用大数据分析、用户行为建模等手段，建立交易风险监控模型和系统，及时预警 异常交易，并采取调查核实、风险提示、延迟结算等措施。针对 批量或高频登录等异常行为，应利用IP地址、终端设备标识信 息、浏览器缓存信息等进行综合识别，及时采取附加验证、拒绝 请求等手段。

　　四是加强客户端软件安全管理，确保客户端软件符 合国家、金融行业相关标准和信息安全要求。从木马病毒防范、 信息加密保护、运行环境可信等方面提升客户端软件安全防控能力。

　　五是服务器端应对接收数据的有效性进行校验，防止客户端提交非法数据，进行SQL注入等攻击。

　　五、切实提高业务开通以及交易过程中的身份认证强度。

　　一是提高业务开通身份认证强度。自2016年11月1日起，银行基于银行卡账户与支付机构、商业机构建立关联业务时，应严格采 用多因素身份认证方式，直接鉴别客户身份，并取得客户授权。

　　二是增强支付交易验证强度。在支付机构等合作方向银行发送支 付指令、扣划客户银行卡账户资金时，银行、支付机构应严格落 实《非银行支付机构网络支付业务管理办法》(中国人民银行公 告[2015]第 43 号公布)第十条规定，参照第二十二条、第二十 三条、第二十四条等相关要求，采取交易额度与验证强度相匹配 的技术措施，提高交易的安全性。银行应依照《中国人民银行关 于改进 个人 银 行账户 服务加强 账 户管 理的通 知 》(银发 [2015]392 号)，建立健全个人银行结算账户分类管理机制，引 导客户使用 II 类、III 类银行账户办理小额网络支付业务，有效防控 I 类银行账户信息泄露风险。

　　六、加大特约商户规范管理力度。

　　一是银行卡清算机构应会同收单机构建立健全特约商户信息电子化管理体系，严格落实特 约商户实名制相关规定，完整、准确记录特约商户及其法定代表 人或主要负责人的身份信息，并对同一商户在不同收单机构的注 册信息进行关联管理，通过对商户信息的交叉比对，关注同一身份申请多个商户的情形，加强对一机多号(一机多商户)的违规 行为的排查。

　　二是充分利用影像采集、区域定位等技术，采取多 渠道交叉验证等有效手段，健全特约商户资质审核和信息更新机 制，持续加强特约商户信息真实性管理。

　　三是收单机构应确保特 约商户按规定使用受理终端(网络支付接口)和收单银行结算账 户，不得将受理终端(网络支付接口)用于受理协议约定以外的 用途，不得利用其从事或协助他人从事非法活动。

　　四是加强对特 约商户银行卡套现、磁道侧录、终端改装、终端移机等违规行为 的监控、巡检和风险评级，并采取延迟资金结算、暂停交易、收 回受理终端等措施。

　　五是各银行、支付机构应建立健全违规实体 和网络特约商户黑名单管理制度，明确黑名单纳入与移出条件、 惩罚措施等。加强对特约商户的监测、巡检，对于存在支付敏感 信息泄露、非法改装终端、参与伪卡欺诈等违规行为的，应纳入 黑名单管理，视严重程度从严采取延迟结算、暂停交易、终止合 作等惩戒措施，并及时报送中国支付清算协会、银行卡清算机构; 依托中国支付清算协会、银行卡清算机构的黑名单信息共享机制分享风险商户信息，禁止拓展已纳入黑名单的商户。

　　七、规范收单外包服务管理。

　　各收单机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第 9 号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银 发[2015]199 号)，承担收单环节支付敏感信息安全管理责任。

　　一是不得将核心业务系统运营、受理终端密钥管理、特约商户资 质审核等工作交由外包服务机构办理。

　　二是指定专人管理终端密 钥和相关参数，确保不同的受理终端使用不同的终端主密钥并定 期更换。

　　三是通过协议禁止实体和网络特约商户、外包服务机构 不得留存支付敏感信息。

　　四是每年应对外包服务机构、实体和网 络特约商户至少开展一次有一定独立性的安全评估，并形成报告 存档备查，对于未遵守相关协议的，应立即终断合作。五是及时 将出现违法违规行为的外包服务机构信息报送中国支付清算协 会，纳入黑名单管理，并终止与其合作。

　　八、加强客户银行卡支付安全教育工作。