¿Qué significa actualización de tarjeta bancaria?
En segundo lugar, para el mantenimiento del sistema bancario, normalmente habrá recordatorios o anuncios por mensaje de texto. Las tarjetas bancarias son herramientas de pago de crédito emitidas a la sociedad por instituciones financieras como los bancos comerciales y las instituciones de ahorro postal. Tienen todas o parte de las funciones de crédito al consumo, liquidación de transferencias y depósitos y retiros de efectivo. Las tarjetas bancarias incluyen tarjetas de crédito y tarjetas de débito.
Datos ampliados
Primero, fortalecer la gestión de seguridad de la información de las tarjetas bancarias
(1) Fortalecer la gestión del control interno de la información de pago confidencial. Todos los bancos comerciales, instituciones de pago (instituciones de pago no bancarias dedicadas a negocios de adquisición de tarjetas bancarias y negocios de pagos en línea, lo mismo a continuación) y instituciones de compensación de tarjetas bancarias deben implementar estrictamente el "Aviso del Banco Popular de China sobre la protección de la información personal". Información financiera de las instituciones financieras bancarias"” (Yinfa [2011] No. 17), mejorar el sistema de gestión de control interno de seguridad para la información de pago confidencial y reportar información relevante en 2007.
En primer lugar, está estrictamente prohibido conservar información de pago confidencial (incluido el seguimiento de la tarjeta bancaria o la información del chip, el código de verificación de la tarjeta, el período de validez de la tarjeta, la contraseña de la tarjeta bancaria, la contraseña de la transacción de pago en línea, etc.) y no lo hace. pertenecen a la institución. Si realmente fuera necesario conservarlo, deberá ser autorizado por el propio cliente y la entidad gestora de la cuenta.
El segundo es aclarar las responsabilidades de gestión de los puestos y el personal relevantes, separar estrictamente los puestos incompatibles y controlar la autoridad de operación de la información, formular procedimientos y especificaciones de operación de la información, fortalecer la supervisión interna y los mecanismos de rendición de cuentas, y prohibir a los empleados realizar operaciones ilegales. almacenar, robar, filtrar, intercambiar y pagar información confidencial.
En tercer lugar, se realizan auditorías internas de seguridad de la información confidencial de pagos al menos dos veces al año y se presentan informes para referencia futura. Si se descubre que se ha filtrado información de pago confidencial o que el personal interno opera en violación de las regulaciones debido a vulnerabilidades del sistema, se deben tomar medidas efectivas de inmediato para evitar que el riesgo se expanda y se debe informar al Banco Popular de China si se sospecha de delitos ilegales; deben ser reportados oportunamente a los órganos de seguridad pública.
(2) Reforzar la protección de seguridad de la información de pago sensible. Todos los bancos comerciales e instituciones de pago deben implementar cifrado de canales y autenticación bidireccional entre el software del cliente y el servidor, y entre el servidor y el servidor, y cifrar o cifrar los campos clave de información importante para garantizar la seguridad de la transmisión y almacenamiento de la información. y uso. Al realizar negocios de pagos en línea, no deberá confiar ni autorizar a instituciones asociadas sin calificaciones comerciales de pagos para recopilar información de pago confidencial. Se deben adoptar medidas de control de seguridad con protección de seguridad de entrada de información y funciones de cifrado instantáneo de datos, y se deben tomar medidas efectivas para evitar que las instituciones asociadas obtengan y retengan información de pago confidencial.
(3) Aplicación integral de la tecnología de marcado de pagos. A partir del 1 de diciembre de 2016, todos los bancos comerciales e instituciones de pago deben utilizar tecnología de tokenización de pagos para desensibilizar el número de tarjeta bancaria de la institución de pago, el código de verificación de la tarjeta, la cuenta de pago y otra información, estableciendo el número de transacciones, el monto de la transacción, el período de validez, etc. de la identificación del pago. Los atributos de control del dominio, como los canales de pago, controlan la fuga de información y los riesgos de transacciones fraudulentas desde la fuente.
(4) Fortalecer el mecanismo de protección de contraseña de transacciones. Todos los bancos comerciales e instituciones de pago deben fortalecer la protección y gestión de las contraseñas de tarjetas bancarias, pagos en línea y otras transacciones y la educación sobre seguridad del cliente, limitar estrictamente el uso de contraseñas de transacciones iniciales e instar a los clientes a modificarlas de manera oportuna, establecer un sistema de verificación. Mecanismo para la complejidad de las contraseñas de transacciones y evitar contraseñas de transacciones demasiado simples (como "1111" y ").
(5) Regular estrictamente la adquisición de servicios de subcontratación. Todos los bancos comerciales e instituciones de pago deben implementarlos estrictamente. las "Medidas de gestión de adquisición de tarjetas bancarias" (Anuncio del Banco Popular de China [2013] N° 9) y el "Aviso del Banco Popular de China sobre el fortalecimiento de la gestión de subcontratación de adquisiciones de tarjetas bancarias" (Yinfa [2065 438+05] No . 199), asume la responsabilidad de la gestión de seguridad de la información de pago confidencial durante el proceso de adquisición.
En primer lugar, la operación del sistema empresarial principal, la gestión de claves de terminal de aceptación y la revisión especial de la calificación del comerciante no deben dejarse en manos de la subcontratación.
En segundo lugar, se debe designar personal designado para administrar las claves del terminal y los parámetros relacionados. Asegúrese de que los diferentes terminales de aceptación utilicen diferentes claves maestras del terminal y cámbielos periódicamente. prohibir que las empresas entidades retengan información confidencial sobre pagos a través de acuerdos con comerciantes en línea y agencias de servicios de subcontratación. El cuarto es verificar que las agencias de servicios de subcontratación sean al menos una vez al año. Las entidades y los comerciantes en línea deberán realizar una evaluación de seguridad independiente y formular un informe. registro. Aquellos que no cumplan con los acuerdos pertinentes deben suspender inmediatamente la cooperación.
(6) Fortalecer la innovación de pagos y la gestión estandarizada.
Para aplicaciones importantes de tecnología de pago e innovaciones comerciales, los bancos comerciales y las instituciones de pago deben registrarse en el Banco Popular de China al menos 30 días antes del lanzamiento del proyecto y presentar materiales escritos, como planes de implementación del proyecto e informes de evaluación de seguridad externa. En el proceso de desarrollo empresarial es necesario hacer un buen trabajo en el seguimiento dinámico, la evaluación y la prevención y control de riesgos.
2. Incrementar la prevención de riesgos y el control de las transacciones por Internet con tarjetas bancarias.
(1) Reforzar la gestión de seguridad del software cliente. En primer lugar, los bancos comerciales y las instituciones de pago deben mejorar las capacidades de control y prevención de seguridad del software del cliente en términos de prevención de virus troyanos, protección de cifrado de información y entorno operativo confiable. El software del cliente debe poder monitorear el estado de seguridad del entorno de pago móvil y enviarlo al sistema backend como base para estrategias de control de riesgos, como restringir y rechazar transacciones. El segundo es configurar identificadores confiables o entradas rápidas para el software del cliente y los sitios web oficiales, e informar a los clientes sobre los métodos correctos de identificación y acceso a través de varios canales. En tercer lugar, se debe realizar una evaluación de seguridad externa al menos una vez al año y se debe archivar un informe para referencia futura para garantizar el cumplimiento de las normas técnicas.
(2) Fortalecer la gestión de seguridad de la autenticación de identidad para la apertura de negocios. Desde 2016 165438 + 1 de octubre, cuando los bancos comerciales establezcan negocios relacionados con instituciones de pago e instituciones comerciales basadas en tarjetas bancarias, deben adoptar estrictamente la autenticación de identidad multifactor para identificar directamente las identidades de los clientes y obtener la autorización del cliente. La autenticación de identidad debe utilizar una de las siguientes combinaciones: Primero, utilizar un certificado digital que cumpla con el estándar de autenticación electrónica financiera (JR/T 0118), combinando al menos un factor de autenticación, como una contraseña de transacción. El segundo es utilizar códigos que cumplan con las "Especificaciones Técnicas para la Aplicación de Contraseñas Dinámicas": (GM/T 0021), combinados con al menos un factor de autenticación como las contraseñas de transacciones. En tercer lugar, combine al menos dos factores de autenticación dinámica (como un código de verificación dinámico y una respuesta dinámica al desafío basada en el comportamiento del cliente) y utilice al menos dos canales de comunicación diferentes, como voz, SMS y datos (como banca móvil, mensajería instantánea y correo electrónico). ).
(3) Mejorar la seguridad de las transacciones de pago. En primer lugar, todos los bancos comerciales deben establecer y mejorar el mecanismo de gestión de clasificación para cuentas de liquidación bancarias personales de acuerdo con los requisitos del "Aviso del Banco Popular de China sobre la mejora de los servicios de cuentas bancarias personales y el fortalecimiento de la gestión de cuentas" (Yinfa [2015] No . 392), y guiar a los clientes para que utilicen las Categorías ⅱ y ⅲ. Realicen servicios de pago en línea de pequeñas cantidades con cuentas bancarias de Clase I para prevenir y controlar eficazmente el riesgo de fuga de información en varias cuentas bancarias, especialmente las cuentas de Clase I. En segundo lugar, cuando las instituciones de pago y otros socios envían instrucciones de pago a bancos comerciales y deducen fondos de las tarjetas bancarias de los clientes, todos los bancos comerciales y las instituciones de pago deben implementar estrictamente las "Medidas para la gestión del negocio de pagos en línea de las instituciones de pago no bancarias" ( Anuncio del Banco Popular de China [2015] No. 43) Artículo 10: Tomar medidas técnicas para hacer coincidir la intensidad de la verificación de transacciones con el monto de la transacción y mejorar la seguridad de la transacción.
(4) Fortalecer el seguimiento de riesgos de las transacciones por Internet. Todos los bancos comerciales e instituciones de pago deben utilizar análisis de big data, modelos de comportamiento del usuario y otros medios para establecer modelos y sistemas de monitoreo de riesgos de transacciones, advertir rápidamente sobre transacciones anormales y adoptar medidas tales como investigación y verificación, advertencia de riesgos y liquidación retrasada. Para comportamientos anormales, como inicios de sesión por lotes o de alta frecuencia, se deben utilizar direcciones IP, información de identificación del dispositivo terminal e información de caché del navegador para una identificación completa, y se deben tomar medidas como verificación adicional y rechazo de solicitudes de manera oportuna.
(5) Reforzar la prevención y el control conjunto de los riesgos de pago. Todos los bancos comerciales e instituciones de pago deben implementar concienzudamente el "Aviso del Banco Popular de China, el Ministerio de Industria y Tecnología de la Información, el Ministerio de Seguridad Pública y la Administración Estatal de Industria y Comercio sobre el establecimiento de una suspensión de pago de emergencia y un congelamiento rápido". "Mecanismo para cuentas involucradas en nuevos delitos ilícitos en redes de telecomunicaciones" (Yinfa [2065 438+ 06] No. 86), acceder a la nueva plataforma de gestión de eventos de riesgo ilícito y criminal de la red de telecomunicaciones según sea necesario, y fortalecer la gestión de suspensiones de pago y congelamiento de las cuentas involucradas en el caso.
En tercer lugar, prevenir eficazmente el riesgo de transacciones fraudulentas con tarjetas de banda magnética falsas.
(1) Utilice tarjetas IC financieras para reducir el riesgo de transacciones con banda magnética. 1. A partir del 1 de septiembre de 2006, las tarjetas bancarias recién emitidas basadas en cuentas de liquidación en RMB por bancos comerciales serán tarjetas financieras IC que cumplan con las "Especificaciones de tarjetas del circuito integrado financiero (IC) de China" (JR/T 0025) y adopten las Chips certificados por instituciones reconocidas por la Administración Nacional de Certificación y Acreditación para la Certificación y Acreditación. En segundo lugar, los bancos comerciales deben fortalecer aún más el control de riesgos de las transacciones con banda magnética en términos de canales de transacción, frecuencia de uso de la tarjeta, monto de transacción única, monto de transacción acumulada diaria, área de transacción, etc. Para transacciones sospechosas, la confirmación de la transacción y las indicaciones de riesgo deben proporcionarse a través de mensajes de texto, llamadas telefónicas y software de cliente. A partir del 1 de mayo de 2017, las transacciones con banda magnética de tarjetas compuestas de chip y banda magnética quedarán completamente cerradas.
En tercer lugar, los bancos comerciales deberían tomar medidas como cambiar las tarjetas sin cambiar los números y emitirlas en tiempo real para acelerar el proceso de sustitución de las tarjetas de banda magnética existentes por tarjetas IC financieras.
(2) Reforzar la gestión de seguridad de las terminales de aceptación. Todos los bancos comerciales e instituciones de pago deben fortalecer la gestión de seguridad en términos de selección, aceptación e inspecciones de productos en el sitio. , para garantizar que los estándares técnicos del terminal cumplen con la normativa. Las instituciones de compensación de tarjetas bancarias deben trabajar con las instituciones miembros para tomar medidas técnicas tales como firmas de terminales de acceso a la red e identificaciones únicas, fortalecer la gestión del acceso a la red de las terminales de aceptación y prohibir el uso de la red a las terminales de aceptación no calificadas y modificadas ilegalmente. Se debe establecer un mecanismo de inspección regular para los terminales en stock, y se deben realizar inspecciones de muestreo de terminales de manera continua para garantizar la consistencia de los terminales desplegados y las muestras calificadas, y el uso de terminales modificados debe controlarse estrictamente.
(3) Fortalecer la gestión del nombre real de los comerciantes especiales. Las instituciones de compensación de tarjetas bancarias, junto con las instituciones miembros, establecerán y mejorarán el sistema de gestión de información electrónica para comerciantes especiales físicos y en línea, implementarán estrictamente las disposiciones pertinentes del sistema de registro de nombre real, registrarán de manera completa y precisa la información de identidad de los comerciantes especiales y sus representantes legales o responsables, y monitorear la información de identidad de los comerciantes especiales y de sus representantes legales o responsables, se gestiona de manera asociada la información registrada en los diferentes bancos comerciales e instituciones de pago. Hacer pleno uso de tecnologías como la recopilación de imágenes y el posicionamiento regional, adoptar medios eficaces como la verificación cruzada multicanal, mejorar la revisión de calificaciones y el mecanismo de actualización de información de los comerciantes especiales y fortalecer continuamente la gestión de la autenticidad de la información de los comerciantes especiales.
(4) Fortalecer la gestión de listas negras de comerciantes ilegales. En primer lugar, todos los bancos comerciales e instituciones de pago deben establecer y mejorar el sistema de gestión de listas negras para entidades ilegales y comerciantes especiales en línea, y aclarar las condiciones de inclusión y eliminación de la lista negra y las medidas de sanción. Fortalecer el seguimiento e inspección de los comerciantes contratados especialmente. Infracciones como la filtración de información de pago confidencial, la modificación ilegal de terminales y la participación en fraudes con tarjetas falsificadas deben incluirse en la gestión de la lista negra. Dependiendo de la gravedad del caso, se adoptarán estrictamente medidas punitivas como retrasar la liquidación, suspender transacciones y poner fin a la cooperación, y se notificará oportunamente a la Asociación de Pagos y Compensación de China y a las instituciones de compensación de tarjetas bancarias. En segundo lugar, la Asociación de Pagos y Compensación de China y las agencias de compensación de tarjetas bancarias deberían establecer y mejorar los mecanismos de consulta e intercambio de información de la lista negra con bancos comerciales e instituciones de pago, aumentar los esfuerzos disciplinarios conjuntos y prohibir la expansión de comerciantes especiales que han sido incluidos en la lista negra.
(5) Implantar el sistema de transferencia de riesgos por fraude con tarjetas falsificadas. Las agencias de compensación de tarjetas bancarias deben trabajar con las instituciones miembros para implementar aún más las responsabilidades de riesgo de fraude con tarjetas falsificadas durante el proceso de aceptación de tarjetas bancarias y proteger los derechos e intereses de las partes que migran el chip. Establecer y mejorar el mecanismo de manejo de quejas, manejar adecuadamente los incidentes de riesgo de fraude y proteger eficazmente los derechos e intereses legítimos de los clientes.
4. Implementar estrictamente las regulaciones y aumentar la supervisión y las sanciones.
(1) Implementar estrictamente los estándares y la seguridad de la red nacional y cumplir con las regulaciones pertinentes. Todos los bancos comerciales, instituciones de pago y agencias de compensación de tarjetas bancarias deben implementar estrictamente las regulaciones nacionales pertinentes de seguridad de redes y tecnología de la información y utilizar productos de cifrado comerciales aprobados por la agencia nacional de gestión de criptografía. El primero es software de cliente, terminales de aceptación, tarjetas bancarias, certificados digitales, equipos de token dinámico, etc. Los involucrados deben cumplir con los estándares nacionales y de la industria financiera relevantes y aprobar una evaluación de seguridad institucional reconocida por la Administración Nacional de Certificación y Acreditación. En segundo lugar, la construcción y operación de sistemas comerciales debe cumplir con los requisitos pertinentes del nivel de protección de seguridad de la información nacional. En tercer lugar, implementar sistemas comerciales y sistemas de respaldo a nivel nacional de acuerdo con los requisitos de seguridad de redes nacionales pertinentes.
(2) Establecer y mejorar el mecanismo de supervisión e inspección. Las sucursales del Banco Popular de China deben otorgarle gran importancia y persistir en establecer un grupo líder de gestión de riesgos de tarjetas bancarias, establecer un mecanismo diario de supervisión e inspección e incluir la producción segura de los sistemas comerciales de pago, la seguridad de las terminales de aceptación ( incluidas interfaces de pago en línea) y la protección de información de pago confidencial en inspecciones policiales, coordinación y orientación coordinada, publicidad de políticas, inspecciones policiales, notificaciones de situación, etc.
(3) Incrementar las sanciones por infracciones. Las sucursales del Banco Popular de China deben investigar estrictamente la interrupción de los servicios de pago, la filtración de información de pago confidencial y las pérdidas de capital causadas por modificaciones de los terminales de aceptación de tarjetas bancarias, la baja intensidad de la verificación de las transacciones de pago, las vulnerabilidades de seguridad del sistema, los ataques a la red, etc. y seguir las "Medidas de gestión de adquisición de tarjetas bancarias" " y las disposiciones pertinentes de las "Medidas para la gestión del negocio de pagos en línea de instituciones de pago no bancarias" serán severamente castigadas.
Si las circunstancias son graves, las instituciones, directores, altos directivos y otro personal directamente responsable serán sancionados de conformidad con el artículo 46 de la Ley de la República Popular China sobre el Banco Popular de China; si se sospecha de un delito, informar oportunamente a los órganos de seguridad pública Informar a la agencia. Para instituciones de pago con circunstancias graves, de conformidad con las "Medidas para la administración de servicios de pago de instituciones no financieras" (Orden del Banco Popular de China [2010] N° 2) y las "Medidas para la administración de calificaciones clasificadas de entidades no financieras". -Instituciones de Pago Bancario” (Yinfa [2016] No. 106), Calificación de clasificación hasta la cancelación de la licencia comercial de pagos.
(4) Fortalecer la autodisciplina de la industria. La Asociación de Pagos y Compensación de China, de conformidad con los requisitos de este aviso y las regulaciones pertinentes, formulará normas de autorregulación para la industria de gestión de riesgos de tarjetas bancarias, establecerá mecanismos de inspección autorreguladora y restricción de violaciones, los organizará e implementará después de la presentación. con el Banco Popular de China antes del 30 de septiembre de 2016, y supervisar las unidades miembros Fortalecer la autodisciplina e implementar estrictamente diversas regulaciones.
Materiales de referencia:
Aviso del Banco Popular de China sobre un mayor fortalecimiento de la gestión de riesgos de las tarjetas bancarias