【人民银行】《进一步加强银行卡风险管理的通知》解读（40页）.ppt

1、关于进一步加强银行卡风险管理的通知解读,人民银行科技司 2022年8月,1,目录,1,银发170号文件出台背景,2,3,文件的管理要求,文件的落实措施,1.1 支付产业发展形势,银行卡成为我国社会公众使用最广泛的非现金支付工具。截至2016年第二季度末，全国银行卡在用量58.28亿张，人均持有银行卡4.25张。2015年商业银行、非银行支付机构共完成银行卡交易852.3亿笔，金额669.8万亿元，同比分别增长0.4和0.5倍。移动支付业务增长迅猛。2015年商业银行共完成移动支付交易138.4亿笔，金额108.2万亿元，同比分别增长2.1和3.8倍；非银行支付机构共完成移动支付交易398.6亿

2、笔，金额22万亿元，同比分别增长1.6和1.7倍。,2,1.2 支付敏感信息泄露形势严峻,支付业务与互联网深度融合，更多的敏感支付信息暴露在虚拟、开放的互联网环境中，增加了信息泄露概率。更多的非银行领域的机构参与到支付产业中来，支付链条大大拉长。不同参与主体的风控能力参差不齐，风险洼地效应明显，链条中任何一个环节出现问题，就可能造成信息泄露。基于大数据开展精准营销和风控管理成为行业发展趋势，因此市场机构热衷于数据的获取。“采数”、“存数”已经成为一种常态。,3,1.3 支付敏感信息泄露导致的交易风险,快捷支付风险业务开通环节：部分机构未直接对客户进行身份鉴别。业务交易环节：交易验证强度普遍较弱

3、。“以短信验证码为主要因素进行客户身份认证或交易验证”的通用做法，已被伪基站、木马等攻击技术所破解。一旦银行卡号、手机号被泄露，就可通过快捷支付绕过现有的风控体系。磁条卡伪卡欺诈风险复制磁条卡的难度远远低于克隆金融IC卡。获取磁条卡信息后，极易伪造新卡或重写挂失、被盗、过期的旧卡。磁条交易安全验证主要靠交易密码（PIN），不法分子通过窥探、密码键盘附膜甚至从数据库批量获取PIN后，就可以利用POS终端进行支付或套现，境外信用卡交易甚至不需要PIN。,4,1.4 银发170号文总体目标,控制信息泄露源头,防范信息泄漏风险的传导,强化银行卡风险管理,强化银行卡信息的安全管理,加大互联网交易风险防控

4、力度,切实防范磁条卡伪卡欺诈风险,5,1.5 两条工作主线,电商系统,第三方支付服务系统,商业银行业务系统,转接清算系统,收单系统,线下商户系统,线上支付,线下支付,在线上渠道，大力推广支付标记化技术,在线下渠道，进一步巩固芯片化迁移工作,6,7,目录,1,银发170号文件出台背景,2,3,文件的管理要求,文件的落实措施,2.1.1 支付敏感信息安全管理技术管理,8,9,2.1.2 支付敏感信息安全管理内控管理,强化支付敏感信息内控管理不得委托或授权无支付业务资质的合作机构采集支付敏感信息。严禁留存非本机构的支付敏感信息，确有必要留存的应取得客户本人及账户管理机构的授权。明确相关岗位和人员的管

5、理责任，严格控制信息操作权限。每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查。,10,2.1.3 支付敏感信息安全管理外包管理,规范收单外包服务收单机构应严格落实银行卡收单业务管理办法、关于加强银行卡收单业务外包管理的通知（银发2015199号），要履行收单环节支付敏感信息安全管理责任。收单机构不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。指定专人管理终端密钥和相关参数，确保不同的受理终端使用不同的终端主密钥并定期更换。每年应对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估，并形成报告存档备查。,11,2.2 线上渠

6、道应用支付标记化技术,支付标记化技术是用一串具有唯一性、临时性的数值，代替银行卡号、支付账号等原始支付要素进行交易。简单来讲，支付标记就是支付要素的别名。同一支付要素可针对不同的商户、渠道等应用场景，派生出多个支付标记。支付标记具有不可逆性和独立性，一个支付标记的泄露无法推导出原始支付要素，也不影响该支付要素派生的其他支付标记的安全使用。支付标记具有唯一性，在机构内部和互联互通场景下支付标记均可实现通用。,12,2.2.1 线上渠道应用支付标记化技术技术优势,能够从信息源头控制风险 在互联网开放虚拟环境下，使用支付标记作为交易要素，不再出现真实账户相关信息，可避免账户信息在交易环节被非法留存，