1、关于进一步加强银行卡风险管理的通知解读,人民银行科技司 2022年8月,1,目录,1,银发170号文件出台背景,2,3,文件的管理要求,文件的落实措施,1.1 支付产业发展形势,银行卡成为我国社会公众使用最广泛的非现金支付工具。截至2016年第二季度末，全国银行卡在用量58.28亿张，人均持有银行卡4.25张。2015年商业银行、非银行支付机构共完成银行卡交易852.3亿笔，金额669.8万亿元，同比分别增长0.4和0.5倍。移动支付业务增长迅猛。2015年商业银行共完成移动支付交易138.4亿笔，金额108.2万亿元，同比分别增长2.1和3.8倍；非银行支付机构共完成移动支付交易398.6亿

2、笔，金额22万亿元，同比分别增长1.6和1.7倍。,2,1.2 支付敏感信息泄露形势严峻,支付业务与互联网深度融合，更多的敏感支付信息暴露在虚拟、开放的互联网环境中，增加了信息泄露概率。更多的非银行领域的机构参与到支付产业中来，支付链条大大拉长。不同参与主体的风控能力参差不齐，风险洼地效应明显，链条中任何一个环节出现问题，就可能造成信息泄露。基于大数据开展精准营销和风控管理成为行业发展趋势，因此市场机构热衷于数据的获取。“采数”、“存数”已经成为一种常态。,3,1.3 支付敏感信息泄露导致的交易风险,快捷支付风险业务开通环节：部分机构未直接对客户进行身份鉴别。业务交易环节：交易验证强度普遍较弱

3、。“以短信验证码为主要因素进行客户身份认证或交易验证”的通用做法，已被伪基站、木马等攻击技术所破解。一旦银行卡号、手机号被泄露，就可通过快捷支付绕过现有的风控体系。磁条卡伪卡欺诈风险复制磁条卡的难度远远低于克隆金融IC卡。获取磁条卡信息后，极易伪造新卡或重写挂失、被盗、过期的旧卡。磁条交易安全验证主要靠交易密码（PIN），不法分子通过窥探、密码键盘附膜甚至从数据库批量获取PIN后，就可以利用POS终端进行支付或套现，境外信用卡交易甚至不需要PIN。,4,1.4 银发170号文总体目标,控制信息泄露源头,防范信息泄漏风险的传导,强化银行卡风险管理,强化银行卡信息的安全管理,加大互联网交易风险防控

4、力度,切实防范磁条卡伪卡欺诈风险,5,1.5 两条工作主线,电商系统,第三方支付服务系统,商业银行业务系统,转接清算系统,收单系统,线下商户系统,线上支付,线下支付,在线上渠道，大力推广支付标记化技术,在线下渠道，进一步巩固芯片化迁移工作,6,7,目录,1,银发170号文件出台背景,2,3,文件的管理要求,文件的落实措施,2.1.1 支付敏感信息安全管理技术管理,8,9,2.1.2 支付敏感信息安全管理内控管理,强化支付敏感信息内控管理不得委托或授权无支付业务资质的合作机构采集支付敏感信息。严禁留存非本机构的支付敏感信息，确有必要留存的应取得客户本人及账户管理机构的授权。明确相关岗位和人员的管

5、理责任，严格控制信息操作权限。每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查。,10,2.1.3 支付敏感信息安全管理外包管理,规范收单外包服务收单机构应严格落实银行卡收单业务管理办法、关于加强银行卡收单业务外包管理的通知（银发2015199号），要履行收单环节支付敏感信息安全管理责任。收单机构不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。指定专人管理终端密钥和相关参数，确保不同的受理终端使用不同的终端主密钥并定期更换。每年应对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估，并形成报告存档备查。,11,2.2 线上渠

6、道应用支付标记化技术,支付标记化技术是用一串具有唯一性、临时性的数值，代替银行卡号、支付账号等原始支付要素进行交易。简单来讲，支付标记就是支付要素的别名。同一支付要素可针对不同的商户、渠道等应用场景，派生出多个支付标记。支付标记具有不可逆性和独立性，一个支付标记的泄露无法推导出原始支付要素，也不影响该支付要素派生的其他支付标记的安全使用。支付标记具有唯一性，在机构内部和互联互通场景下支付标记均可实现通用。,12,2.2.1 线上渠道应用支付标记化技术技术优势,能够从信息源头控制风险 在互联网开放虚拟环境下，使用支付标记作为交易要素，不再出现真实账户相关信息，可避免账户信息在交易环节被非法留存，

7、实现了对支付敏感信息的保护。能够精细化实施风险控制策略 通过设置风控属性，将支付标记的交易场景限定在特定的时间、设备、渠道、交易类型和商户，能够综合客户身份与设备信息验证、支付信息附加验证等措施进行交易合法性识别和精细化风险管控，在不影响便捷性和客户体验的情况下能够显著提升支付交易安全。能够为支付创新提供更大空间 引入时间、空间等维度的风控因素，降低了手机支持支付的技术门槛，减少支付对手机硬件配置的依赖，简化复杂的面对面业务开通流程，从而扩大了支付受众群体，丰富了线上支付的应用场景，为支付技术创新提供更大的空间。,2.2.2 线上渠道应用支付标记化技术技术框架,两个重要角色,两个核心流程,标记

8、化服务系统（TSP）维护Token库，管理Token生命周期；产生并发行Token及相关信息；管理TR并向其提供标记服务。,标记请求方（TR）TR负责向TSP发起Token申请请求，存储支付标记TR需向TSP申请注册，并接受TSP的管理TR可以由现有的支付参与方担任,Token申请TR收集客户的账户信息后，向TSP提交申请Token；TSP根据规则产生Token及相关信息，返回给TR。,Token交易商户、收单传递Token；通过TSP完成去标记化操作，将还原支付要素发送账户管理方；账户管理方对支付要素进行验证，授权交易。,13,14,2.2.3 线上渠道应用支付标记化技术应用工作,应用探索工

9、作 商业银行、中国银联采用手机全终端、HCE与支付标记化技术相结合的方案，推广云闪付服务。目前工行、农行、中行、建行、银联等已逐步建成TSP系统。支付机构利用支付标记化技术创新产品，提升安全性，拓展其服务领域。,15,2.2.4 线上渠道应用支付标记化技术应用工作,标准化工作人民银行于2015年底组织商业银行、支付机构、中国银联等启动了支付标记化技术金融行业标准的研制工作。2016年11月10日发布中国金融移动支付 支付标记化技术规范（JR/T 0149-2016），明确了支付标记化技术架构，从系统建设、交易安全、风险控制等方面提出体系化的技术要求，强化技术标准对支付创新的规范和引领作用 管理

10、要求商业银行、支付机构等自2016年12月1日起全面应用支付标记化技术，从源头控制支付敏感信息的泄露风险和欺诈交易风险。,16,2.3 线下渠道应用芯片化技术,17,2.3.1 线下渠道应用芯片化技术金融IC卡优点,安全性高 采用中央处理器（CPU）芯片、密码算法协处理器、真随机数产生技术，通过严密的技术处理流程有效防范伪卡交易。可靠性强 具有防磁、防静电、防机械损坏、防化学破坏等能力，相对磁条卡信息保存时间更长，读写次数在数万次以上（磁条卡读写次数受环境影响较大，易消磁）。存储空间大 存储空间大（可达128k字节），支持一卡多应用，是磁条卡存储容量（一般为300字节左右）的数百倍。,18,2

11、.3.2 线下渠道应用芯片化技术推广的必要性,线下银行卡渠道风险主要集中在磁条卡伪卡欺诈交易。伪卡欺诈损失上升趋势明显，银行卡芯片化迁移是保护持卡人资金安全的迫切需要。顺应国际芯片化迁移的大趋势，如不启动将成为银行卡伪卡欺诈风险洼地！,19,2011年3月印发关于推进金融IC卡应用工作的意见（银发201164号），明确要求：2011年6月底前，工、农、中、建、交、招行和邮储银行开始发行金融IC卡。2013年1月1日起，全国性银行应开始发行金融IC卡。2015年1月1日起，在经济发达地区和重点合作行业领域，商业银行发行的、以人民币为结算账户的银行卡应为金融IC卡。,2.3.3 线下渠道应用芯片化

12、技术银行卡发行,20,2016年6月印发关于进一步加强银行卡风险管理的通知（银发2016170号），明确要求：对于新发银行卡，自2016年9月1日起，各商业银行新发行的基于人民币结算账户的银行卡应为全面符合中国金融集成电路（IC）卡规范（JR/T 0025）的金融IC卡。对于存量磁条卡，采取换卡不换号、实时发卡等措施加快存量磁条卡的换芯进度。,2.3.3 线下渠道应用芯片化技术银行卡发行,21,受理环境建设工作2011年12月底，POS终端能够受理接触式金融IC卡。2012年12月底，ATM能够受理接触式金融IC卡。2013年1月1日起，实现境内联网通用终端能够全面受理接触式金融IC卡。201

13、7年5月31日起，POS终端全面受理非接触式金融IC卡。,2.3.4 线下渠道应用芯片化技术受理环境建设,22,受理终端安全管理标准符合性管理。商业银行、支付机构应从受理终端产品选型、验收、现场检查等环节加强管理，确保受理终端的标准符合性。入网管理。银行卡清算机构应会同成员机构采取入网终端数字签名、唯一性标识、绑定注册管理等技术措施，加强受理终端入网管理，严禁不符合标准或改装的受理终端入网使用。一致性管理。对于存量终端应建立定期检查机制，持续开展终端抽检工作，确保实际布放的终端与合格样品的一致性。,2.3.4 线下渠道应用芯片化技术终端安全管理,23,关闭金融IC卡芯片磁条复合卡降级交易201

14、4年印发关于逐步关闭金融IC卡降级交易有关事项的通知（银办发2014107号）要求：2014年8月31日前关闭境内ATM渠道降级交易；2014年10月31日前关闭境内POS渠道降级交易。银发2016170号要求自2017年5月1日起，全面关闭芯片磁条复合卡的降级交易。,2.3.5 线下渠道应用芯片化技术支付交易安全,实现应用流程的自动衔接：大额与小额交易的自动衔接(联机)：交易金额较小（如小于300元）时，终端可在风险可控前提下优化交易流程；交易金额较大（如大于300元）时，自动转标准qPBOC交易流程。脱机与联机交易的自动衔接：受理非接电子现金（脱机）交易时，如果终端判断卡内无电子现金应用或

15、电子现金余额不足，自动转qPBOC(联机)交易流程。无论小额和大额、脱机和联机、卡片和手机，均统一用户体验，实现服务体验的一致性：统一POS终端的消费入口统一采用非接受理技术统一POS终端受理界面和流程,24,2.3.6 线下渠道应用芯片化技术支付交易便捷性,提升交易便捷性,25,2.3.7 线下渠道应用芯片化技术风险管理,严格落实伪卡欺诈风险责任转移规则,发卡机构承担伪卡风险责任,未完成迁移受理终端,完成迁移的受理终端,磁条卡,金融IC卡,发卡机构承担伪卡风险责任,收单机构承担伪卡风险责任,发卡机构承担 伪卡风险责任例外：收单环节因主观原因造成降级交易产生的伪卡风险责任由收单机构承担,26,

16、2.4.1 提升支付业务的身份鉴别强度开通环节,在快捷支付业务开通环节，商业银行应直接对客户进行身份鉴别，采用以下组合方式：采用符合标准的数字证书，并组合交易密码等至少一种认证因素（如UKey+银行卡交易密码、UKey+短信动态验证码、手机SE+银行卡交易密码、手机SE+短信动态验证码）。采用符合标准的动态令牌设备，并组合交易密码等至少一种认证因素（如OTP令牌+银行卡交易密码、OTP令牌+短信动态验证码）。至少组合两种动态认证因素，并采用语音、短信、数据等至少两种不同通信渠道（如短信动态验证码+手机银行发给客户的动态挑战应答“如最近一笔交易金额是多少?”、微信动态验证码+通过电话语音方式向客

17、户提出基于客户行为的挑战应答“如最近一笔交易是在哪个城市发生的？”）。,27,2.4.2 提升支付业务的身份鉴别强度交易环节,支付交易环节建立健全支付账户分类管理机制，引导客户使用类、类银行账户办理网络支付业务，有效防控各类银行账户特别是类账户支付安全风险。在支付机构向商业银行发送支付指令、扣划客户银行卡资金时，应严格落实非银行支付机构网络支付业务管理办法,采取交易验证强度与交易额度相匹配的技术措施，提高交易的安全性。,28,交易口令管理加强银行卡、网络支付等交易密码的保护管理和客户安全教育。严格限制使用初始交易密码，并提示客户及时修改。建立交易密码复杂度校验机制，提醒交易密码过于简单（如“1

18、11111”或“123456”）或与客户个人信息（如出生日期、证件号码、手机号码等）相似度过高。,2.4.3 提升支付业务的身份鉴别强度交易口令,29,2.5.1 加强支付风险交易监控线上支付,互联网支付交易监控异常交易监控利用大数据分析、用户行为建模等技术手段，建立交易风险监控模型和系统，及时预警异常交易。采取调查核实、风险提示、延迟结算等处置措施。异常登录监控利用IP地址、终端设备标识信息、浏览器缓存信息等对客户端特征、请求频次进行识别，加强“撞库”、“拖库”行为监控。针对批量或高频登录等异常行为，加强对系统日志监控和分析，及时采取附加验证、拒绝请求等措施。,30,2.5.2 加强支付风险

19、交易监控线下支付,线下支付交易监控从交易渠道、刷卡频次、单笔交易金额、日累计交易金额、交易地区等方面加强磁条交易风控。加大特约商户实名制管理力度建立特约商户信息电子化管理体系，健全特约商户资质审核和信息更新机制，完整、准确记录特约商户及其法人代表人或主要负责人的身份信息，对同一特约商户在不同商业银行和支付机构注册的信息进行关联管理。利用影像采集、区域定位等技术，采取多渠道交叉验证等有效手段，严格特约商户信息真实性管理。应建立健全违规实体和网络特约商户黑名单管理制度。,31,目录,1,银发170号文件出台背景,2,3,文件的管理要求,文件的落实措施,32,3.1 风险专项排查,2016年9月印发

20、关于开展银行卡信息泄露风险专项排查工作的通知（银办发2016192号）全面摸底商业银行、支付机构、银行卡清算机构（简称从业机构）支付业务系统、风控措施、管理制度等方面存在的信息和资金安全隐患。督导从业机构对发现的风险实施清单管控，及时采取有效措施排除隐患、控制风险传导。督促从业机构健全银行卡风险管理制度，建立风险管理长效机制，持续做好风险监测、预警工作。,33,3.1.1 风险专项排查排查范围,排查范围：涵盖从业机构与个人账户信息、业务处理相关的系统。商业银行：银行卡、网络支付、网上银行、手机银行等业务系统。支付机构：网络支付、银行卡收单等业务系统。银行卡清算机构：转接清算系统等。,34,3.

21、1.2 风险专项排查排查内容,排查内容：涉及业务系统、风控和制度3大类共90项排查要点。排查影响支付敏感信息保护、交易安全、业务连续性等系统方面的隐患。排查内部审计、外部安全评估、交易监控、受理终端安全等风控方面存在的问题。排查支付敏感信息安全内控、收单外包、特约商户实名制管理等制度方面的不足。,35,3.1.3 风险专项排查工作安排,工作安排从业机构自查整改（2016年9月-11月）对照银行卡信息泄露风险专项排查列表逐项对自查。对发现问题进行及时整改，建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题，要采取补偿措施、明确整改计划和方案，按期整改。2016年12月2日前，形成自查报

22、告报送人民银行。人民银行核实（2016年12月-2017年1月）对从业机构自查结果及整改情况采取访谈、查看系统、查阅资料等方式进行全面核实。对于自查质量不高、问题较多或整改率较低的从业机构，将重点进行现场核实和督导工作。,36,3.2 加强网络支付接口报文的规范管理,2016年10月印发网络支付报文结构及要素技术规范（银办发2016222号）加强支付机构与银行合作开展银行账户付款、收款业务接口报文的规范管理，确保支付指令的的真实性、完整性、可追溯性和一致性。要严格落实银发261号文件，于2017年3月31日前按照规报文范完成系统改造工作。,37,3.2 加强网络支付接口报文的规范管理,支付指令

23、的真实性,支付指令的完整性,支付指令的一致性,支付指令的安全性,统一使用金融机构代码(JR/T0124)，采用数字签名、加密传输等措施，保障支付指令的真实性。,报文应能够从收付款方、商户、渠道、订单等方面完整刻画真实交易，并对其进行哈希运算，从业务和技术方面确保支付指令的完整性。,报文应准确记录发起方、接收方、备付金、网络路由等信息。采取唯一交易流水号和交易终端编码，保障资金的可追溯性和支付指令的一致性。,采取支付标记化技术对账户、卡号相关信息进行脱敏处理，从源头控制交易环节信息泄露和交易安全风险。,具体要求,38,3.3 宣传引导工作,2016年10月印发文件部署集中开展信息保护和支付安全宣

24、传工作（银办发2016218号），宣传目的：,解读支付管理政策文件，加快政策准确传导。,普及支付安全知识，增强支付安全风险意识。,宣传支付风险防范手段，培养安全支付习惯。,剖析支付风险表现形式，提高风险识别能力。,一,二,四,三,39,3.3 宣传引导工作,宣传内容宣传保护网络支付账号、银行卡卡号、交易密码、短信验证码、身份证号码等信息对资金安全的重要性。介绍手机银行、云闪付、快捷支付、金融IC卡、磁条卡、二维码支付等常见支付方式的安全特性和风险点，增强公众支付安全风险意识。结合典型案例，使公众了解虚假网站、伪WiFi接入点、仿冒客户端软件、恶意二维码的甄别方法，提高公众支付风险识别能力。讲解支付敏感信息保护、资金风险防范技能，引导公众采用与交易额度、应用场景匹配的支付方式，培养“大额重安全、小额讲便捷”的支付习惯。,40,谢谢！,