1. 은행 카드 업그레이드는 일반적으로 일부 기능을 추가하는 백그라운드 시스템 업그레이드이며 일반적으로 소비자와 관련이 없습니다. 그러나 업그레이드 시 은행 카드를 중지해야 하며 시간은 일반적으로 0입니다. 00. 사용에 영향을 미칩니다.
2. 은행 시스템 유지보수를 위해 일반적으로 문자 메시지 알림이나 공지사항이 제공됩니다. 은행카드란 일반은행, 우체국 등 금융기관이 사회에 발행하는 신용결제수단으로서 소비자신용, 이체결제, 현금입출금 등의 기능의 전부 또는 일부를 말한다. 은행카드에는 신용카드와 직불카드가 있습니다.
추가 정보
1. 은행 카드 정보 보안 관리 강화
(1) 민감한 결제 정보에 대한 내부 통제 관리를 강화합니다. 모든 상업 은행, 결제 기관(은행 카드 취득 업무 및 온라인 결제 업무에 종사하는 비은행 결제 기관, 이하 동일) 및 은행 카드 결제 기관은 "인민은행의 개인 보호를 위한 은행 금융 기관에 관한 통지"를 엄격히 이행해야 합니다. 금융 정보" "고지"(Yinfa [2011] No. 17), 민감한 결제 정보에 대한 보안 내부 통제 관리 시스템을 개선하고 2016년 9월 1일 이전에 중국인민은행에 관련 상황을 보고합니다.
첫째, 기관 소유가 아닌 민감한 결제정보(은행카드 트랙 또는 칩 정보, 카드 인증코드, 카드 유효기간, 은행카드 비밀번호, 온라인 결제 거래 비밀번호 등) 보유를 엄격히 금지합니다. 등)을 보유할 필요가 있는 경우를 제외하고는 고객 및 계좌관리기관의 승인을 받아야 합니다.
두 번째는 관련 직위 및 인력의 관리 책임을 명확히 하고, 부적합 직위를 엄격히 분리하고 정보 운용 권한을 통제하며, 정보 운용 절차 및 사양을 제정하고, 내부 감독 및 책임 메커니즘을 강화하며, 불법 저장을 엄격히 금지하는 것입니다. 직원이 민감한 결제 정보를 훔치고, 유출하고, 구매하고 판매합니다.
셋째, 민감한 결제 정보의 보안에 대한 내부 감사를 최소 1년에 2회 실시해야 하며 보고서는 나중에 참고할 수 있도록 보관해야 합니다. 시스템 취약점으로 인해 민감한 결제 정보가 유출되었거나 내부 직원이 규정을 위반한 사실이 발견된 경우 위험 확대를 방지하기 위해 즉시 효과적인 조치를 취하고 불법 범죄가 의심되는 경우 중국인민은행에 신고해야 합니다. 적시에 공안기관에 보고해야 합니다.
(2) 민감한 결제 정보의 보안 보호를 강화합니다. 모든 상업 은행과 결제 기관은 클라이언트 소프트웨어와 서버, 서버와 서버 간 채널 암호화 및 양방향 인증을 구현해야 하며, 중요 정보의 핵심 필드를 해시 또는 암호화하여 정보 전송, 저장 및 사용의 보안을 보장해야 합니다. 온라인 결제업무를 수행함에 있어 결제업무 자격이 없는 협력기관에 민감한 결제정보 수집을 위탁하거나 허가하여서는 아니 되며, 정보입력 보안 및 실시간 데이터 암호화 기능을 갖춘 보안통제를 채택하여야 하며, 이를 방지하기 위한 효과적인 조치를 취하여야 합니다. 협력 기관은 민감한 결제 정보를 획득하고 보유하지 않습니다.
(3) 결제 토큰화 기술의 포괄적인 적용. 2016년 12월 1일부터 모든 시중은행과 결제기관은 결제 토큰화 기술(토큰화)을 사용해 은행 카드 번호, 카드 인증 코드, 결제 기관 결제 계좌 및 기타 정보를 둔감화하고 결제 태그를 설정해야 합니다. 거래 건수, 거래 금액 , 유효 기간, 결제 채널 및 기타 도메인 제어 속성을 소스에서 제어하여 정보 유출 및 사기 거래 위험을 제어할 수 있습니다.
(4) 거래 비밀번호 보호 메커니즘을 강화합니다. 모든 상업 은행과 결제 기관은 은행 카드, 온라인 결제 및 기타 거래 비밀번호에 대한 보호 및 관리와 고객 보안 교육을 강화하고 초기 거래 비밀번호의 사용을 엄격히 제한하며 고객이 적시에 수정하도록 유도하고 거래 비밀번호를 설정해야 합니다. 시스템 검증 메커니즘을 복잡하게 하고, 과도한 거래 비밀번호(예: "111111", "123456" 등)를 피하거나 고객의 개인정보(예: 생년월일, ID 번호, 휴대폰 번호 등)와 너무 유사한 것을 피하십시오. ).
(5) 인수에 대한 아웃소싱 서비스를 엄격하게 규제합니다. 모든 상업은행 및 결제 기관은 "은행 카드 취득 사업 관리 조치"(중국 인민 은행 공고 제9호 [2013])와 "중국 인민 은행의 아웃소싱 관리 강화에 관한 통지"를 엄격히 이행해야 합니다. 은행 카드 취득 사업'(Yinfa [2015] No. 199), 취득 과정에서 민감한 결제 정보의 보안 관리를 담당합니다.
첫째, 핵심업무 시스템 운영, 인수단말기 키 관리, 특별가맹점 자격심사 등의 업무를 아웃소싱 용역업체에 맡겨서는 안 된다.
두 번째는 터미널 키 및 관련 매개 변수를 관리할 전담 인력을 지정하여 서로 다른 승인 터미널이 서로 다른 터미널 마스터 키를 사용하고 정기적으로 교체하도록 보장하는 것입니다.
세 번째는 법인, 온라인 가맹점, 아웃소싱 서비스 대행사가 계약을 통해 민감한 결제정보를 보유하는 것을 금지하는 것입니다.
넷째, 아웃소싱 서비스 기관, 법인 및 온라인 가맹점을 대상으로 매년 1회 이상 독립적인 보안 평가를 수행하고, 향후 참고를 위해 보고서를 작성하여 보관해야 합니다. 관련 합의가 이루어지지 않을 경우 즉시 협력을 중단해야 합니다.
(6) 결제 혁신의 표준화된 관리를 강화합니다. 중요한 결제 기술 적용 및 비즈니스 혁신을 위해 모든 상업 은행 및 결제 기관은 프로젝트 시작 최소 30일 전에 중국인민은행에 등록하고 프로젝트 구현 계획 및 외부 보안 평가 보고서와 같은 서면 자료를 제출해야 합니다. 비즈니스 개발 과정에서 위험에 대한 동적 모니터링, 평가, 예방 및 통제가 잘 수행되어야 합니다.
2. 은행 카드 인터넷 거래의 위험 예방 및 통제를 강화합니다.
(1) 클라이언트 소프트웨어의 보안 관리를 강화합니다. 첫째, 모든 상업 은행과 결제 기관은 트로이 목마 바이러스 예방, 정보 암호화 보호 및 신뢰할 수 있는 운영 환경 측면에서 클라이언트 소프트웨어 보안 예방 및 제어 기능을 향상해야 합니다. 클라이언트 소프트웨어는 거래 제한 및 거부와 같은 위험 통제 전략의 기초로서 모바일 결제 환경의 보안 상태를 모니터링하고 백엔드 시스템에 피드백할 수 있어야 합니다. 두 번째는 신뢰할 수 있는 로고나 클라이언트 소프트웨어 및 공식 웹사이트에 대한 빠른 진입을 설정하고, 여러 채널을 통해 고객에게 올바른 식별 및 액세스 방법을 알리는 것입니다. 셋째, 외부 안전성 평가는 최소 1년에 1회 실시해야 하며, 기술 표준 준수를 보장하기 위해 향후 참조를 위해 보고서를 보관해야 합니다.
(2) 개업을 위한 신원인증 보안관리를 강화한다. 2016년 11월 1일부터 시중은행은 은행카드를 기반으로 결제기관 및 상업기관과 관련 사업을 설립할 때 다단계 신원인증 방식을 엄격히 도입해 고객을 직접 식별하고 고객 승인을 받아야 한다. 신원 인증은 다음 조합 중 하나를 채택해야 합니다. 먼저 "금융 전자 인증 사양"(JR/T 0118)을 준수하는 디지털 인증서를 사용하고 거래 비밀번호와 같은 인증 요소 중 하나 이상을 결합해야 합니다. 두 번째는 "동적 비밀번호 및 비밀번호 적용을 위한 기술 사양"(GM/T 0021)을 준수하고 이를 거래 비밀번호와 같은 인증 요소 중 하나 이상과 결합하는 동적 토큰 장치를 사용하는 것입니다. 세 번째는 2개 이상의 동적 인증 요소(예: 동적 인증 코드, 고객 행동에 따른 동적 질문 응답 등)를 결합하고 음성, SMS, 데이터(예: 모바일 등)와 같은 2개 이상의 서로 다른 통신 채널을 사용하는 것입니다. 뱅킹, 인스턴트 메시징, 이메일).
(3) 결제 거래의 보안을 향상합니다. 첫째, 모든 상업은행은 "개인 은행 계좌 서비스 개선 및 계좌 관리 강화에 관한 중국 인민은행 통지"(Yinfa [2015] No.392)에 따라 개인 은행 결제 계좌 분류 관리 메커니즘을 구축하고 개선해야 합니다. , 고객이 Type II 및 Type III 은행 계좌를 사용하도록 안내하여 소액 온라인 결제 서비스를 처리함으로써 다양한 은행 계좌, 특히 Class I 계좌에서 정보 유출 위험을 효과적으로 방지하고 통제합니다. 둘째, 결제기관 및 기타 제휴업체가 시중은행에 결제지시를 보내고 고객의 은행카드에서 자금을 인출하는 경우 모든 시중은행 및 결제기관은 '비은행 결제기관의 온라인 결제업무 관리 대책'( 중국인민은행 고시 [2015] 고시 제43호 제10조에서는 거래 보안을 강화하기 위해 거래 검증 강도와 거래 금액을 일치시킬 수 있는 기술적 조치를 취해야 한다고 규정하고 있습니다.
(4) 인터넷 거래 위험에 대한 모니터링을 강화합니다. 모든 상업은행과 결제기관은 빅데이터 분석, 사용자 행동 모델링 및 기타 수단을 활용해 거래 위험 모니터링 모델과 시스템을 구축하고 비정상적인 거래에 대해 즉각 경고하며 조사 및 검증, 위험 경고, 결제 지연 등의 조치를 취해야 합니다. 일괄 로그인이나 고주파 로그인 등 비정상 행위에 대해서는 IP 주소, 단말식별정보, 브라우저 캐시 정보 등을 활용하여 종합적으로 식별하고, 적시에 추가 검증, 요청거부 등의 조치를 취해야 합니다. .
(5) 지급 위험에 대한 공동 예방 및 통제를 강화합니다. 모든 상업 은행과 결제 기관은 '긴급 지급 중지 및 급속 동결 설정에 관한 중국 인민은행, 공업정보화부, 공안부, 국가 공상행정관리국의 통지'를 성실히 이행해야 합니다. 통신 네트워크의 새로운 불법 범죄와 관련된 계정에 대한 메커니즘"(Yinfa [2016] No. 86), 필요에 따라 통신 네트워크의 새로운 불법 및 범죄 거래 위험 이벤트 관리 플랫폼에 액세스하고 지불 중지 및 계정 동결 관리를 강화합니다. 사건에 연루되어 있습니다.
3. 위조 마그네틱 카드와 관련된 사기 거래 위험을 효과적으로 방지합니다.
(1) 금융 IC 카드를 사용하여 마그네틱 카드 거래 위험을 줄입니다. 먼저, 2016년 9월 1일부터 시중은행이 위안화 결제계좌를 기반으로 신규 발급하는 은행카드는 '중국 금융집적회로(IC) 카드 규격'(JR/T 0025)을 준수하는 금융IC카드를 채택해야 한다. 국가인증인정관리부서가 인정한 기관의 안전성 평가를 통과한 칩입니다.
둘째, 모든 시중은행은 거래 채널, 카드 긁기 빈도, 단일 거래 금액, 일일 누적 거래 금액, 거래 영역 등 측면에서 마그네틱 스트라이프 거래 위험 통제를 더욱 강화해야 합니다. 의심스러운 거래에 대해서는 문자 메시지, 전화 통화, 클라이언트 소프트웨어 등을 통해 거래 확인 및 위험 경고를 수행해야 합니다. 2017년 5월 1일부터 칩-자기띠 복합카드에 대한 자기띠 거래가 전면 중단됩니다. 셋째, 모든 시중은행은 기존 마그네틱카드를 금융IC카드로 교체하는 과정을 가속화하기 위해 번호변경 없이 카드를 교체하고 실시간으로 카드를 발급하는 등의 조치를 취해야 한다.
(2) 접수단말기의 보안관리를 강화한다. 모든 상업은행과 결제기관은 인수 단말기의 기술 표준 준수를 보장하기 위해 인수 단말기 제품 선택, 인수, 현장 검사 및 기타 측면에서 안전 관리를 강화해야 합니다. 은행 카드 결제 기관은 회원 기관과 협력하여 수용 단말기에 대한 네트워크 접속 관리를 강화하기 위해 네트워크 단말기 서명, 고유 식별 등 기술적 조치를 취해야 하며, 표준에 맞지 않거나 불법적으로 개조된 수용 단말기의 사용을 엄격히 금지해야 합니다. . 기존 터미널에 대해 정기적인 검사 메커니즘을 확립해야 하며, 배포된 터미널과 자격을 갖춘 샘플의 일관성을 보장하기 위해 지속적인 터미널 샘플링 검사를 수행해야 하며, 개조된 터미널의 사용을 엄격하게 통제해야 합니다.
(3) 전문가맹점 실명관리를 강화한다. 은행카드결제기관은 회원기관과 협력하여 법인 및 온라인 특점정보 전자관리시스템을 구축 및 개선하고, 특점실명제 관련 규정을 엄격히 시행하며, 특점상인의 신원정보를 완전하고 정확하게 기록해야 한다. 및 그 법정대리인 또는 주체와 동일 가맹점이 서로 다른 시중은행 및 결제기관에 등록한 정보는 연계하여 관리됩니다. 이미지 수집, 지역 위치 확인 등의 기술을 최대한 활용하고, 다채널 교차 검증 등 효과적인 수단을 채택하며, 전문 가맹점의 자격 검토 및 정보 업데이트 메커니즘을 개선하고, 전문 가맹점 정보의 진위 관리를 지속적으로 강화합니다.
(4) 불법특매업자 블랙리스트 관리를 강화한다. 첫째, 모든 시중은행과 결제기관은 불법사업자와 온라인 가맹점에 대한 블랙리스트 관리체계를 구축·개선하고, 블랙리스트 가입 및 삭제 조건, 처벌조치 등을 명확히 해야 한다. 민감한 결제정보 유출, 단말기 불법개조, 위조카드 사기 등 부정행위에 가담한 가맹점에 대한 모니터링과 점검을 강화하고, 블랙리스트 관리에 포함시켜 정산지연, 거래정지 등 엄중한 조치를 취한다. , 심각도 및 기타 징계 조치에 따라 협력을 종료하고 중국 지급결제 협회 및 은행 카드 결제 기관에 즉시 통보하십시오. 둘째, 중국지급결제협회 및 은행카드결제기관은 시중은행 및 결제기관과 협력하여 블랙리스트 정보 공유 및 조회 메커니즘을 구축 및 개선하고 공동 처벌을 강화하며 블랙리스트에 포함된 특수 가맹점의 확대를 금지해야 합니다. 블랙리스트.
(5) 위조 카드 사기 위험에 대한 책임을 전가하기 위한 규칙을 구현합니다. 은행 카드 청산 기관은 회원 기관과 협력하여 은행 카드 인수 과정에서 위조 카드 사기에 대한 위험 책임을 추가로 구현하고 칩 마이그레이션 당사자의 권리와 이익을 보호해야 합니다. 사기 위험 사건을 적절하게 처리하고 고객의 합법적인 권익을 효과적으로 보호하기 위한 완전한 불만 처리 메커니즘을 구축합니다.
4. 각종 규정을 엄격히 시행하고 감독 및 처벌을 강화합니다.
(1) 국가 네트워크 보안 및 표준을 엄격히 이행하고 관련 규정을 준수합니다. 모든 상업 은행, 결제 기관 및 은행 카드 결제 기관은 관련 국가 네트워크 보안 및 정보 기술 보안 규정을 엄격하게 구현하고 국가 암호화 관리 기관에서 승인한 상업용 암호화 제품을 사용해야 합니다. 첫째, 관련된 클라이언트 소프트웨어, 승인 단말기, 은행 카드, 디지털 인증서, 동적 토큰 장치 등은 관련 국가 및 금융 산업 표준을 준수하고 국가 인증 및 인정 관리 부서에서 인정한 기관의 보안 평가를 통과해야 합니다. 둘째, 비즈니스 시스템의 구축 및 운영은 국가 정보 보안 수준 보호 관련 요구 사항을 준수해야 합니다. 셋째, 관련 국가 네트워크 보안 요구 사항에 따라 비즈니스 시스템과 백업 시스템을 우리나라 내에 배포해야 합니다.
(2) 감독 및 검사 메커니즘을 구축하고 개선합니다. 중국인민은행 지점은 이를 중시하고 부단한 노력을 기울여야 하며, 은행카드 리스크 관리 영도그룹을 설립하고 일상적인 감독검사 메커니즘을 구축하며 결제 업무 시스템의 안전한 생산, 수용 보장을 통합해야 합니다. 단말기(네트워크 결제 인터페이스 포함), 민감한 결제 정보를 법 집행 기관에 보호 검사, 지도 및 조정의 전반적인 조정, 정책 홍보, 법 집행 검사, 상황 알림 등
(3) 위반에 대한 처벌을 강화합니다. 중국인민은행 지점은 은행 카드 승인 단말기 변경, 낮은 결제 거래 검증 강도, 시스템 보안 취약성, 사이버 공격으로 인한 결제 서비스 중단, 민감한 결제 정보 유출, 자금 손실을 엄격히 조사해야 합니다. , 은행카드 승인규정에 따라 행동해야 합니다. 단일업무 관리방법, 비은행 결제기관의 온라인 결제업무 관리방법 등 관련 규정에 따라 엄격한 처벌이 부과됩니다.
심각한 사건의 경우, 중화인민공화국 중국인민은행법 제46조의 규정에 의거 관련 기관 및 직접 책임이 있는 이사, 고위 관리자 및 기타 직접적인 책임이 있는 책임자 범죄 혐의가 있는 경우, 적시에 공안 기관에 신고하십시오. 상황이 심각한 지급 기관의 경우 '비금융 기관 지급 서비스 관리 조치'(중국 인민 은행 명령 [2010] 2호 발행) 및 '비금융 기관 지급 서비스 관리 조치'를 준수해야 합니다. 비은행 결제기관 분류등급'(Yinfa[2016] 제106호(문서발행))에서는 '지급결제업 허가'가 취소될 때까지 분류등급이 하향 조정된다고 규정하고 있다.
(4) 업계 자체 규율 및 표준을 강화합니다. 중국지급결제협회는 본 고시 및 관련 규정의 요구에 따라 은행카드 위험 관리 업계의 자율 규제 규범을 제정하고 자율 검사 및 위반 제지 메커니즘을 구축하며 이를 조직하고 시행합니다. 2016년 9월 30일 이전에 중국 인민은행에 보고하고 회원 단위를 감독합니다. 자율성을 강화하고 각종 규정을 엄격히 시행합니다.
참고 자료: 은행 카드 위험 관리 강화에 관한 중국인민은행 공지