如何提高銀行的安全等級
2018-04-01 17:46:59
來源: 佰佰安全網(wǎng)
4825人閱讀
導語:
隨著金融體制改革的不斷深入和發(fā)展���,金融機構(gòu)的經(jīng)營理念和管理水平得到了很大的改善���,其安全防范水平也得到了長足的發(fā)展。那么如何提高銀行的安全等級?下面和佰佰安全網(wǎng)了解下吧����。
隨著移動通信技術和互聯(lián)網(wǎng)金融的快速發(fā)展,銀行卡使用安全面臨新的挑戰(zhàn)����。為進一步加強銀行卡信息的安全管理,提升支付風險防控能力��,很多銀行提高銀行的安全等級����。那么如何提高銀行的安全等級?下面和佰佰安全網(wǎng)了解下吧。
一�、強化銀行卡信息的安全管理
(一)強化支付敏感信息內(nèi)控管理。各商業(yè)銀行�、支付機構(gòu)(從事銀行卡收單業(yè)務、網(wǎng)絡支付業(yè)務的非銀行支付機構(gòu)���,下同)��、銀行卡清算機構(gòu)應嚴格落實《中國人民銀行關于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號)����,健全支付敏感信息安全內(nèi)控管理制度���,并將有關情況于2016年9月1日前報告人民銀行�。一是嚴禁留存非本機構(gòu)的支付敏感信息(包括銀行卡磁道或芯片信息、卡片驗證碼��、卡片有效期�����、銀行卡密碼����、網(wǎng)絡支付交易密碼等),確有必要留存的應取得客戶本人及賬戶管理機構(gòu)的授權�。二是明確相關崗位和人員的管理責任,嚴格分離不相容崗位并控制信息操作權限�,制定信息操作流程和規(guī)范,強化內(nèi)部監(jiān)督���、責任追究機制�����,嚴禁從業(yè)人員非法存儲�、竊取����、泄露����、買賣支付敏感信息����。三是每年應至少開展兩次支付敏感信息安全的內(nèi)部審計�,并形成報告存檔備查。發(fā)現(xiàn)因系統(tǒng)漏洞造成支付敏感信息泄露或內(nèi)部人員違規(guī)行為的�����,應立即采取有效措施防止風險擴大���,并向人民銀行報告;涉嫌違法犯罪的���,應及時報告公安機關。
(二)加強支付敏感信息的安全防護�。各商業(yè)銀行、支付機構(gòu)應在客戶端軟件與服務器����、服務器與服務器之間進行通道加密和雙向認證�,對重要信息關鍵字段進行散列或加密存儲����,保障信息傳輸、存儲�、使用安全。開展網(wǎng)絡支付業(yè)務時����,不得委托或授權無支付業(yè)務資質(zhì)的合作機構(gòu)采集支付敏感信息,應采用具有信息輸入安全防護��、即時數(shù)據(jù)加密功能的安全控件����,采取有效措施防止合作機構(gòu)獲取、留存支付敏感信息��。
(三)全面應用支付標記化技術��。自2016年12月1日起����,各商業(yè)銀行、支付機構(gòu)應使用支付標記化技術(
Tokenization)���,對銀行卡卡號�����、卡片驗證碼����、支付機構(gòu)支付賬戶等信息進行脫敏處理����,并通過設置支付標記的交易次數(shù)、交易金額�����、有效期�、支付渠道等域控屬性,從源頭控制信息泄露和欺詐交易風險�。
(四)強化交易密碼保護機制。各商業(yè)銀行�、支付
機構(gòu)應加強銀行卡、網(wǎng)絡支付等交易密碼的保護管理和客戶安全教育����,嚴格限制使用初始交易密碼并提示客戶及時修改�����,建立交易密碼復雜度系統(tǒng)校驗機制����,避免交易密碼過于簡單(如“111111”��、“123456”等)或與客戶個人信息(如出生日期����、證件號碼、手機號碼等)相似度過高����。
(五)嚴格規(guī)范收單外包服務。各商業(yè)銀行�����、支付機構(gòu)應嚴格落實《銀行卡收單業(yè)務管理辦法》(中國人民銀行公告〔2013〕第9號公布)����、《中國人民銀行關于加強銀行卡收單業(yè)務外包管理的通知》(銀發(fā)〔2015〕199號),承擔收單環(huán)節(jié)支付敏感信息安全管理責任。一是不得將核心業(yè)務系統(tǒng)運營���、受理終端密鑰管理�����、特約商戶資質(zhì)審核等工作交由外包服務機構(gòu)辦理��。二是指定專人管理終端密鑰和相關參數(shù)�����,確保不同的受理終端使用不同的終端主密鑰并定期更換。三是通過協(xié)議禁止實體和網(wǎng)絡特約商戶�、外包服務機構(gòu)留存支付敏感信息。四是每年對外包服務機構(gòu)����、實體和網(wǎng)絡特約商戶至少開展一次有一定獨立性的安全評估,并形成報告存檔備查�����,對于未遵守相關協(xié)議的�,應立即中斷合作。
(六)加強支付創(chuàng)新規(guī)范管理��。對于重要支付技術應用、業(yè)務創(chuàng)新����,各商業(yè)銀行、支付機構(gòu)應至少于項目上線前30日向人民銀行備案��,提交項目實施方案�、外部安全評估報告等書面材料。業(yè)務開展過程中�����,應做好風險的動態(tài)監(jiān)測�����、評估和防控工作��。
二���、加大銀行卡互聯(lián)網(wǎng)交易風險防控力度
(一)強化客戶端軟件安全管理���。一是各商業(yè)銀行、支付機構(gòu)應從木馬病毒防范、信息加密保護�����、運行環(huán)境可信等方面提升客戶端軟件安全防控能力�。客戶端軟件應能夠監(jiān)測并向后臺系統(tǒng)反饋手機支付環(huán)境安全狀況����,作為限制、拒絕交易等風控策略的依據(jù)����。二是對客戶端軟件及官方網(wǎng)站設置可信標識或快捷入口,并通過多種渠道告知客戶正確的識別及訪問方法����。三是每年必須至少開展一次外部安全評估����,形成報告存檔備查,確保技術標準符合性�。
(二)加強業(yè)務開通身份認證安全管理。自2016年11月1日起�,各商業(yè)銀行基于銀行卡與支付機構(gòu)、商業(yè)機構(gòu)建立關聯(lián)業(yè)務時,應嚴格采用多因素身份認證方式�����,直接鑒別客戶身份���,并取得客戶授權��。
以上是如何提高銀行的安全等級����。想了解更多銀行安全小知識�,請繼續(xù)關注佰佰安全網(wǎng)吧。
責任編輯:毛麗
- 評論
以下網(wǎng)友言論不代表佰佰安全網(wǎng)觀點
發(fā)表
為更好的為公眾說明安全知識的重要性�,本站引用了部分來源于網(wǎng)絡的圖片插圖,無任何商業(yè)性目的����。適用于《信息網(wǎng)絡傳播權保護條例》第六條“為介紹、評論某一作品或者說明某一問題�,在向公眾提供的作品中適當引用已經(jīng)發(fā)表的作品”之規(guī)定���。如果權利人認為受到影響,請與我方聯(lián)系���,我方核實后立即刪除����。
為您推薦
-
2019.04.01 20:50:58
-
2019.04.01 17:00:51
-
2019.04.01 15:31:58
-
2019.04.01 14:36:49
-
2019.04.01 14:21:23
-
2019.04.01 11:12:21
3185
