日前，中國人民銀行辦公廳發布《關于開展支付安全風險專項排查工作的通知》（銀辦發〔2018〕146號），通知稱為進一步加強支付領域網絡與信息安全管理，有效防范支付風險，切實保障消費者合法權益，人民銀行決定開展支付安全風險專項排查工作。

　　值得一提的是，央行往期排查主要聚焦在支付系統安全，而這一次的排查重點增加了對客戶端應用軟件安全要求?？梢灶A見，未來客戶端安全的監管要求將越來越高，對數據安全與交易安全將成為從業企業的焦點話題。移動支付網與北京移動金融產業聯盟將于11月15日在深圳舉辦2018第三屆中國移動金融安全大會，聚焦數據安全與交易安全，歡迎產業鏈各方參與。

　　排查內容、范圍及方式

　　(一)排查內容。

　　按照《支付安全風險專項排查列表》開展專項排查,內容包括：

　　一是排查客戶端應用軟件敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患。

　　二是排查支付業務系統在系統安全、交易安全、數據保護、業務連續性、賬戶管理、內控管理等方面存在的問題。

　　三是督查支付交易報文規范化改造、終端信息注冊等工作落實情況。四是排查支付產品質量管理方面存在的不足，切實防范支付業務安全風險。

　　(二)排查范圍。

　　1.機構范圍：商業銀行、非銀行支付機構、清算機構等(以下統稱從業機構)。

　　2.客戶端應用軟件范圍：涵蓋從業機構支付業務相關的客戶端應用軟件，包括但不限于手機銀行、移動支付等客戶端應用軟件及支付控件。

　　3.系統范圍：涵蓋從業機構支付業務相關系統，包括但不限于商業銀行的銀行卡發行與受理、互聯網支付、移動支付、手機銀行、風控管理、賬戶管理等系統，非銀行支付機構的互聯網支付、移動支付、銀行卡收單、預付卡發行與受理、風控管理等系統，清算機構的轉接清算系統、大數據分析校驗平臺、支付終端注冊管理平臺等系統。

　　工作安排

　　(一)從業機構自查整改(2018年9月至10月)。

　　1.2018年9月30日前，從業機構向人民銀行報送《客戶端應用軟件明細表》(附件2)。

　　2.從業機構嚴格對照《支付安全風險專項排查列表》逐項對本機構支付安全隱患進行自查，對發現的問題及時整改，并建立問題清單管控和動態跟蹤機制。對于短期內無法完成整改的問題，要采取補償措施，明確整改計劃和方案，按期整改。2018年10月31日前，形成自查報告報送人民銀行。

　　(二)人民銀行核實(2018年11月至12月)。

　　1.全面核查。人民銀行對從業機構自查及整改情況采取訪談、查看系統、查閱資料等方式進行全面核查。對于自查質量不高、問題較多或整改率較低的從業機構進行現場核查。

　　2.抽樣檢測。人民銀行依據《客戶端應用軟件明細表》，開展客戶端應用軟件抽樣檢測工作。

　　(三)總結及后續管理(2019年1月至2月)。

　　人民銀行分支機構要對整體情況及主要問題進行認真全面分析總結，形成書面報告，于2019年3月1日前報送人民銀行總行。對于未完成整改的問題，要求從業機構作為2019年內部審計和外部安全評估的重點，持續監督整改。

　　人民銀行總行將根據排查整體情況，總結歸納突出、典型問題，及時發布風險提示，并對支付安全風險專項排查及整改情況進行通報。

　　工作要求

　　(一)人民銀行分支機構要成立專項排查小組，結合本地實際情況制定切實可行的工作方案，認真組織從業機構進行全面自查及整改，做好核實工作。

　　(二)從業機構要高度重視，根據本通知要求制定行之有效的自查方案，全面開展自查和整改工作，積極配合人民銀行做好核實工作。

　　(三)人民銀行分支機構要以此次排查為契機，充分利用排查結果，形成從業機構支付安全畫像，并將其作為轄區內商業銀行考核和非銀行支付機構分類評級、支付業務許可證續展的參考依據。

　　(四)對于本通知規定的報告事項，全國性商業銀行、清算機構報送人民銀行總行，其他商業銀行、非銀行支付機構報送法人所在地人民銀行副省級城市中心支行以上分支機構。

　　支付安全風險專項排查列表

　　一、客戶端應用軟件安全

　　身份證驗證信息管理

　　客戶端數據錄入安全

　　客戶端數據傳輸安全

　　客戶端應用軟件自身安全

　　二、支付系統安全管理

　　物理安全

　　網絡安全

　　主機安全

　　應用安全

　　數據安全

　　業務連續性

　　三、支付交易安全管理

　　交易安全基本要求

　　銀行卡受理終端安全管理

　　銀行卡交易安全

　　條碼支付交易安全

　　線上交易業務開通身份認證安全管理

　　支付交易安全強度

　　交易驗證與確認

　　交易過程安全

　　基于大數據技術的風險防控

　　II、III類銀行賬戶系統賬戶管理基本要求

　　II、III類銀行賬戶系統密鑰管理要求

　　II、III類銀行賬戶系統賬戶管理安全要求

　　II、III類銀行賬戶系統密碼功能

　　II、III類銀行賬戶系統線上交易處理功能

　　II、III類銀行賬戶系統線下交易處理功能

　　II、III類銀行賬戶系統交易限制

　　II、III類銀行賬戶系統開戶風險監控

　　II、III類銀行賬戶系統交易風險監控

　　II、III類銀行賬戶系統交易欺詐監控

責任編輯：王超