日前中国人民银行办公厅发出了《关于开展支付安全风险专项排查工作的通知》
日前中国人民银行办公厅发出了《关于开展支付安全风险专项排查工作的通知》
排查范围:
1.机构范围:商业银行、非银行支付机构、清算机构等(以下统称从业机构)。
2.客户端应用软件范围:涵盖从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件。
3.系统范围:涵盖从业机构支付业务相关系统,包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统,非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统,清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。
排查内容:
按照《支付安全风险专项排查列表》开展专项排查,内容包括:
一是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。
二是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。
三是督查支付交易报文规范化改造、终端信息注册等工作落实情况。
四是排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险
工作安排
(一)从业机构自查整改( 2018年9月至10月)。
1.2018年9月30日前,从业机构向人民银行报送《客户端应用软件明细表》(附件2)。
2.从业机构严格对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查,对发现的问题及时整改,并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题,要采取补偿措施,明确整改计划和方案,按期整改。2018年10月31日前,形成自查报告报送人民银行。
(二)人民银行核实(2018年11月至12月)。
1.全面核查。人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。
2.抽样检测。人民银行依据《客户端应用软件明细表》,开展客户端应用软件抽样检测工作。
(三)总结及后续管理(2019年1月至2月)。
人民银行分支机构要对整体情况及主要问题进行认真全面分析总结,形成书面报告,于2019年3月1日前报送人民银行总行。对于未完成整改的问题,要求从业机构作为2019 年内部审计和外部安全评估的重点,持续监督整改。
人民银行总行将根据排查整体情况,总结归纳突出、典型问题,及时发布风险提示,并对支付安全风险专项排查及整改情况进行通报。
排查范围:
1.机构范围:商业银行、非银行支付机构、清算机构等(以下统称从业机构)。
2.客户端应用软件范围:涵盖从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件。
3.系统范围:涵盖从业机构支付业务相关系统,包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统,非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统,清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。
排查内容:
按照《支付安全风险专项排查列表》开展专项排查,内容包括:
一是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。
二是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。
三是督查支付交易报文规范化改造、终端信息注册等工作落实情况。
四是排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险
工作安排
(一)从业机构自查整改( 2018年9月至10月)。
1.2018年9月30日前,从业机构向人民银行报送《客户端应用软件明细表》(附件2)。
2.从业机构严格对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查,对发现的问题及时整改,并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题,要采取补偿措施,明确整改计划和方案,按期整改。2018年10月31日前,形成自查报告报送人民银行。
(二)人民银行核实(2018年11月至12月)。
1.全面核查。人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。
2.抽样检测。人民银行依据《客户端应用软件明细表》,开展客户端应用软件抽样检测工作。
(三)总结及后续管理(2019年1月至2月)。
人民银行分支机构要对整体情况及主要问题进行认真全面分析总结,形成书面报告,于2019年3月1日前报送人民银行总行。对于未完成整改的问题,要求从业机构作为2019 年内部审计和外部安全评估的重点,持续监督整改。
人民银行总行将根据排查整体情况,总结归纳突出、典型问题,及时发布风险提示,并对支付安全风险专项排查及整改情况进行通报。