【重磅】央行发大招!最全面的支付安全风险大检查来了……
近日,中国人民银行办公厅发布《关于开展支付安全风险专项排查工作的通知》(银办发〔2018〕146号),将开始为期半年,范围涵盖商业银行、清算机构、支付机构等支付从业机构的支付安全风险大检查。
央行表示,《关于开展支付安全风险专项排查工作的通知》开展的检查是为了贯彻《中华人民共和国网络安全法》,进一步加强支付领域网络与信息安全管理,有效防范支付风险,切实保障消费者合法权益。
央行往期排查主要聚焦在支付系统安全,而这一次的排查重点增加了对客户端APP更加细致的安全要求。
中国人民银行副行长范一飞此前曾经公开表示,由于互联网的虚拟化、支付服务的移动化、参与主体的多样化,支付风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点,支付行业在敏感信息保护、客户资金安全、业务连续性等方面压力较大。
在146号文中,央行共列出了182项有关支付安全技术方面的检查细则,主要有哪些呢?请速看!
政策法规依据
《中华人民共和国网络安全法》、《非银行支付机构网络支付业务管理办法(中国人民银行公告【2015】》、《银行卡收单业务管理办法》、(中国人民银行公告[2013]第9号公布)、《中国人民银行关于进一步加强银行卡风险管理的通知》(银发【2016】170号)等。
按照《支付安全风险专项排查列表》展开排查,内容包括:
一是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。
二是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。
三是督查支付交易报文规范化改造、终端信息注册等工作落实情况。
四是排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险。
排查范围涵盖了三个层次:
1、在从业机构方面,涵盖了商业银行、非银行支付机构、清算机构等;
2、从业机构支付业务相关的客户端应用软件,包括但不限于手机银行、移动支付等客户端应用软件及支付控件;
3、系统范围:涵盖从业机构支付业务相关系统,包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统,非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统,清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。
通知显示,此次央行留给从业机构的整改时间为2018年9月至10月,并要求在9月30日前向人民银行报送《客户端应用软件明细表》,并逐项对安全风险进行整改自查。2018年11月至2019年2月,央行将对支付机构进行全面核查和抽样检测,对支付安全风险专项排查及整改情况进行通报。
数据传输安全列为重点排查项
在“支付安全风险专项排查列表”的第8项中,要求商业银行、非银行支付机构、清算机构应在客户端与服务器之间建立安全的信息传输通道,通过公开网络进行数据传输时应通过密钥、证书等密码技术手段进行双向认证,如使用安全套接字层或传输安全(SSL/TLS)、互联网协议安全(IPSec)等协议。
可以预见,未来客户端安全的监管要求将越来越高,对数据安全与交易安全将成为从业企业的焦点话题。这使得越来越多企业通过安装SSL证书以实现HTTPS加密,有效防止了在传输过程中被第三方窃听、篡改和冒充的风险。
某支付APP已采取数据安全技术措施
亚洲诚信助力实现HTTPS加密
支付安全无小事!如今,HTTPS已是大势所趋,安装SSL证书已成为互联网平台最基本的安全保障!亚洲诚信为各行业提供国际知名品牌SSL数字证书、TrustAsia®自主品牌的SSL证书以及自主知识产权的SSL证书管理、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案。目前,亚洲诚信已经为广发银行、光大银行、西安银行等多家网上银行及第三方支付平台提供SSL证书产品和服务。
如果您对SSL证书有任何的疑问,欢迎电话或在线咨询!我们有7*24小时全天候一对一技术支持服务,及时响应并快速解决问题,为用户提供更优质的服务体验。助力企业顺利迈入HTTPS时代。
服务热线:400-880-8600
官方网站:www.trustasia.com