央行：146号文专项支付安全全国排查 182个检查要点

来源: 支付快讯   

日前，人行办公厅发布《关于开展支付安全风险专项排查工作的通知》，通知称为进一步加强支付领域网络与信息安全管理，有效防范支付风险，切实保障消费者合法权益，人民银行决定开展支付安全风险专项排查工作。

排查内容、范围及方式

（一）排查内容。

按照《支付安全风险专项排查列表》开展专项排查，内容包括：

一是排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。

二是排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题。

三是督查支付交易报文规范化改造、终端信息注册等工作落实情况。四是排查支付产品质量管理方面存在的不足，切实防范支付业务安全风险。

（二）排查范围。

1．机构范围：商业银行、非银行支付机构、清算机构等（以下统称从业机构）。

2．客户端应用软件范围：涵盖从业机构支付业务相关的客户端应用软件，包括但不限于手机银行、移动支付等客户端应用软件及支付控件。

3．系统范围：涵盖从业机构支付业务相关系统，包括但不限于商业银行的银行卡发行与受理、互联网支付、移动支付、手机银行、风控管理、账户管理等系统，非银行支付机构的互联网支付、移动支付、银行卡收单、预付卡发行与受理、风控管理等系统，清算机构的转接清算系统、大数据分析校验平台、支付终端注册管理平台等系统。

工作安排

（一）从业机构自查整改（ 2018年9月至10月）。

1.2018年9月30日前，从业机构向人民银行报送《客户端应用软件明细表》（附件2）。

2．从业机构严格对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查，对发现的问题及时整改，并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题，要采取补偿措施，明确整改计划和方案，按期整改。2018年10月31日前，形成自查报告报送人民银行。

（二）人民银行核实（2018年11月至12月）。

1．全面核查。人民银行对从业机构自查及整改情况采取访谈、查看系统、查阅资料等方式进行全面核查。对于自查质量不高、问题较多或整改率较低的从业机构进行现场核查。

2．抽样检测。人民银行依据《客户端应用软件明细表》，开展客户端应用软件抽样检测工作。

（三）总结及后续管理（2019年1月至2月）。

人民银行分支机构要对整体情况及主要问题进行认真全面分析总结，形成书面报告，于2019年3月1日前报送人民银行总行。对于未完成整改的问题，要求从业机构作为2019 年内部审计和外部安全评估的重点，持续监督整改。

人民银行总行将根据排查整体情况，总结归纳突出、典型问题，及时发布风险提示，并对支付安全风险专项排查及整改情况进行通报。

工作要求

（一）人民银行分支机构要成立专项排查小组，结合本地实际情况制定切实可行的工作方案，认真组织从业机构进行全面自查及整改，做好核实工作。

（二）从业机构要高度重视，根据本通知要求制定行之有效的自查方案，全面开展自查和整改工作，积极配合人民银行做好核实工作。

（三）人民银行分支机构要以此次排查为契机，充分利用排查结果，形成从业机构支付安全画像，并将其作为辖区内商业银行考核和非银行支付机构分类评级、支付业务许可证续展的参考依据。

（四）对于本通知规定的报告事项，全国性商业银行、清算机构报送人民银行总行，其他商业银行、非银行支付机构报送法人所在地人民银行副省级城市中心支行以上分支机构。

17年7月27日，央行总行营管部科技部副处长刘立安在非银行支付机构技术交流会上介绍，出现这几种情况就会在续展中被“一票否决”，支付机构将面临“不予续展”的决定。这几种情况包括：

存在支付业务核心系统外包，或缺少必要的备份设备（包括但不限于核心网络设备、应用服务器、数据库服务器等）；支付业务系统存在较大风险漏洞，造成个人敏感信息泄露，造成较大损失或社会影响；

安全事件报告和处置不及时或未采取有效措施，造成较大经济或社会影响现场检查、系统检测、漏洞排查等发现问题未及时整改，或者国家有关部门通报的重大安全漏洞未及时修补，造成较大经济损失或社会影响；

根据《中国人民银行关于<支付业务许可证>续展工作的通知》（银（2015）358号）中规定，关于系统等多种情况都不能完成续展的情况包括：以欺骗等不正当手段申请《支付业务许可证》的；在支付业务设施安全及风险监控方面存在重大缺陷，或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的；

中国人民银行副行长范一飞表示，由于互联网的虚拟化、支付服务的移动化、参与主体的多样化，支付风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点，支付行业在敏感信息保护、客户资金安全、业务连续性等方面压力较大，信息泄露已成为支付安全问题的风险源头。金融的本质在于经营风险，风险管理始终是金融行业的一项基础工作。在互联网与金融服务融合发展的背景下，部分从业机构和消费者对信息泄露与电信网络欺诈的影响范围、严重程度估计不足，风险防范意识没有跟上，防范措施也不到位。二是部分非银行支付机构风险意识缺位。此前有多家支付公司都被爆系统存在漏洞问题，也曾出现过因系统更新迭过慢或者非正规渠道使用非授权系统问题，都给支付安全埋下隐患，比如此前支付系统服务商银商融信就通过其官方微信对乐刷支付系统存在问题进行明确指责，并透露老版本系统存在问题，并表示会在适当时候想有关机构和部门相应的资料。这一次全国大检查，希望各大支付公司做好检查准备，加强系统安全建设！

来源: 支付快讯

财经360