据了解，日前支付清算协会下发针对银行卡受理终端改装问题倡议书，目前市面上受理银行卡终端类型多样，同时私自改装终端的行为也屡禁不止，给持卡人带来较大风险！

明确新型技术的推广应用为支付业务提供了更为快捷便利的手段，同时支付犯罪手法也在不断翻新，银行卡使用安全面临更为严峻的挑战，银行卡信息泄露事件时有发生，威胁银行卡产业参与主体及持卡人合法权益。为进一步加强银行卡敏感信息安全管理，规范终端机具使用，提升支付风险防控能力，要求各会员单位切实践行本倡议，加强行业自律和自我约束，共同推动银行卡产业健康发展。

文件全文

关于加强银行卡敏感信息安全管理防范终端机具改装的倡议书

新型技术的推广应用和快速升级为支付业务提供了更为快捷便利的手段。与此同时，支付犯罪手法在技术层面也在不断翻新变化，银行卡使用安全面临更为严峻的挑战，银行卡信息安全保护为各方所瞩目。为进一步提升支付行业整体风险防控能力，加强银行卡敏感信息安全管理，防范不法分子通过改装POS机具和网络渠道窃取敏感信息，有效控制敏感信息泄露事件，维护银行卡产业及支付清算行业健康发展环境，中国支付清算协会向从事银行卡发卡、收单、转接清算等业务的会员单位发出以下倡议:

一、强化支付敏感信息安全使用内控管理。

各商业银行，支付机构(从事银行卡收单业务、网络支付业务的非银行支付机构)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)，健全支付敏感信息内控管理制度。

一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等)，确有必要的应取得客户本人及账户管理机构的授权。

二是明确相关岗位和人员的管理责任，严格分离不相容岗位并控制信息操作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人员非法存储、窃娶泄露、买卖支付敏感信息。三是每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查。发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的，应立即采取有效措施防止风险扩大，并向人民银行报告；涉嫌违法犯罪的，应及时报告公安机关。

二、大力推广应用金融IC卡，降低磁条交易风险。

一是积极发行符合《中国金融集成电路(IC)卡规范》(JR/T0025)的金融IC卡，并采用通过国家认证认可管理部门认可机构安全评估的芯片。

二是发卡行应从交易渠道、刷卡频次、单笔交易金额、日累计交易金额、交易地区等方面，进一步加强磁条交易风险控制。

三是采取措施加快存量磁条卡更换为金融IC卡的进度。四是落实伪卡欺诈风险责任转移规则。银行卡清算机构应会同发卡银行、收单机构进一步落实银行卡受理过程中的伪卡欺诈风险责任，保护芯片化迁移方的权益。建立不同层次的完善的投诉处理机制，妥善处理欺诈风险事件，切实保障持卡人的合法权益

三、规范受理终端安全管理，防止改装机具入网。

一是各收单机构应加强银行卡受理终端产品选型、验收管理，确保使用符合国家、金融行业相关标准的受理终端。

二是银行卡清算机构应会同收单机构采取入网终端签名、唯一性标识等技术措施，加强受理终端入网管理，严禁不符合标准的、非法改造的、未通过检测的受理终端入网使用。对于存量终端应建立定期检查机制，持续开展终端抽检工作，确保布放的终端与合格样品的一致性，严控改装终端的使用。

三是禁止在销售布放受理终端时，以提供套现、套积分等违规服务为宣传营销手段。

四是对特约商户提出的新增、更换、维护受理终端的要求，收单机构应履行必要的核实程序。

五是严格控制特约商户受理终端的布放类型。移动销售点终端(POS机)原则上只能布放于航空、餐饮、交通罚款、上门收费、移动售货、物流配送等难以通过固定收银台结算款项，确有使用需求的行业商户。

六是收单机构要对ATM建立定期巡检制度，及时发现和排除风险隐患。加大傍晚、夜间等案件高发时段ATM的巡查力度，重点检查ATM等自助设备是否张贴有异常通知，ATM出钞口、读卡器是否有堵塞或安装有其他附加装置，是否安装有异常的刷卡进门装置，是否安装有盗取密码的摄像机，ATM工作状态、夜间灯箱、自助区照明是否正常，ATM电视监控、“110”联动报警等技防设施工作是否正常。

四、提升支付敏感信息安全防护的技术水平。

一是全面应用支付标记化技术(Tokenization)，对卡号、卡片安全码等信息进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和交易风险。

二是开展网络支付业务时，不得委托或授权无支付业务资质的合作机构采集支付敏感信息，应采用具有信息输入安全防护、即时数据加密功能的安全控件，采取有效措施防止合作机构获娶留存支付敏感信息。

三是加强网络交易风险监控。利用大数据分析、用户行为建模等手段，建立交易风险监控模型和系统，及时预警异常交易，并采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为，应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别，及时采取附加验证、拒绝请求等手段。

四是加强客户端软件安全管理，确保客户端软件符合国家、金融行业相关标准和信息安全要求。从木马病毒防范、信息加密保护、运行环境可信等方面提升客户端软件安全防控能力。

五是服务器端应对接收数据的有效性进行校验，防止客户端提交非法数据，进行SQL注入等攻击。

五、切实提高业务开通以及交易过程中的身份认证强度。

一是提高业务开通身份认证强度。自2016年11月1日起，银行基于银行卡账户与支付机构、商业机构建立关联业务时，应严格采用多因素身份认证方式，直接鉴别客户身份，并取得客户授权。

二是增强支付交易验证强度。在支付机构等合作方向银行发送支付指令、扣划客户银行卡账户资金时，银行、支付机构应严格落实《非银行支付机构网络支付业务管理办法》(中国人民银行公告[2015]第43号公布)第十条规定，参照第二十二条、第二十三条、第二十四条等相关要求，采取交易额度与验证强度相匹配的技术措施，提高交易的安全性。银行应依照《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发[2015]392号)，建立健全个人银行结算账户分类管理机制，引导客户使用II类、III类银行账户办理小额网络支付业务，有效防控I类银行账户信息泄露风险。

六、加大特约商户规范管理力度。

一是银行卡清算机构应会同收单机构建立健全特约商户信息电子化管理体系，严格落实特约商户实名制相关规定，完整、准确记录特约商户及其法定代表人或主要负责人的身份信息，并对同一商户在不同收单机构的注册信息进行关联管理，通过对商户信息的交叉比对，关注同一身份申请多个商户的情形，加强对一机多号(一机多商户)的违规行为的排查。

二是充分利用影像采集、区域定位等技术，采取多渠道交叉验证等有效手段，健全特约商户资质审核和信息更新机制，持续加强特约商户信息真实性管理。

三是收单机构应确保特约商户按规定使用受理终端(网络支付接口)和收单银行结算账户，不得将受理终端(网络支付接口)用于受理协议约定以外的用途，不得利用其从事或协助他人从事非法活动。

四是加强对特约商户银行卡套现、磁道侧录、终端改装、终端移机等违规行为的监控、巡检和风险评级，并采取延迟资金结算、暂停交易、收回受理终端等措施。

五是各银行、支付机构应建立健全违规实体和网络特约商户黑名单管理制度，明确黑名单纳入与移出条件、惩罚措施等。加强对特约商户的监测、巡检，对于存在支付敏感信息泄露、非法改装终端、参与伪卡欺诈等违规行为的，应纳入黑名单管理，视严重程度从严采取延迟结算、暂停交易、终止合作等惩戒措施，并及时报送中国支付清算协会、银行卡清算机构；依托中国支付清算协会、银行卡清算机构的黑名单信息共享机制分享风险商户信息，禁止拓展已纳入黑名单的商户。

七、规范收单外包服务管理。

各收单机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015]199号)，承担收单环节支付敏感信息安全管理责任。

一是不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。

二是指定专人管理终端密钥和相关参数，确保不同的受理终端使用不同的终端主密钥并定期更换。

三是通过协议禁止实体和网络特约商户、外包服务机构不得留存支付敏感信息。

四是每年应对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估，并形成报告存档备查，对于未遵守相关协议的，应立即终断合作。五是及时将出现违法违规行为的外包服务机构信息报送中国支付清算协会，纳入黑名单管理，并终止与其合作。

八、加强客户银行卡支付安全教育工作。

加强银行卡、互联网支付等交易密码的保护管理和客户安全教育，培养客户风险防范意识和安全支付习惯。提高商户的合规合法经营意识以及安全防范意识，针对犯罪分子典型作案手法开展商户安全教育工作，通过网站、微信、视频、邮件等不同渠道及时向商户普及犯罪分子最新作案手法，提高商户风险防范水平。

九、行业各参与者应树立可持续发展的科学经营观，坚持依法合规经营，努力提高从业人员道德和业务素质，强化对从业人员的职业道德素养教育，规范经营行为，自觉维护市场秩序，树立良好的支付行业形象。

十、行业各参与者应自觉接受社会监督。

严格遵守《中国支付清算协会银行卡行业自律公约》、《银行卡业务风险控制与安全管理指引》以及《银行卡收单外包业务自律规范》，增强自律意识，坚持自我约束，设置争议及投诉解决渠道，接受社会监督，妥善处理客户敏感信息保护工作中出现的争议与纠纷，保护相关方的合法权益；积极接入中国支付清算协会风险信息共享系统，利用会员单位风险信息共享机制提升风险防范效率；发现收单机构、商户通过改装pos机盗取银行卡信息，从事欺诈等不法行为，按中国支付清算协会发布的《支付结算违法违规行为举报奖励办法实施细则》相关规定进行举报。

让我们携起手来，以强化自身内控机制建设为起点，利用先进技术手段实现敏感信息隔离保护，提升合作商户风险防范能力，提高客户自我信息防护意识，妥善处理业务争议纠纷，加强行业联防联控能力，努力消除信息泄露隐患，营造安全可靠的银行卡支付环境，树立良好的行业形象,促进银行卡产业持续健康发展。