央行：146號文專項支付安全全國排查 182個檢查要點

日前，人行辦公廳發布《關於開展支付安全風險專項排查工作的通知》，通知稱為進一步加強支付領域網路與信息安全管理，有效防範支付風險，切實保障消費者合法權益，人民銀行決定開展支付安全風險專項排查工作。

排查內容、範圍及方式

（一）排查內容。

按照《支付安全風險專項排查列表》開展專項排查，內容包括：

一是排查客戶端應用軟體敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患。

二是排查支付業務系統在系統安全、交易安全、數據保護、業務連續性、賬戶管理、內控管理等方面存在的問題。

三是督查支付交易報文規範化改造、終端信息註冊等工作落實情況。四是排查支付產品質量管理方面存在的不足，切實防範支付業務安全風險。

（二）排查範圍。

1．機構範圍：商業銀行、非銀行支付機構、清算機構等（以下統稱從業機構）。

2．客戶端應用軟體範圍：涵蓋從業機構支付業務相關的客戶端應用軟體，包括但不限於手機銀行、移動支付等客戶端應用軟體及支付控制項。

3．系統範圍：涵蓋從業機構支付業務相關係統，包括但不限於商業銀行的銀行卡發行與受理、互聯網支付、移動支付、手機銀行、風控管理、賬戶管理等系統，非銀行支付機構的互聯網支付、移動支付、銀行卡收單、預付卡發行與受理、風控管理等系統，清算機構的轉接清算系統、大數據分析校驗平台、支付終端註冊管理平台等系統。

工作安排

（一）從業機構自查整改（ 2018年9月至10月）。

1.2018年9月30日前，從業機構向人民銀行報送《客戶端應用軟體明細表》（附件2）。

2．從業機構嚴格對照《支付安全風險專項排查列表》逐項對本機構支付安全隱患進行自查，對發現的問題及時整改，並建立問題清單管控和動態跟蹤機制。對於短期內無法完成整改的問題，要採取補償措施，明確整改計劃和方案，按期整改。2018年10月31日前，形成自查報告報送人民銀行。

（二）人民銀行核實（2018年11月至12月）。

1．全面核查。人民銀行對從業機構自查及整改情況採取訪談、查看系統、查閱資料等方式進行全面核查。對於自查質量不高、問題較多或整改率較低的從業機構進行現場核查。

2．抽樣檢測。人民銀行依據《客戶端應用軟體明細表》，開展客戶端應用軟體抽樣檢測工作。

（三）總結及後續管理（2019年1月至2月）。

人民銀行分支機構要對整體情況及主要問題進行認真全面分析總結，形成書面報告，於2019年3月1日前報送人民銀行總行。對於未完成整改的問題，要求從業機構作為2019 年內部審計和外部安全評估的重點，持續監督整改。

人民銀行總行將根據排查整體情況，總結歸納突出、典型問題，及時發布風險提示，並對支付安全風險專項排查及整改情況進行通報。

工作要求

（一）人民銀行分支機構要成立專項排查小組，結合本地實際情況制定切實可行的工作方案，認真組織從業機構進行全面自查及整改，做好核實工作。

（二）從業機構要高度重視，根據本通知要求制定行之有效的自查方案，全面開展自查和整改工作，積極配合人民銀行做好核實工作。

（三）人民銀行分支機構要以此次排查為契機，充分利用排查結果，形成從業機構支付安全畫像，並將其作為轄區內商業銀行考核和非銀行支付機構分類評級、支付業務許可證續展的參考依據。

（四）對於本通知規定的報告事項，全國性商業銀行、清算機構報送人民銀行總行，其他商業銀行、非銀行支付機構報送法人所在地人民銀行副省級城市中心支行以上分支機構。

17年7月27日，央行總行營管部科技部副處長劉立安在非銀行支付機構技術交流會上介紹，出現這幾種情況就會在續展中被「一票否決」，支付機構將面臨「不予續展」的決定。這幾種情況包括：

存在支付業務核心系統外包，或缺少必要的備份設備（包括但不限於核心網路設備、應用伺服器、資料庫伺服器等）；支付業務系統存在較大風險漏洞，造成個人敏感信息泄露，造成較大損失或社會影響；

安全事件報告和處置不及時或未採取有效措施，造成較大經濟或社會影響現場檢查、系統檢測、漏洞排查等發現問題未及時整改，或者國家有關部門通報的重大安全漏洞未及時修補，造成較大經濟損失或社會影響；

根據《中國人民銀行關於續展工作的通知》（銀（2015）358號）中規定，關於系統等多種情況都不能完成續展的情況包括：以欺騙等不正當手段申請《支付業務許可證》的；在支付業務設施安全及風險監控方面存在重大缺陷，或存在較大規模的盜竊、出賣、泄露、丟失客戶信息情形的；

中國人民銀行副行長范一飛表示，由於互聯網的虛擬化、支付服務的移動化、參與主體的多樣化，支付風險呈現蔓延速度快、隱蔽性強、潛伏期長、外溢效應明顯的特點，支付行業在敏感信息保護、客戶資金安全、業務連續性等方面壓力較大，信息泄露已成為支付安全問題的風險源頭。金融的本質在於經營風險，風險管理始終是金融行業的一項基礎工作。在互聯網與金融服務融合發展的背景下，部分從業機構和消費者對信息泄露與電信網路欺詐的影響範圍、嚴重程度估計不足，風險防範意識沒有跟上，防範措施也不到位。二是部分非銀行支付機構風險意識缺位。此前有多家支付公司都被爆系統存在漏洞問題，也曾出現過因系統更新迭過慢或者非正規渠道使用非授權系統問題，都給支付安全埋下隱患，比如此前支付系統服務商銀商融信就通過其官方微信對樂刷支付系統存在問題進行明確指責，並透露老版本系統存在問題，並表示會在適當時候想有關機構和部門相應的資料。這一次全國大檢查，希望各大支付公司做好檢查準備，加強系統安全建設！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！