央行营管部:支付牌照续展中的6种“必杀”情况
2017/7/28 9:07:29

7月26日,由中金国盛举办的第四届“非银行支付机构技术交流会”在京举行,中国支付网作为媒体受邀前往报道。

在此次交流会上,中国人民银行总行营业管理部的刘立安以北京辖区为例,在交流会现场与参会的各支付机构代表分享了央行对支付机构现场检查中监管的重点工作和存在的相关问题。

在续展提交材料中,除了提交此前央行规定的相关材料外,刘立安强调,对于拟续展“银行卡收单”牌照的支付机构来说,还需要金融IC卡受理环境改造、流程优化改造的计划和实施方案;在本地区的POS终端总量、受理接触式金融IC卡的POS终端数量、受理非接触式IC卡的POS终端数量、完成流程优化改造的POS终端数量以及本地区全量有效商户的活动POS终端明细。需要注意的是,“本地区全量有效商户的活动POS终端明细”,也是未来现场检查的重点内容。

刘立安还介绍了续展中“一票否决”的注意事项。一旦出现以下情况,支付机构将面临“不予续展”的决定。这些内容主要包括:

a.存在支付业务核心系统外包,或缺少必要的备份设备(包括但不限于核心网络设备、应用服务器、数据库服务器等);

b.支付业务系统存在较大风险漏洞,造成个人敏感信息泄露,造成较大损失或社会影响;

c.由于支付业务系统原因造成支付服务中断,且造成较大经济或社会影响;

d.安全事件报告和处置不及时或未采取有效措施,造成较大经济或社会影响;

e.现场检查、系统检测、漏洞排查等发现问题未及时整改,或者国家有关部门通报的重大安全漏洞未及时修补,造成较大经济损失或社会影响;

f.从事银行卡收单业务的支付机构,未按照金融IC卡相关文件和标准开展银行卡受理环境建设,提升银行卡安全风险防范能力。而对于该项内容,主要是指开展金融IC卡受理环境安全和标准符合性抽查。主要包括:抽查对象为机构布放的POS终端、现场查验POS终端非接改造和流程优化的情况、现场了解对商户收银员的培训情况。

强调的是,商户培训也成为许多支付机构在续展和分类评级检查中的“失分项”。

此外,刘立安还介绍了许可存续期间支付业务设施经营情况审查。他表示,按照《支付业务设施技术评估指标表》共计100个检查项进行检查,每项1分。这些内容主要分为网络安全(13分)、主机安全(13分)、应用安全(31分)、数据安全(10分)、运维安全(21分)、业务连续性(8分)、物理安全(4分)共七个方面,基本涵盖了《非金融机构支付业务设施技术要求》中有关安全性要求的全部内容。

在续展部分的最后,刘立安还介绍了问题整改审查。主要包括人民银行历次专项检查发现的问题(2015年漏洞风险排查)、外部评估机构在测评过程中发现的问题、其他信息安全部门或组织发布的漏洞或风险提示,这些内容也同样需要支付机构在审查中注意。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消