央行发文防控支付系统风险,三个严禁得注意
移动支付网2020/6/11 17:21:40

6月10日,中国人民银行营业管理部发布《北京支付系统参与者运行管理实施办法(征求意见稿)》(以下简称“《办法》”),《办法》要求加强系统运维和业务管理工作,确保北京地区支付系统安全稳定运行。

《办法》强调,直接参与者应加强业务操作管理,严禁通过生产系统进行系统功能测试及为第三方机构业务测试提供通道,严禁跨系统发送查询查复报文,严禁使用免费报文处理非捐赠类业务,提高业务处理的规范性。

北京支付系统参与者运行管理实施办法(征求意见稿)

第一章 总则

第一条根据《中国人民银行支付系统参与者监督管理办法》(银发〔2015〕40号文印发)、《支付清算系统危机处置预案》(银发〔2015〕284号文印发)、《中国人民银行支付系统运行管理办法》(银办发〔2016〕112号文印发)、《中国人民银行支付系统数字证书管理办法》(银办发〔2016〕112号文印发)、《关于加强支付清算系统运行维护报告事项管理有关工作的通知》(银管发﹝2011﹞227号)、《中国人民银行营业管理部关于加强支付系统参与机构接入端软件运维管理工作的通知》(银管发〔2014〕258号文印发)等相关文件要求,为加强北京支付系统参与者运行管理,保障支付系统安全稳定运行,制定本办法。

第二条本办法适用于北京支付系统的参与者。

本办法所称的支付系统是指中国人民银行运营的大额支付系统、小额支付系统、网上支付跨行清算系统和境内外币支付系统。

本办法所称的参与者包括直接参与者、间接参与者以及异地备份接入参与者。直接参与者是指直接接入支付系统北京城市处理中心办理业务的机构以及业务管理权限在北京的法人机构;间接参与者是指北京辖区内通过直接参与者接入支付系统办理支付业务的机构;异地备份接入参与者是指通过支付系统北京城市处理中心实现异地备份接入的参与机构。

第三条参与者应严格遵守支付系统各项管理规章制度及支付清算纪律,认真按照中国人民银行、中国人民银行营业管理部(以下简称“人行营业管理部”)相关文件要求加强系统运维和业务管理工作,确保北京地区支付系统安全稳定运行。

第二章 运维管理

第四条参与者在日常运行中应遵守以下要求:

(一)制定运行维护操作规程并严格执行;

(二)定期进行日常检查、系统维护和应急演练,监控系统运行和业务处理情况;

(三)在进行系统维护时,应对支付系统的数据、程序、作业、配置以及连接等采取妥善保护措施;对多系统公用设备进行维护时,应避免不同业务系统之间的交叉影响;

(四)定期对运维制度、运行环境、系统备份、日常维护、安全管理等进行自查和改进。

第五条直接参与者发生下列情形的,应提前10个工作日向人行营业管理部报备:

(一)制定或修改支付系统相关应急处置预案;

(二)开展与支付系统相关应急演练;

(三)因本参与者系统维护需在业务运营时段签退登录大额支付系统、小额支付系统、网上支付跨行清算系统和境内外币支付系统;

(四)因实施生产系统迁移、核心系统升级、计算机及网络系统切换等系统运行维护导致或可能导致支付清算业务中断。

第六条异地备份接入参与者发生下列情形的,应提前10个工作日向人行营业管理部报备:

(一)开展与异地备用前置系统相关应急演练;

(二)因实施异地备用前置系统或异地备用接入网络等系统运维导致或可能导致异地备用前置机或网络中断。

第七条直接参与者和异地备份接入参与者应合理安排系统运维时间,并填写《支付清算系统参与者系统运行维护报告表》(见附件1)报送人行营业管理部。其中,报备内容主要包括原因事由、总体安排、实施步骤、关键工作任务、是否签退系统、对业务造成的影响、需人行营业管理部协助支持的工作事项、相关风险评估及支付清算系统运行维护专项应急处置预案以及参与部门、负责人、联系人等。参与者开展重大系统维护的,应正式发文向人行营业管理部报备。

第八条直接参与者和异地备份接入参与者临时开展应急维护的,须经人行营业管理部同意后方可实施,并于实施完成后3个工作日内,向人行营业管理部提交应急处置报告(见附件2)。

第九条直接参与者应按照《中国人民银行营业管理部关于加强支付系统参与机构接入端软件运维管理工作的通知》文件要求,于每一季度最后一个月组织开展对支付报文传输平台参与者接入端软件季度自查工作,并于每个季度最后一个工作日前将加盖单位公章或部门公章(以下简称“公章”)的自查报告报送至人行营业管理部。

第十条参与者应积极配合人行营业管理部组织开展的现场巡检工作,对巡检报告进行确认后加盖公章提交现场巡检人员。

第三章 业务管理

第十一条直接参与者要根据现代支付系统业务处理要求,切实维护行内系统业务处理正常运行,并积极向支付系统用户委员会和清算中心报送相关业务建议,共同促进支付系统业务性能提升。

第十二条直接参与者应加强资金头寸管理,合理设置圈存资金余额,减少清算排队和轧差排队,提高资金汇划效率。

第十三条直接参与者应加强业务操作管理,严禁通过生产系统进行系统功能测试及为第三方机构业务测试提供通道,严禁跨系统发送查询查复报文,严禁使用免费报文处理非捐赠类业务,提高业务处理的规范性。

第十四条直接参与者应做好网银系统超时情况监测管理,以保证网银系统安全稳定运行。

第十五条直接参与者应严格按照《中国人民银行支付系统数字证书管理办法》做好数字证书管理工作,确保数字证书安全有效,并应于数字证书到期前两个月内,及时申请更换数字证书,确保各系统业务处理正常。

第四章 验收管理

第十六条当直接参与者发生下列情形的,应通过接入技术服务平台向人行营业管理部提交申请技术验收,验收通过后方可投入运行:

(一)拟加入大额支付系统、小额支付系统、网上支付跨行清算系统和境内外币支付系统;

(二)已加入支付系统的参与者,开展支付系统备份接入、开通支付系统新业务、支付系统发生重大变更,包括但不限于机房物理环境重大变化、接入端软件调整、支付系统前置机更换或重新集成、网络设置发生重大调整、运维管理制度和应急管理发生整体性或者重大变化等。

第十七条直接参与者应严格按照支付系统参与者接入技术验收规范,对系统软硬件、机房环境、管理制度等各方面开展全面自查,确保行内各项工作均已符合验收标准后,再向营业管理部提交申请验收。

第十八条直接参与者应严格按照清算总中心每年度发布的支付系统接入测试实验室运行计划时间安排,结合本行实际情况及验收准备情况,在规定时间内及时提交验收申请。

第十九条直接参与者和异地备份接入参与者应组织相关部门有序开展支付系统接入验收准备工作,认真配合验收小组进行现场验收工作,并针对现场验收发现的问题及时进行整改。验收通过后,相关系统方能正式投入运行。

第五章 应急管理

第二十条参与者应严格落实支付系统7×24小时业务连续性保障要求,切实加强系统运维应急管理。

第二十一条直接参与者发生下列情形的,应当在3个工作日内向人行营业管理部报备:

(一)调整支付系统应急管理领导小组成员;

(二)变更支付系统业务及运行等相关部门主要负责人及经办人员信息(具体格式详见附件2)。

第二十二条直接参与者和间接参与者发生下列情形的,应当立即报告人行营业管理部。同时,本单位运维部门应及时与清算中心沟通应急事件及处置情况:

(一)因自然灾害、事故灾难或突发社会安全事件等导致不能通过支付系统正常办理业务的;

(二)因参与者系统发生故障导致通过支付系统办理业务出现异常的;

(三)参与者业务系统与支付系统之间连接出现异常的;

(四)参与者系统与支付系统之间安全保密机制出现问题的。

当应急事件处置完成后,参与机构应根据《中国人民银行支付清算系统危机处置预案》定义的故障级别(注:境内外币支付系统参照执行)在规定时间内向人行营业管理部提交故障说明和处置报告。

第二十三条直接参与者应每年至少进行一次应急演练,应急演练内容应覆盖系统、网络设备及广域网线路、机房基础设施、主要应用系统等,其中实战演练占演练总数的比例应不低于80%;参与者应合理安排应急演练时间,对于影响支付系统运行的应急演练,建议安排在支付系统维护窗口期间进行,并在演练结束后二十个工作日内向人行营业管理部报送总结报告。

第二十四条已具备异地备份前置的直接参与者应根据人行营业管理部发布的年度异地前置切换演练计划,至少参与一次异地备用前置系统切换演练,以确保异地备用前置系统在紧急和必要情况下能正确、快速投入使用。

第六章 专项工作管理

第二十五条参与者应积极配合人行营业管理部开展支付系统升级、网络改造、应急切换演练等重大变更操作后的技术及业务验证工作,如确因特殊情况无法开展相关工作,应向人行营业管理部提交加盖公章的书面情况说明。

第二十七条参与者应积极配合人行营业管理部开展支付系统建设推广及业务宣传工作,并按要求及时报送总结报告。

第二十六条直接参与者应于每年7月30日及每年度结束后20个工作日内,向人行营业管理部报送上年度通过支付系统(包括但不限于大额、小额、网银、电子信用证、企业联网核查系统)办理业务情况,报送内容包括但不限于以下方面:

(一)支付系统相关业务运行管理情况,包括但不限于:

1.各系统业务量情况及变化情况,业务数量增减幅度超过10%的,应做出详细的原因分析;

2.清算中心部署的业务推广工作进展情况、存在问题、后续工作计划及措施。

3.清算窗口开启的次数、原因分析及整改措施。

4.网银系统超时率高于0.5%的原因分析及整改措施。

5.查询查复情况,超期查复及超期未查复原因分析。

(二)支付业务管理和运行环境的重大变更;

(三)与支付系统相关的应急演练实施情况;

(四)通过支付系统办理业务中断情况;

(五)与支付系统相关的风险事件及处置情况;

(六)代理其他银行接入支付系统办理业务情况;

(七)对支付系统运营管理的意见和建议。

第二十七条参与者应严格按照相关管理规定,落实好“三道风险防线”,并做好支付信息安全管理工作,切实防范支付清算风险。

第二十八条参与者违反本办法相关规定,按照中国人民银行、中国人民银行营业管理部有关规定执行。

第二十九条本办法自印发之日起实施,由中国人民银行营业管理部负责解释。


展开全文
相关阅读
资讯查询取消