第六十九条 支付机构应制定有效的应急计划、业务连续性计划和风险处理预案,并定期进行演练。
第七十条 支付机构应建立内部审计机制,定期对互联网支付业务及相关系统进行审计。
第七十一条 支付机构应采取有效安全措施保护支付指令及所附信息的安全传输,防止客户信息泄露、支付指令被篡改。
第七十二条 支付机构应采取必要措施确保支付信息的完整性和可靠性:
(一)制定相应的风险控制策略,防止支付业务处理系统发生危害支付交易数据完整性和可靠性的变化;
(二)防止支付信息在传送、处理、存储、使用中被非法篡改,且任何非法篡改的行为都能被及时发现并记录。
第七十三条 支付机构对客户身份信息和支付信息等信息的使用,不得超出法律许可和客户授权的范围,并应采取必要措施为客户信息保密:
(一)客户信息须以安全方式保存和传输,并防止其被擅自查看或非法截取;
(二)对客户信息的访问应经合法授权和确认,并须登记且确保该登记不被篡改。
第七十四条 除法律法规另有规定或客户书面同意外,支付机构不得向其他机构和个人提供客户信息。
第七十五条 支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:
(一)确保进入账户系统等核心系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改行为;
(二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存。
第七十六条 支付机构采用电子签名方式进行客户身份认证和支付交易授权的,应由合法的第三方认证机构提供认证服务。
第七十七条 支付机构可根据有关规定将互联网支付业务的账户管理和业务处理等核心业务以外的业务外包给合法的专业化服务机构,但其对客户的义务及相应责任不因外包关系的确立而转移。
支付机构应与开展互联网支付外包业务的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系。
支付机构应确保与其签约的专业化服务机构不得从事或变相从事支付业务,但该机构取得相应支付业务许可的除外。
第七十八条 客户提供的身份信息和银行账户信息经多次验证仍未通过的,支付机构应予以重点关注,并暂停相关业务处理;支付机构发现银行账户信息或支付账户信息被盗取、欺诈、洗钱等风险事件的,应对客户采取暂停交易、限制账户使用等相关措施;对于涉嫌犯罪的,应立即向当地公安机关报案,同时向所在地中国人民银行分支机构报告。
第六章 监督管理
第七十九条 中国人民银行依法对支付机构互联网支付业务活动、内部控制、信息安全、风险状况等进行定期或不定期现场检查和非现场检查。
第八十条 支付机构应协助配合中国人民银行及其分支机构开展现场检查及非现场检查,定期报送互联网支付业务统计报表和相关信息。
第八十一条 互联网支付业务自律组织应制定业务自律规范,通过现场检查和非现场检查等手段,督促支付机构遵守自律规范,维护市场秩序、促进公平竞争。
第八十二条 支付机构应提前15日向所在地中国人民银行分支机构报告如下事项:
(一)向客户提供新的互联网支付业务产品和服务;
(二)新增、变更收费项目、收费标准;
6/8 首页 上一页 4 5 6 7 8 下一页 尾页
