銀行卡業(yè)務(wù)風(fēng)險防范管理規(guī)定

1、xx銀行卡業(yè)務(wù)風(fēng)險防范管理規(guī)定第一章 總則 第一條 為加強xxxxxxx銀行（以下簡稱本行）銀行卡業(yè)務(wù)的管理，及時識別、防范、控制本行借記卡業(yè)務(wù)過程中的各種風(fēng)險，防范銀行卡業(yè)務(wù)風(fēng)險，維護本行和持卡人、特約單位及其他當(dāng)事人的合法權(quán)益，依據(jù)中國人民銀行銀行卡業(yè)務(wù)管理辦法、銀行業(yè)監(jiān)督管理機構(gòu)以及中國銀聯(lián)股份有限公司（以下簡稱“中國銀聯(lián)”）的有關(guān)規(guī)定，特制定本規(guī)定。第二條 卡業(yè)務(wù)風(fēng)險是指在銀行卡業(yè)務(wù)辦理過程中，由于各種原因?qū)е卤拘小⒊挚ㄈ嘶蚱渌?dāng)事人的合法利益受到損害。第三條 卡業(yè)務(wù)風(fēng)險可分為內(nèi)部風(fēng)險和外部風(fēng)險。內(nèi)部風(fēng)險是指本行在業(yè)務(wù)處理、計算機系統(tǒng)安全、卡片管理等各個環(huán)節(jié)中的操作和員工道德品質(zhì)造成的

2、風(fēng)險；外部風(fēng)險是指惡意假冒持卡人使用卡造成的風(fēng)險，包括通過制作假卡、盜取他人密碼、使用作廢卡片等手段非法支取客戶賬戶資金造成的風(fēng)險。第四條 卡業(yè)務(wù)風(fēng)險管理嚴(yán)格遵循事前防范、事中控制、事后監(jiān)督的原則。第二章 基本制度第五條 崗位制度本行設(shè)立卡部，管理卡的相關(guān)業(yè)務(wù)?？ú宽氄J真執(zhí)行銀行卡業(yè)務(wù)的相關(guān)規(guī)章制度、崗位職責(zé)。第六條 權(quán)限管理制度卡部、科技信息部、營業(yè)網(wǎng)點須按不同的崗位設(shè)置相應(yīng)處理權(quán)限，對超出權(quán)限的業(yè)務(wù)必須取得主管授權(quán)。授權(quán)人必須嚴(yán)格執(zhí)行操作規(guī)范。第七條 保密制度除國家法律規(guī)定外，本行員工不得對外泄露客戶賬戶、資料等相關(guān)信息。第八條 登記制度卡部、科技信息部、營業(yè)網(wǎng)點在受理銀行卡卡業(yè)務(wù)的各個環(huán)

3、節(jié)，須建立健全登記制度，做到“準(zhǔn)確及時、記載清晰、簽章齊全、責(zé)任分明”。第三章 制卡管理第九條 成品卡的制作采取外包方式，本行通過招標(biāo)方式在取得中國銀聯(lián)資質(zhì)認證的專業(yè)制卡單位中確定。第十條 我行與制卡廠商簽訂安全保密協(xié)議。制卡廠商須嚴(yán)格按照相關(guān)規(guī)定制卡、運輸和交接。第十一條 卡部統(tǒng)一負責(zé)全行卡片的訂制，其他機構(gòu)和個人都不得私下向制卡廠商訂單制卡。第十二條 卡片個人化信息由本行業(yè)務(wù)系統(tǒng)主機生成，經(jīng)加密后使用。第四章 信息系統(tǒng)安全管理第十三條 信息系統(tǒng)安全管理包括軟件開發(fā)與服務(wù)、賬戶信息、交易數(shù)據(jù)、密鑰等的安全管理。第十四條 科技信息部須制定嚴(yán)格的技術(shù)開發(fā)安全管理制度，采取有效措施防止信息系統(tǒng)集成

4、商人員在軟件開發(fā)與服務(wù)過程中接觸或泄露有關(guān)本行和其他銀行的銀行卡敏感信息。第十五條 在將有關(guān)銀行卡的技術(shù)和服務(wù)外包給第三方的，須與外包方簽訂安全保密協(xié)議，明確外包的主要內(nèi)容和外包方應(yīng)該承擔(dān)的各項義務(wù)和責(zé)任。第十六條 科技信息部須建立完善的信息安全管理體制，制定賬戶信息與交易數(shù)據(jù)安全制度。根據(jù)業(yè)務(wù)需要的原則，明確必須通過身份驗證、權(quán)限管理、密碼管理等手段，嚴(yán)格控制訪問、使用賬戶信息及交易數(shù)據(jù)，防止未經(jīng)授權(quán)擅自對數(shù)據(jù)進行查看、纂改和破壞；嚴(yán)格保護持卡人賬戶信息及交易數(shù)據(jù)。不得將涉及持卡人安全的賬戶信息及交易數(shù)據(jù)用于軟件開發(fā)和模擬測試；對持卡人賬戶信息及交易數(shù)據(jù)須在具有安全保護措施的系統(tǒng)中存儲和傳輸

5、。對超出保存期限的，應(yīng)及時銷毀。第十七條 科技信息部必須使用硬件加密設(shè)備生成和存儲密鑰、對個人密碼（pin）加解密以及鑒別報文；密鑰和個人密碼的完整明文只允許存儲在硬件加密設(shè)備中，不得在硬件加密設(shè)備外出現(xiàn)；對密鑰及組件的任何操作必須遵循分人分段、雙重控制、信息拆分的原則。密鑰的生成、注入與存儲、傳輸、接收、泄漏與重置、刪除與銷毀、保管均按中國銀聯(lián)的有關(guān)規(guī)定執(zhí)行。第十八條 科技信息部須加強對跨行交易數(shù)據(jù)的安全管理，盡到充分的保密義務(wù)。按照中國銀聯(lián)的相關(guān)規(guī)定，只能存儲用于交易清分所必需的他行銀聯(lián)卡最基本賬戶信息和交易數(shù)據(jù)，不得存儲他行銀聯(lián)卡的磁道信息、卡片驗證碼及個人密碼。跨行交易的賬戶信息和交易

6、數(shù)據(jù)只用于輔助完成銀聯(lián)卡交易，不得將賬戶信息和交易數(shù)據(jù)用于除此之外的任何其他用途，更不能將上述數(shù)據(jù)提供給任何未被授權(quán)的個人或機構(gòu)。未經(jīng)中國銀聯(lián)授權(quán)，不得擅自對包含銀行卡賬戶信息或交易數(shù)據(jù)的設(shè)備進行更改和維護。第十九條 在進行電子銀行交易時，本行采取動態(tài)密碼技術(shù)和增加持卡人身份號碼驗證等方式增強交易的安全性。第二十條 科技信息部須保障受卡終端完整、準(zhǔn)確讀取并傳輸卡片驗證碼（cvn）。本行的銀行卡業(yè)務(wù)系統(tǒng)采用驗證卡片驗證碼式。如驗證錯誤次數(shù)達到三次時，本行的銀行卡業(yè)務(wù)系統(tǒng)自動凍結(jié)該卡賬戶。對于上傳磁道信息中未含卡片驗證碼的交易，本行的銀行卡業(yè)務(wù)系統(tǒng)一律予以拒絕。第二十一條 本行在atm交易憑條、賬

7、單、網(wǎng)頁、移動通訊設(shè)備或電子郵件中顯示卡號信息時，采用卡號屏蔽的方式保護卡號安全（對銀行卡號倒數(shù)第二至第五位進行屏蔽）。第二十二條 科技信息部須建立銀行卡業(yè)務(wù)操作主管負責(zé)制，主管對銀行卡系統(tǒng)的運行和維護，對銀行卡系統(tǒng)的運行情況進行監(jiān)督檢查。第五章 卡片管理第二十三條 卡片管理包括成品卡、廢舊卡、測試卡等管理。第二十四條 成品卡的管理是指對已打印卡面信息和寫磁的卡的管理，包括入庫、出庫、使用和盤庫等內(nèi)容。成品卡嚴(yán)格按照重要空白憑證管理，納入表外科目核算，實行“統(tǒng)一訂制，入庫保管，專人管理”。成品卡實行總行、營業(yè)網(wǎng)點二級管理?？ú俊I業(yè)網(wǎng)點須嚴(yán)格履行出入庫登記手續(xù)。入庫、出庫、盤庫均實行雙人雙管控

8、制。第二十五條 廢舊卡片的管理廢舊卡片的管理是指對持卡人使用和銷卡過程中產(chǎn)生的廢卡、停止使用的成品卡、無人認領(lǐng)的atm吞沒卡以及截獲的掛失卡、作廢卡、假冒卡等管理。營業(yè)網(wǎng)點對收回的掛失作廢、假冒、損毀以及無人認領(lǐng)的atm吞沒卡片，須沿卡片背面左上角磁條下沿且與水平不大于45度角方向進行剪切破壞磁條處理，逐張登記后入庫保管?？ú渴盏綘I業(yè)網(wǎng)點交來的廢舊卡片后，應(yīng)及時核對廢卡的數(shù)量及清單，無誤后入庫保管。定期會同稽核監(jiān)察部、安全保衛(wèi)部等部門人員共同銷毀。第二十六條 測試卡片的管理測試卡片的管理是指對卡用作教學(xué)實習(xí)、練習(xí)以及測試時的管理。教學(xué)實習(xí)、練習(xí)以及測試確需使用卡時，相關(guān)業(yè)務(wù)部門須提出書面申請并

9、報主管領(lǐng)導(dǎo)批準(zhǔn)、卡部發(fā)出測試卡片時，須在右下方“銀聯(lián)”徽標(biāo)處打孔處理，用后交回，由卡部統(tǒng)一保管直至銷毀。第二十七條 卡片的檢查監(jiān)督卡部不定期對庫存卡（含待發(fā)、收回，下同）進行盤點清查。發(fā)現(xiàn)違章違紀(jì)情況，嚴(yán)肅查處。營業(yè)網(wǎng)點須定期對庫存卡進行檢查清點，確保賬實相符。第六章 網(wǎng)點操作管理 第二十八條 柜員操作必須遵循互相制約、互相監(jiān)督的原則。操作密碼須定期更換，嚴(yán)格保密，不得泄露，嚴(yán)禁串崗操作。第二十九條 發(fā)放卡片時，柜員須嚴(yán)格審核申請人提供的身份證件等申請資料，利用公民身份證核查系統(tǒng)等法定身份證件認證信息系統(tǒng)驗證申請人身份信息，加強風(fēng)險控制管理防范申請人利用偽造身份證件開立銀行卡賬戶。發(fā)放卡片后，

10、柜員須告知對持卡人的安全用卡常識，加強對持卡人安全用卡的知識宣傳。第三十條 柜員辦理銀行卡業(yè)務(wù)時，應(yīng)仔細審核卡片的真?zhèn)?，是否為剪角或打洞的廢舊卡片，刷卡讀出的卡號與卡面印刷卡號是否一致。第三十一條 異常交易監(jiān)控發(fā)生大額交易、可疑掛失換卡、賬戶頻繁支取等風(fēng)險較大的業(yè)務(wù)時，營業(yè)網(wǎng)點應(yīng)通過信函、電話或短信等方式及時反饋給持卡人。同時，對具有大額、異常和可疑支付特征的交易，營業(yè)網(wǎng)點須嚴(yán)格按照國家反洗錢的法律法規(guī)和本行的相關(guān)規(guī)定進行報告。第七章 密碼管理第三十二條 客戶在申辦卡時，必須由持卡人自行輸入6位數(shù)字分別生成交易密碼。凡是密碼相符的交易，本行均視為持卡人本人所為。第三十三條 營業(yè)網(wǎng)點原則上禁止向

11、持卡人發(fā)放統(tǒng)一的初始密碼。如因代收代付等批量業(yè)務(wù)所發(fā)放統(tǒng)一的初識密碼, 必須由持卡人本人持有效身份證件到本行營業(yè)網(wǎng)點柜臺修改后才能進行各項交易。第三十四條 持卡人可通過本行營業(yè)網(wǎng)點柜臺、自助機具上修改賬戶交易密碼，可通過客服電話修改查詢密碼。第八章 掛失管理第三十五條 科技信息部須保障電話查詢系統(tǒng)正常運行，保證為持卡人提供724小時電話掛失緊急止付服務(wù)。第三十六條 客戶服務(wù)中心須實行724小時值班制，受理持卡人業(yè)務(wù)咨詢、投訴和緊急掛失止付服務(wù)，及時處理突發(fā)事件。第九章 風(fēng)險監(jiān)控及報告 第三十七條 卡部設(shè)立風(fēng)險管理崗位，指定專人負責(zé)銀行卡違法犯罪案件的收集、分析、上報、通報工作。風(fēng)險管理崗的主要

12、職責(zé)為：（一）負責(zé)跟蹤研究國內(nèi)外銀行卡風(fēng)險案例，提出銀行卡風(fēng)險監(jiān)管實施方案。（二）負責(zé)建立銀行卡風(fēng)險防范制度，減小銀行卡系統(tǒng)風(fēng)險、人員操作風(fēng)險、制度風(fēng)險。（三）負責(zé)組織卡風(fēng)險管理研討和培訓(xùn)。（四）負責(zé)定期撰寫銀行卡業(yè)務(wù)安全狀況分析報告。（五）負責(zé)與相關(guān)部門組織定期和不定期的卡風(fēng)險安全檢查。（六）根據(jù)銀行監(jiān)督管理部門各類卡業(yè)務(wù)安全指引，定期組織對卡業(yè)務(wù)系統(tǒng)的安全評估，形成安全評估報告。（七）組織一線人員的業(yè)務(wù)培訓(xùn)，促使員工熟練掌握銀行卡業(yè)務(wù)環(huán)節(jié)操作規(guī)范，減少或避免出現(xiàn)操作風(fēng)險。（八）對員工進行職業(yè)道德教育和業(yè)務(wù)管理培訓(xùn)，有針對性地對典型的借記卡風(fēng)險案例進行剖析，增強員工自覺遵章守法的觀念。（九）

13、采用定期與突擊、現(xiàn)場與非現(xiàn)場、常規(guī)與專項等方式對網(wǎng)點進行檢查與監(jiān)督。檢查的內(nèi)容包括但不限于：1、成品卡片保管狀況；2、卡片發(fā)行管理狀況；3、回收的作廢卡、掛失卡、止付卡和吞沒卡的保管和銷毀記錄狀況；4、自助設(shè)備密鑰安全管理情況；5、卡欺詐交易報告以及處理情況。（十）負責(zé)銀行卡違法犯罪案件的上報和內(nèi)部通報工作。（十一）負責(zé)建立健全轄內(nèi)本行相應(yīng)的內(nèi)部控制制度和風(fēng)險防范措施，確保銀行卡業(yè)務(wù)穩(wěn)健發(fā)展。（十二）向中國銀聯(lián)提供書面形式的風(fēng)險防范建議。第三十八條 本行營業(yè)網(wǎng)點設(shè)立風(fēng)險事件聯(lián)系人，由網(wǎng)點負責(zé)人或風(fēng)險管控員擔(dān)任。第三十九條 營業(yè)網(wǎng)點建立風(fēng)險報告制度，如遇有以下情況之一的銀行卡業(yè)務(wù)違法犯罪案件，須

14、立即（24小時以內(nèi)）通過有效途徑逐級報告至我行卡部。同時，采取相應(yīng)措施，防止損失的擴大。對有關(guān)的卡違法犯罪信息，應(yīng)注意保密，不得隨意擴散。（一）成品卡及待發(fā)卡丟失或被盜；（二）發(fā)現(xiàn)卡詐騙等惡性案件；（三）發(fā)現(xiàn)或截獲偽冒卡、掛失卡、被盜卡；（四）其他對卡業(yè)務(wù)構(gòu)成嚴(yán)重風(fēng)險的情況?？ú吭?日內(nèi)以機密件的形式將有關(guān)案情、已采取和擬進一步采取的對策措施上報銀監(jiān)會。第四十條 風(fēng)險報告內(nèi)容須詳盡具體，主要應(yīng)包含：（一）涉及的卡號、賬戶號、成品卡數(shù)量；（二）嫌疑人基本情況；（三）基本案情、調(diào)查過程相關(guān)細節(jié)、損失情況；（四）已采取和擬進一步采取的措施；（五）聯(lián)系人的姓名、電話。第十章 違規(guī)處理 第四十一條 本行員工違反規(guī)定使用和保管各種銀行卡重要憑證的，視情節(jié)輕重，對相關(guān)責(zé)