登錄
注冊
央行發(fā)布規(guī)范商業(yè)銀行銀行卡發(fā)卡技術(shù)管理工作的通知
中國人民銀行上海總部,各分行、營業(yè)管理部、省會(首府)城市中心支行,各副省級城市中心支行;各國有商業(yè)銀行、股份制商業(yè)銀行,中國郵政儲蓄銀行;中國銀聯(lián)股份有限公司:
為切實履行《國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)機構(gòu)和人員編制規(guī)定的通知》(國辦發(fā)〔2008〕83號)關(guān)于銀行卡聯(lián)網(wǎng)通用工作的管理職責(zé),加強銀行卡安全管理和技術(shù)風(fēng)險防范,現(xiàn)就規(guī)范和加強商業(yè)銀行銀行卡發(fā)卡技術(shù)管理有關(guān)事項通知如下:
一、基本原則
商業(yè)銀行發(fā)行銀行卡應(yīng)遵循國家及金融行業(yè)技術(shù)標(biāo)準(zhǔn)規(guī)范,嚴(yán)格執(zhí)行信息安全政策和銀行卡聯(lián)網(wǎng)通用政策,通過由人民銀行組織的發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核(以下簡稱技術(shù)審核)后方可正式發(fā)卡。
二、主要審核依據(jù)
(一)政策文件。
1.《銀行卡業(yè)務(wù)管理辦法》(銀發(fā)〔1999〕17號文印發(fā))
2.《中國人民銀行辦公廳關(guān)于轉(zhuǎn)發(fā)〈信息安全等級保護管理辦法(試行)〉的通知》(銀辦發(fā)〔2006〕42號)
3.《中國人民銀行關(guān)于發(fā)布〈銀行卡銷售點(POS)終端規(guī)范〉和〈銀行卡自動柜員機(ATM)終端規(guī)范〉兩項行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)〔2009〕83號)
4.《中國人民銀行關(guān)于發(fā)布〈銀行卡卡片規(guī)范〉行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)〔2009〕161號)
5.《中國人民銀行關(guān)于發(fā)布〈銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范〉行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)〔2009〕177號)
6.《中國人民銀行關(guān)于發(fā)布〈中國金融集成電路(IC)卡規(guī)范〉(2010年版)系列行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)〔2010〕136號)
(二)技術(shù)標(biāo)準(zhǔn)規(guī)范。
1.《銀行卡磁道信息格式和使用規(guī)范》(JR/T 0009-2000)
2.《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)
3.《銀行卡銷售點(POS)終端規(guī)范》(JR/T 0001-2009)
4.《銀行卡自動柜員機(ATM)終端規(guī)范》(JR/T 0002-2009)
5.《銀行卡卡片規(guī)范》(JR/T 0052-2009)
6.《銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范》(1-5部分)(JR/T 0055.1-2009)
7.《中國金融集成電路(IC)卡規(guī)范》(1-13部分)(JR/T 0025-2010)
三、審核范圍
(一)商業(yè)銀行首次發(fā)行磁條借記卡、磁條信用卡、IC借記卡、IC信用卡,應(yīng)通過技術(shù)審核。
(二)商業(yè)銀行首次發(fā)行軍人保障卡、社會保障卡等有特定性質(zhì)的銀行卡或變更有特定性質(zhì)的銀行卡卡面設(shè)計,應(yīng)通過技術(shù)審核。
四、實施要求
(一)擬首次發(fā)行磁條借記卡、磁條信用卡、IC借記卡、IC信用卡的商業(yè)銀行,應(yīng)按照《商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請材料要求》(見附件1)向人民銀行申請發(fā)卡技術(shù)審核。其中,國有商業(yè)銀行、股份制商業(yè)銀行、中國郵政儲蓄銀行、外資銀行等(以下統(tǒng)稱全國性商業(yè)銀行)銀行總行應(yīng)向人民銀行總行申請;全國性商業(yè)銀行分行(若全國性商業(yè)銀行總行未申請,其分行可單獨申請)、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、村鎮(zhèn)銀行、城市信用社、農(nóng)村信用社等(以下統(tǒng)稱區(qū)域性商業(yè)銀行)應(yīng)向當(dāng)?shù)厝嗣胥y行副省級城市中心支行以上分支機構(gòu)申請。
具有金融功能的軍人保障卡發(fā)行應(yīng)按照《中國人民銀行 中國人民解放軍總后勤部關(guān)于軍人保障卡銀行業(yè)務(wù)應(yīng)用的指導(dǎo)意見》(銀發(fā)〔2009〕339號)及《中國人民銀行 中國人民解放軍總后勤部關(guān)于軍人保障卡銀行業(yè)務(wù)推廣的通知》(銀發(fā)〔2010〕328號)有關(guān)規(guī)定執(zhí)行。
具有金融功能的社會保障卡發(fā)行應(yīng)按照《中國人民銀行 人力資源社會保障部關(guān)于社會保障卡銀行業(yè)務(wù)應(yīng)用有關(guān)事宜的通知》(銀發(fā)〔2010〕348號)有關(guān)規(guī)定執(zhí)行。
(二)人民銀行總行按照《全國性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程》(見附件2)對全國性商業(yè)銀行總行進行發(fā)卡技術(shù)審核;副省級城市中心支行以上分支機構(gòu)按照《區(qū)域性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程》(見附件3)對轄區(qū)內(nèi)區(qū)域性商業(yè)銀行進行發(fā)卡技術(shù)審核。
(三)中國銀聯(lián)股份有限公司(以下簡稱中國銀聯(lián))應(yīng)認(rèn)真做好發(fā)卡機構(gòu)接入銀行卡聯(lián)網(wǎng)通用網(wǎng)絡(luò)和卡片入網(wǎng)工作。
1. 對擬首次發(fā)行磁條借記卡、磁條信用卡、IC借記卡、IC信用卡的,中國銀聯(lián)收到人民銀行關(guān)于其發(fā)卡技術(shù)審核通過的批復(fù)后方可進行聯(lián)網(wǎng)聯(lián)合測試及上線運行。
2. 對擬首次發(fā)行具有金融功能的軍人保障卡和社會保障卡或變更其卡面設(shè)計的,中國銀聯(lián)收到人民銀行關(guān)于其發(fā)卡技術(shù)審核通過的批復(fù)后方可進行卡片入網(wǎng)。
3. 對非首次發(fā)行磁條借記卡、磁條信用卡、IC借記卡、IC信用卡的,由中國銀聯(lián)進行卡片入網(wǎng)審查,對于不符合人民銀行相關(guān)規(guī)定的銀行卡,中國銀聯(lián)應(yīng)不予入網(wǎng)。
4. 中國銀聯(lián)每季度末將本季度發(fā)卡機構(gòu)接入情況匯總表、卡片入網(wǎng)情況匯總表(附樣卡)報人民銀行總行,匯總表報送應(yīng)準(zhǔn)確及時,內(nèi)容應(yīng)客觀詳實。
五、督導(dǎo)檢查
為保障商業(yè)銀行銀行卡發(fā)卡技術(shù)審核工作的順利開展,人民銀行對各商業(yè)銀行相關(guān)工作開展情況將進行督導(dǎo)檢查;對違反規(guī)定的商業(yè)銀行,將給予通報批評;對于嚴(yán)重違規(guī)的商業(yè)銀行,將追究相關(guān)責(zé)任人責(zé)任,并責(zé)令其退出銀行卡聯(lián)網(wǎng)通用網(wǎng)絡(luò)。
請人民銀行各副省級城市中心支行以上分支機構(gòu)將本通知轉(zhuǎn)發(fā)至轄區(qū)內(nèi)區(qū)域性商業(yè)銀行以及外資銀行,執(zhí)行中相關(guān)情況及時報人民銀行總行。
附件:1.商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請材料要
2.全國性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程
3.區(qū)域性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程
附件1
商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請材料要求
一、商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請(正式文件)。
二、基本信息資料,包括:
(一) 法人機構(gòu)注冊地及法人代表;
(二) 境內(nèi)分支機構(gòu)數(shù)量及所在地;
(三) 銀行卡業(yè)務(wù)資金清算賬戶開戶行名稱;
(四) 銀行卡類型、幣種、適用區(qū)域和接入的銀行卡組織名稱及相關(guān)證明文件;
(五) 數(shù)據(jù)生產(chǎn)中心、備份中心位置及產(chǎn)權(quán)歸屬;
(六) 銀行卡系統(tǒng)軟件知識產(chǎn)權(quán)歸屬及運行維護單位;
(七) 銀行卡卡片個人化處理(自行制卡還是外包)。
三、符合標(biāo)準(zhǔn)的銀行卡卡樣(正反彩色設(shè)計圖樣)。
四、符合人民銀行關(guān)于技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測能力要求的檢測機構(gòu)出具的銀行卡卡片檢測報告。
五、符合人民銀行關(guān)于技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測能力要求的檢測機構(gòu)出具的銀行卡受理終端檢測報告。
六、銀行卡系統(tǒng)業(yè)務(wù)需求說明書。
七、銀行卡系統(tǒng)可行性報告。
八、銀行卡系統(tǒng)總體方案,方案中應(yīng)包含以下內(nèi)容:
(一) 系統(tǒng)功能及性能需求;
(二) 系統(tǒng)架構(gòu)以及軟硬件配置;
(三) 網(wǎng)絡(luò)拓撲;
(四) 系統(tǒng)安全性設(shè)計;
(五) 數(shù)據(jù)存儲和數(shù)據(jù)備份策略。
九、銀行卡系統(tǒng)應(yīng)急預(yù)案和應(yīng)急處置策略以及應(yīng)急演練情況。
十、銀行卡系統(tǒng)的事件、事故報告制度及責(zé)任追究制度。
十一、銀行卡系統(tǒng)內(nèi)部測試報告。
十二、銀行卡系統(tǒng)的運行維護管理方案、信息安全管理制度等。
十三、外包合同、外包安全保密協(xié)議。
十四、人民銀行要求的其他資料。
附件2
全國性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程
一、人民銀行總行收到商業(yè)銀行提交的銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請后,根據(jù)商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性文檔審核相關(guān)要求對申請材料進行文檔審核。
二、人民銀行總行指導(dǎo)商業(yè)銀行在符合人民銀行關(guān)于技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測能力要求的檢測機構(gòu)范圍內(nèi)自主選擇檢測機構(gòu)開展檢測工作。檢測機構(gòu)依據(jù)人民銀行制定的商業(yè)銀行銀行卡系統(tǒng)標(biāo)準(zhǔn)符合性和安全性檢測相關(guān)規(guī)范對銀行卡系統(tǒng)進行檢測,并出具正式的系統(tǒng)檢測報告(原件)。
三、人民銀行總行根據(jù)銀行卡系統(tǒng)機房設(shè)施評估相關(guān)規(guī)范對商業(yè)銀行銀行卡系統(tǒng)機房設(shè)施進行現(xiàn)場評估,并出具正式的現(xiàn)場評估報告(原件)。
四、人民銀行總行根據(jù)文檔審核情況、系統(tǒng)檢測報告及現(xiàn)場評估報告,對商業(yè)銀行進行批復(fù),函復(fù)商業(yè)銀行,并抄送中國銀聯(lián)和相關(guān)人民銀行分支機構(gòu)。
附件3
區(qū)域性商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核流程
一、人民銀行副省級城市中心支行以上分支機構(gòu)收到轄區(qū)內(nèi)商業(yè)銀行提交的銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核申請后,根據(jù)商業(yè)銀行銀行卡首次發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性文檔審核相關(guān)要求對申請材料進行文檔審核。
二、人民銀行副省級城市中心支行以上分支機構(gòu)指導(dǎo)商業(yè)銀行在符合人民銀行關(guān)于技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測能力要求的檢測機構(gòu)范圍內(nèi)自主選擇檢測機構(gòu)。檢測機構(gòu)依據(jù)人民銀行制定的商業(yè)銀行銀行卡系統(tǒng)標(biāo)準(zhǔn)符合性和安全性檢測相關(guān)規(guī)范對銀行卡系統(tǒng)進行檢測,并出具正式的系統(tǒng)檢測報告(原件)。
三、人民銀行副省級城市中心支行以上分支機構(gòu)根據(jù)銀行卡系統(tǒng)機房設(shè)施現(xiàn)場評估相關(guān)規(guī)范對商業(yè)銀行銀行卡系統(tǒng)機房設(shè)施進行現(xiàn)場評估,并出具正式的現(xiàn)場評估報告(原件)。
四、人民銀行副省級城市中心支行以上分支機構(gòu)根據(jù)文檔審核情況、系統(tǒng)檢測報告及現(xiàn)場評估報告,提出審核意見報總行審批。
五、人民銀行總行對副省級城市中心支行以上分支機構(gòu)上報的審核意見進行復(fù)核并批復(fù),同時抄送中國銀聯(lián)。
六、人民銀行副省級城市中心支行以上分支機構(gòu)根據(jù)總行批復(fù),函復(fù)商業(yè)銀行。
