日前央行下發特急通知央行《中國人民銀行關于進一步加強銀行卡風險管理的通知》，給各機構，此次通知主要在面對移動通信技術和移動金融迅速發展的情況下，銀行卡支付安全方面面臨著新的挑戰，央行此次文件覆蓋的內容較全面的對參與銀行卡支付產業各機構給出比較明確的管控指導方向!

明顯時間點要求

9月1日前各商業銀行、支付機構應采取措施加強支付敏感信息內控管理開展支付敏感信息內控管理自查并進行報

11月1起各商業銀行在基于銀行卡與商業機構支付機構建立關聯聯系需要多重身份驗證，并給出指導方式

12月1日起全面實行支付技術標記化處理支付機構應使用支付標記化技術，對銀行卡卡號、卡片驗證碼、支付機構支付賬戶等信息進行脫敏處理，并通過設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性，防范交易風險!

2017年5月1日起全面關停芯片磁條復合卡磁條交易(降級交易)

以下為央行原文

中國人民銀行關于進一步加強銀行卡風險管理的通知

銀發[2016]170號

中國人民銀行上海總部，各分行、營業管理部，各省會(首府)城市中心支行，各副省級城市中心支行;各國有商業銀行、股份制商業銀行，中國郵政儲蓄銀行;中國銀聯股份有限公司，中國支付清算協會：

隨著引動通信技術和互聯網金融的快速發展，銀行卡使用安全面臨新的挑戰。為進一步加強銀行卡信息的安全管理，提升支付風險防控能力，現將有關事項通知如下：

一、強化銀行卡信息的安全管理

(一)強化支付敏感信息內控管理。各商業銀行、支付機構(從事銀行卡收單業務、網絡支付業務的非銀行支付機構，下同)、銀行卡清算機構應嚴格落實《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(銀發[2011]17號)，健全支付敏感信息安全內控管理制度，并將有關情況于9月1日前報告人民銀行。一是嚴禁留存非本機構的支付敏感信息(包括銀行卡磁道或芯片信息、卡片驗證碼、卡片有效期、銀行卡密碼、網絡支付交易密碼等)，確有必要留存的應取得客戶本人及賬戶管理機構的授權。二是明確相關崗位和人員的管理責任，嚴格分離不相容崗位并控制信息操作權限，制定信息操作流程和規范，強化內部監督、責任追究機制，嚴禁從業人員非法存儲、竊取、泄露、買賣支付敏感信息。三是每年應至少開展兩次支付敏感信息安全的內部審計，并形成報告存檔備查。發現因系統漏洞造成支付敏感信息泄露或內部人員違規行為的，應立即采取有效措施防止風險擴大，并向人民銀行報告;涉嫌違法犯罪的，應及時報告公安機關。

(二)加強支付敏感信息的安全防護。各商業銀行、支付機構應在客戶端軟件與服務器、服務器與服務器之間進行通道加密和雙向認證，對重要信息關鍵字段進行散列或加密存儲，保障信息傳輸、存儲、使用安全。開展網絡支付業務時，不得委托或授權無支付業務資質的合作機構采集支付敏感信息，應采取具有信息輸入安全防護、即時數據加密功能的安全控件，采取有效措施防止合作機構獲取、留存支付敏感信息。

(三)全面應用支付標記化技術，自12月1日起，各商業銀行、支付機構應使用支付標記化技術(Tokenization)，對銀行卡卡號、卡片驗證碼、支付機構支付賬戶等信息進行脫敏處理，并通過設置標記的交易次數、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息泄露和欺詐交易風險。

(四)強化交易密碼保護機制。各商業銀行、支付機構應加強銀行卡、網絡支付等交易密碼的保護管理和客戶安全教育，嚴格限制使用初始交易密碼并提示客戶及時修改，建立建議密碼復雜度系統校驗機制，避免交易密碼過于簡單(如“111111”、“123456”等)或與客戶個人信息(如出生日期、證件號碼、手機號碼等)相似度過高。

(五)嚴格規范收單外包服務。各商業銀行、支付機構應嚴格落實《銀行卡收單業務管理辦法》(中國人民銀行公告[2013]第9號公布)、《中國人民銀行關于加強銀行卡收單業務外包管理的通知》(銀發[2015]199號)，承擔收單環節支付敏感信息安全管理責任。一是不得將核心業務系統運營、受理終端秘鑰管理、特約商戶資質審核等工作交由外包服務機構辦理。二是指定專人管理終端秘鑰和相關參數，確保不同的受理終端使用不同的終端主秘鑰并定期更換。三是通過協議禁止實體和網絡特約商戶、外包服務機構留存支付敏感信息。四是每年對外包服務機構、實體和網絡特約商戶至少開支一次有一定獨立性的安全評估，并形成報告存檔備查，對于未遵守相關協議的，應立即終端合作。

(六)加強支付創新規范管理。對于重要支付技術應用、業務創新，各商業銀行、支付機構應至少于項目上線前30日向人民銀行備案，提交項目實施方案、外部安全評估報告等書面材料。業務開展過程中，應做好風險的動態監測、評估和防控工作。

二、加大銀行卡互聯網交易風險防控力度

(一)強化客戶端軟件安全管理。一是各商業銀行、支付機構應從木馬病毒防范、信息加密保護、運行環境可信等方面提升客戶端軟件安全防控嗯呢呢。客戶端軟件應能夠監測并向后臺系統反饋手機支付環境安全狀況，作為限制、拒絕交易等風控策略的依據。二是對客戶端軟件及官方網站設置可信標識或快捷入口，并通過多種渠道告知客戶正確的識別及訪問方法。三是每年必須至少開展一次外部安全評估，形成報告存檔備查，確保技術標準符合性。

(二)加強業務開通身份認證安全管理。自11月1日起，各商業銀行基于銀行卡與支付機構、商業機構建立關聯業務時，應嚴格采用多種因素身份認證方式，直接鑒別客戶身份，并取得客戶授權。身份鑒別應采取以下組合方式之一：一是采用復合《金融電子認證規范》(JR/T 0118)的數字證書，并組合交易密碼等至少一種認證因素。二是采用復合《動態口令密碼應用技術規范》(GM/T 0021)的動態令牌設備，并組合交易密碼等至少一種認證因素。三是至少組合兩種動態認證因素(如動態驗證碼、基于客戶行為的動態挑戰應答等)，并采用語音、短信、數據(如手機銀行、即時通訊、郵件)等至少兩種不同通信渠道。

(三)提升支付交易安全強度。一是各商業銀行應依照《中國人民銀行關于改進個人銀行賬戶服務 加強賬戶管理的通知》(銀發[2015]392號)，建立健全個人銀行結算賬戶分類管理機制，引導客戶使用Ⅱ類、Ⅲ類銀行賬戶辦理小額網絡支付業務，有效防控各類銀行賬戶特別是Ⅰ類賬戶的信息泄露風險。二是在支付機構等合作方向商業銀行發送支付指令、扣劃客戶銀行卡資金時，各商業銀行、支付機構應嚴格落實《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公告[2015]第43號公布)第十條規定，采取交易驗證強度與交易額度相匹配的技術措施，提高交易的安全性。

(四)加強互聯網交易風險監控。各商業銀行、支付機構應利用大數據分析、用戶行為建模等手段，建立交易風險監控模型和系統，及時預警異常交易，并采取調查核實、風險提示、延遲結算等措施。針對批量或高頻登錄等異常行為，應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進行綜合識別，及時采取附加驗證、拒絕請求等手段。

(五)加大支付風險聯動防控力度。各商業銀行、支付機構應認真落實《中國人民銀行工業和信息化部公安部 工商總局關于建立電信網絡新型違法犯罪涉案賬戶緊急止付和快速凍結機制的通知》(銀發[2016]86號)，按照要求接入電信網絡新型違法犯罪交易風險事件管理臺，加強涉案賬戶的止付、凍結管理。

三、切實防范磁條卡偽卡欺詐交易風險

(一)使用金融IC卡降低磁條卡交易風險。一是自9月1日起，各商業銀行新發行的基于人民幣結算賬戶的銀行卡，應為符合《中國金融集成電路(IC)卡規范》(JR/T 0025)的金融IC卡，并采用通過國家認證認可管理部門認可機構安全評估的芯片。二是各商業銀行應從交易渠道、刷卡頻次、單筆交易金額、日累計交易金額、交易地區等方面，進一步加強磁條交易風險控制。對于可以交易應通過短信、電話、客戶端軟件等進行交易確認和風險提示。自2017年5月1日起，全面關閉芯片磁條復合卡的磁條交易。三是各商業銀行應采取換卡不換號、實時發卡等措施加快存量磁條卡更換為金融IC卡的進度。

(二)加強受理終端安全管理。各商業銀行、支付機構應從受理終端產品選型、驗收、現場檢查等環節加強安全管理，確保受理終端產品選型、驗收、現場檢查等環節加強安全管理，確保受理終端的技術標準符合性。銀行卡清算機構應會同成員機構采取入網終端簽名、唯一性標識等技術措施，加強受理終端入網管理，嚴禁不符合標準、非法改裝的受理終端入網使用。對于存量終端應建立定期檢查機制，持續開展終端抽檢工作，確保布放的終端與合格樣品的一致性，嚴控改裝終端的使用。

(三)加大特約商戶實名制管理力度。銀行卡清算機構應會同成員機構建立健全實體和網絡特約商戶信息電子化管理體系，嚴格落實特約商戶實名制相關規定，完整、準確記錄特約商戶及其法定代表人或主要負責人的身份信息，并對同一特約商戶在不同商業銀行和支付機構注冊的信息進行關聯管理。充分利用影像采集、區域定位等技術，采取多渠道交叉驗證等有限手段，健全特約商戶資質審核和信息更新機制，持續加強特約商戶信息真實性管理。

(四)嘉慶違規特約商戶黑名單管理。一是各商業銀行、支付機構應建立健全違規實體和網絡特約商戶黑名單管理制度，明確黑名單納入與移出條件、懲罰措施等。嘉慶對特約商戶的監測、巡檢，對于存在支付敏感信息泄露、非法改裝終端、參與偽卡欺詐等違規行為的，應納入黑名單管理，視嚴重程度從嚴采取延遲結算、暫停交易、終止合作等懲戒措施，并及時通知中國支付清算協會、銀行卡清算機構。二是中國支付清算協會、銀行卡清算機構應會同商業銀行、支付機構建立健全黑名單信息共享和查詢機制，加大聯合懲戒力度，禁止拓展已納入黑名單的特約商戶。

(五)落實偽卡欺詐風險責任轉移規則。銀行卡清算機構應會同成員機構進一步落實銀行卡受理過程中的偽卡欺詐風險責任，保護芯片化遷移方的權益。建立完善的投訴處理機制，妥善處理欺詐風險事件，切實保障客戶的合法權益。

四、嚴格落實各項規定，加大督查處罰力度

(一)嚴格落實國家網絡安全和標準符合相關規定。各商業銀行、支付機構、銀行卡清算機構要嚴格落實國家網絡安全和信息技術安全有關規定，使用經國家密碼管理機構認可的商業密碼產品。一是涉及的客戶端軟件、受理終端、銀行卡、數字證書、動態令牌設備等應符合國家和金融行業相關標準，并通過國家認證認可管理部門認可機構的安全評估。二是業務系統建設和運營應符合國家信息安全等級保護的相關要求。三是業務系統及備份系統應按照國家網絡安全相關要求部署在我國境內。

(二)建立健全監督檢查機制。人民銀行分支機構要高度重視、長抓不懈，成立銀行卡風險管理領導小組，建立日常監督檢查機制，將支付業務系統安全生產、受理終端(含網絡支付接口)安全、支付敏感信息保護等納入執法檢查，統籌做好指導協調、政策宣傳、執法檢查、情況通報等工作。

(三)加大違規行為處罰力度。人民銀行分支機構要嚴查因銀行卡受理終端改裝、支付交易驗證強度低、系統存在安全漏洞及收到網絡攻擊等造成的支付服務中斷、支付敏感信息泄露、資金損失事件，并依照《銀行卡收單業務管理辦法》、《非銀行支付機構網絡支付業務管理辦法》等有關規定從嚴處罰。對于情節嚴重的，依照《中華人民共和國中國人民銀行法》第四十六條規定，對相關機構及負有直接責任的董事、高級管理人員和其他直接責任人員進行處罰;涉嫌犯罪的，及時報告公安機關。對于情節嚴重的支付機構，還應按照《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號發布)、《非銀行支付機構分類評級管理辦法》(銀發[2016]106號文印發)規定調低分類評級直至注銷《支付業務許可證》。

(四)加強行業自律規范。中國支付清算協會要按照本通知要求和相關規定，指定銀行卡風險管理行業自律規范，建立自律檢查、違規約束機制，并于9月30日前向人民銀行報備后組織實施，督促會員單位加強自律，嚴格落實各項規定。

對于本通知規定的報告、報備事項，全國性商業銀行、中國支付清算協會、銀行卡清算機構應報送人民銀行總行，其他銀行業金融機構、支付機構應報送法人所在地人民銀行副省級城市中心支行以上分支機構。

請人民銀行副省級城市中心支行以上分支機構將本通知轉發至轄區內地方性銀行業金融機構和支付機構，加強組織落實。

中國人民銀行

(印章)

6月13日

那么究竟什么是復合卡?又為什么要關閉復合卡的磁條交易呢?目前市面上的銀行卡主要通過芯片或者磁條來實現信息的存儲與處理。

磁條卡

適用于刷卡交易

卡片上只有磁條無芯片

稱之為磁條卡

芯片卡

適用于揮卡、插卡交易

卡片上只有芯片無磁條

稱之為芯片卡(或IC卡)

復合卡

適用于刷卡、揮卡、插卡交易

卡片上又有芯片又有磁條

稱之為復合卡

也就是說，本次只是關閉了復合卡的磁道交易，持卡人原有的磁條卡不受影響，仍可正常使用。