金融投资]银行卡及自助设备安全风险管理

金融投资]银行卡及自助设备安全风险管理内容摘要：

什么问题银行可以立即冻结这部分资金来抵御风险，保障广大用户的资金安全； 建议四：加强第三方支付账户的实名认证机制。 针对银 行卡风险，当前各家银行向中央银行提出了如下意见和建议，从而尽快建立个人信用体系以加强内部刮泥，建立健全内控体系和风险管理制度： 建议一：一是建立完善的内控体系，做好授权、挂失、止付等工作。 发卡机构在开户、制卡、发卡、收卡、授权、挂失、止付、重要凭证及止付信息传递过程中要严格按照规章制度办理。 实行“三分离” ，即制卡人员与电脑程序员相分离、会计复核员与授权人员相分离、记账员与发卡员相分离，形成一种相互制约、相互协调、相互监督的机制。 建议二：建立健全风险管理制度。 应根据银行卡卡种属性、业务种类及其风险特点，制 定相应的规章制度，规范各类信用卡的资信审查、开户、授权等操作；从制度上明确发卡行、受理行、持卡人和特约商户之间的权利义务关系；对新开发的卡产品要及时制定操作流程。 建议三：将银行卡业务纳入银行统一的风险管理体系统一管理。 当前各家银行 的 银行卡网上支付中的流动性风险比例不大，针对银行在网上支付过程中可能遇到的流动性风险， 当前各家银行向中央银行提出如下意见和建议： 建议一：中央银行应对商业银行的存款准备金进行监管并对每个账户的转账金额设定上限； 建议二：中央银行应通过报表分析、监测银行的资金需求，从而降低银行的 周转风险； 建议三：中央银行应建立健全流动性风险预警机制。 银行卡受理点的账户信息 安全 风险防范措施 当前各家银行目前使用的银行卡受理终端 根据各家银行的采用率排序依次为自助终端、销售待（ POS）终端、电话 POS、转账 POS、电话 POS、非接触式银行卡信息终端、多用途金融 IC 卡支付终端、有线电视等。 当前各家银行 的 银行卡收单业务说面临的主要风险 依次为信用卡套现、伪卡、 恶意调单、洗单等。 对于伪卡， 目前 呈现出三大特点：（ 1）从卡片信息盗取到最终发生欺诈消费，已形成完整的黑色产业链。 （ 2）伪卡交易形态更为 隐蔽。 （ 3）伪卡集团与商户勾结的案例频频出现。 因此，当前亟需研究针对这些伪卡交易伪卡识别技术，比如 在收单机实施监控系统要研究和实现专门针对这些伪卡交易的识别机制。 针对当前银行卡受理点的账户信息安全风险防范，应当采取以下措施：（ 1） 收单行部署实时监控系统 ；（ 2）打破部分地区银联 直联 垄断的局面 ；（ 3）完善相关法律法规。 其中收单行所要部署的实施监控系统应当包括交易处理模块、交易处理模块、商户管理模块和帐务管理模块。 对于部分地区银联 直联 垄断的局面的打破，根据我们的调研， 当前有 17 家银行的终端机通过收单 银行直接与银联系统相连，占总数的 %，其中大部分是由于银联的要求才这样做的，当前这17 家银行认为收单机直接与银联相连有存在如下缺陷： 缺陷一：收单机无法对交易进行监控，从而无法对商户进行严格监管。 缺陷二：由于在 直联 模式下，商户终端机直接与银联系统相连，此间并不经过收单行，故收单行无法看到交易数据； 因此， 当前应当 由监管机构出面，统一银行卡收单市场秩序，支持商业银行自主选择终端布设方式，势在必行。 当前各家银行对于当前国内银行卡收单业务法律法规的完善，提出了如下意见和建议： 意见一：部分违规行为在 当前银行卡收单市场规范条款中未有明确定义，如危害极大的套现行为； 意见二：部分违规行为在当前条款中缺乏相关的罚则； 意见三：部分条款未能被很好执行，如《关于规范和促进银行卡受理市场发展的指导意见》明确了收单业务开展中的公平自愿、公平竞争、联网通用原则，但实际执行情况并不尽如人意。 因此， 业界期盼已久的《银行卡条例》应尽快出台，以对银行卡组织、发卡行、收单行、第三方机构、外包商等的责职和行为进行更好的定义和规范。 此外，应加紧制定针对套现等新型银行卡犯罪的法律法规，以为此类案件立案侦办提供可依据的法律准则。 银行卡的芯片化机制 在银行卡用卡安全问题日益 成为社会关注焦点的背景下，如何从技术层面进一步提高银行卡的安全性以保障持卡人权益，成为当前亟待解决的问题。 芯片银行卡是以芯片作为介质的银行卡，又称金融 IC卡或智能卡，在种类上分为纯芯片卡和磁条芯片复合卡。 芯片卡可以存储密钥、数字证书、指纹等信息，以功能多、信息难以破译或仿造以及可以实现一卡多用等特点，受到社会各界的关注和青睐，被广泛应用于金融、通信、交通运输、医疗卫生、教育、娱乐、企业管理、个人安全识别等领域。 信息承载量大、安全性能高的芯片银行卡不仅能节约银行系统资源，更能有效提高银行卡的安全性，保障广大持 卡人的权益。 根据调研， 当前各家银行在“十二五”时期实现银行卡的芯片化机制主要是由于迁移后的金融 IC 卡 安全、一卡多用且存储量大。 其中，安全体现在新推行的金融 IC 卡主要采用 CPU 芯片，具有独立运算、加解密和储存能力， IC 卡可存储加密的机密数据，因此能防止银行卡数据被复制伪造。 现在使用的磁条卡非常容易磨损，信息存储量小，更大的缺点是磁条易读出和伪造，很容易就能盗取磁条上的资料，制造一张假卡； 一卡多用体现在金融 IC 卡可以在社保、医疗、交通、文化、休闲等领域使用，实现生活与消费“一卡通行”。 央行数据显示，目前我 国已有 200 多万台的销售点终端 (POS)已可受理金融 IC 卡，占 POS机总量的 2/3 左右； 存储量大体现在可脱机交易：存储器可以存储几十个至几千个汉字，可以分为若干个应用区，便于一卡多用；同时金融 IC 卡可实现可脱机消费（支付不用连接银行后台），持卡人可以设定电子现金初始余额，系统将自动从信用卡额度中向电子现金进行充值。 与电子现金和电子钱包类似。 又增添了新功能。 当前各家银行认为在“十二五”时期实现银行卡的芯片化机制 的主要难点包括新旧卡转换工作量大、投入加大和宣传工作滞后。 当前各家银行认为在“十二五”时期实现 银行卡的芯片化机制中的以下几步工作量较大或需要投入较大成本 （按成本从高到低排列） ：  终端机具改造  系统改造；  信息转接的系统改造；  卡片设计开发；  密钥管理体系的建立 根据查阅的 文献， 我们 提出了以下四点推进芯片化业务稳定发展的对策和建议 ，供银监局和各家银行参考 ： (1) 积极开展多种形式的宣传活动。 (2) 采取“先试点 后推广”的方式稳步推进磁条卡向芯片卡过渡。 (3) 加快芯片卡受理设施的升级改造步伐。 (4) 财政要适当给予补贴。 ATM 机的身份认证机制改进 根据调研，当前 ATM 机的 交易 过程 存在缺陷， 不法分子可以通过以下手段进行窃取用户的现金： (1) 猜测密码。 (2) 窥探。 (3) 垃圾搜索。 (4) 网络欺骗。 根据查阅的 相关文献， 我们 提出 了一种 高安全性的 ATM 身份认证机制，供银监局和各家银行参考 ，见附件 《 一种高安全性的 ATM身份认证机制 》。 生物认证技术在 ATM 身份认证机制中的应用和实现 生物认证技术涉及到计算机技术、网络技术、电子学、微电子学、光学、医学、生物学、人工智能等近代学科的理论和应用技术。 在ATM 上取现时的身份认证技术，应本照着“可接受性、方便、快速、拒识率低、正 确识别率高、设备简易、成本低、应用技术成熟、高识别速度、宽温区、低功耗、适应环境、仿伪能力强”的原则，上述生物特征中，就目前的应用技术，指纹、人脸、声纹特征，应用于 ATM 上取现时的身份认证是可行的。 当前有 3 家银行打算在“十二五”时期在 ATM 机上使用生物认证技术，以提高 ATM 的安全性，占总数的 %。 如果采用生物认证技术来改进 ATM 机的身份认证机制，则当前各家银行会选择 指纹识别、人脸识别、声纹识别和多种生物识别技术的综合利用，具体见附件： 《生物认证技术在 ATM 身份认证机制中的应用和实现》。 当前各家银 行采用生物认证技术来提高 ATM 安全性主要存在以下难点 ： 难点一：在 ATM 上使用生物认证技术进行银行卡身份认证，需要预留客户的生物特征，需要建立生物特征数据库，对服务器硬件和网络有更高的要求，走向技术成熟和达到普及应用，需要有个过程； 难点二：增加银行认证系统的成本， 特别是增加 ATM 场地的维护成本和承担人为破坏的风险； 难点三：在有效防止盗刷银行卡的同时，合法持卡人的家人也不能使用银行卡，感。