第二十三条 银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
第二十四条 银行应针对与电子支付业务活动相关的风险,建立有效的管理制度。
第二十五条 银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。
银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。
银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。
银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。
第二十六条 银行应确保电子支付业务处理系统的安全性,保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性,并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据。
第二十七条 银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。
银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。
第二十八条 银行应与客户约定,及时或定期向客户提供交易记录、资金余额和账户状态等信息。
第二十九条 银行应采取必要措施保护电子支付交易数据的完整性和可靠性:
(一)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;
(二)保证电子支付交易与数据记录程序的设计发生擅自变更时能被有效侦测;
(三)有效防止电子支付交易数据在传送、处理、存储、使用和修改过程中被篡改,任何对电子支付交易数据的篡改能通过交易处理、监测和数据记录功能被侦测;
(四)按照会计档案管理的要求,对电子支付交易数据,以纸介质或磁性介质的方式进行妥善保存,保存期限为5年,并方便调阅。
第三十条 银行应采取必要措施为电子支付交易数据保密:
(一)对电子支付交易数据的访问须经合理授权和确认;
(二)电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;
(三)第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;
(四)对电子支付交易数据的访问均须登记,并确保该登记不被篡改。
第三十一条 银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:
(一)确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改的企图。
(二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。
第三十二条 银行应采取有效措施保证电子支付业务处理系统中的职责分离:
(一)对电子支付业务处理系统进行测试,确保职责分离;
(二)开发和管理经营电子支付业务处理系统的人员维持分离状态;
(三)交易程序和内控制度的设计确保任何单个的雇员和外部服务供应商都无法独立完成一项交易。
第三十三条 银行可以根据有关规定将其部分电子支付业务外包给合法的专业化服务机构,但银行对客户的义务及相应责任不因外包关系的确立而转移。
银行应与开展电子支付业务相关的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系。
第三十四条 银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。
第三十五条 境内发生的人民币电子支付交易信息处理及资金清算应在境内完成。
第三十六条 银行的电子支付业务处理系统应保证对电子支付交易信息进行完整的记录和按有关法律法规进行披露。
第三十七条 银行应建立电子支付业务运作重大事项报告制度,及时向监管部门报告电子支付业务经营过程中发生的危及安全的事项。
