第一篇:关于银行卡系统科技风险检查情况的报告
关于银行卡系统科技风险检查情况的报告
省行信息部:
根据银监会《关于银行卡系统科技风险现场检查情况的通报》(银监办发〔2012〕285 号)的要求,宣城分行针对自助设备(ATM、多媒体等)的安全防护、第三方快捷支付业务风险进行一次专项自查,具体自查内容如下:
一、自助设备
(1)根据自助设备的安装要求,设备隔离墙体均采用实体砖墙,墙体厚度大于240mm。
(2)自助设备的通讯与电源插口安装符合要求。
(3)在第三方人员进行维护时严禁佩带工具包进入并安排专人陪同。
(4)自助设备的异形口与抖动进卡的装置工作已完成。
(5)我行为新建分行,所有自助设备刚开始使用,没有达到报废的要求。
(6)所有的自助设备均采用了硬加密技术。
(7)系统登录、身份认证、数据传输均采用保密性、完整性加密。
(8)已经对输入的数据进行安全控制。
(9)对银行卡错误输入的次数进行了限制,同一张银行卡不可能同时在不同的自助设备上进行交易。
(10)自助设备在安装、密钥生成、灌输密钥均符合总行的规范要求。
(11)每天当班的保安都会对自助设备进行日常检查,重点查看机具插卡口、出钞口、密码键盘、密码挡板以及机具上方等重点部位有无异物或不明附加装置。
(12)在遇到吞卡的情况下,工作人员及时将所吞卡逐张与日志流水打印的吞卡信息进行核对。
宣城分行办公室
2012年12月3日
第二篇:银行卡风险排查自查报告
银行卡风险排查自查报告
近年来,银行卡在国内迅速发展,已成为广大人民群众购物消费、存取款、转账支付等金融活动的重要载体,但在银行卡业务快速发展的同时,也暴露出了诸多风险,有效地防范和控制风险是当前必须要解决的问题。根据粤农信联河源办发【2011】14号文关于开展银行卡业务风险排查活动的通知,我社对银行卡业务的相关管理情况进行了自查,主要有以下几个方面:
一、关于制度建设和岗位设置方面:县联社关于银行卡业务方面制定了详细的相关管理规定和操作细则,我社根据县联社相关管理规定对我社银行卡业务涉及的各岗位进行了明确的岗位分工,组织员工学习了关于银行卡操作的具体流程、重点风险防范和控制等内容,对于银行卡的开卡、收回、销卡等都设置了授权复核、专项登记等,务求达到外部监督和内控管理的有效结合,相互制约和防范银行卡操作风险。
二、关于业务管理情况方面:对于银行卡的开销户、挂失、冲销、补正等分险类交易我社在实际业务操作中都严格按照县联社的相关管理规定进行操作,严格审查客户资料的真实性和有效性,杜绝违规操作,同时,我社也时常向客户派发关于银行卡安全用卡方面的宣传手册给前来办理业务的客户,向他们宣传有关防范银行业务风险的相关知识,确保我社银行卡业务健康安全地向前发展。
三、关于自助设备业务管理情况方面:目前我社还暂未安装有银
行卡自助设备,因此我社暂无此项业务的相关内容。
四、关于银联POS业务管理情况方面:因为此项业务目前主要是由县联社负责安装、维护和管理,因此我社也暂无此项业务的相关内容。
五、关于资金清算及差错处理情况方面:对于客户的差错投诉,我社都第一时间安排专员负责跟进了解,并及时与县联社清算部门进行沟通解决,务求将损失和风险控制在最低范围。
六、关于新业务开展情况方面:我社目前并未开展珠江平安卡VIP卡、银行卡自助循环贷款、农民工银行卡特色服务等方面业务。
七、关于科技开发管理情况方面:此项业务主要由县联社相关部门负责。
八、关于检查监督情况方面:对于银行卡的各项业务操作,包括开销卡、挂失、冲正、卡保管等我社领导班子都定期或不定期进行检查,县联社稽核部门也会不定期派人前来进行检查指导工作,务求对银行卡业务的监督检查达到防范风险要求,使我们的广大客户能够安全用卡、放心用卡。
信用社
2011年3月10日
第三篇:银行卡风险排查自查报告
关于银行卡系统科技风险现场检查通知 的自查整改报告
近年来,银行卡在我省迅速发展,已成为广大人民群众购物消费、存取款、转账支付等金融活动的重要载体,但在银行卡业务快速发展的同时,也暴露出了诸多风险,有效地防范和控制风险是当前必须要解决的问题。根据豫银监办发
号文关于开展银行卡系统科技风险现场检查的通知,我社对银行卡业务的相关管理情况进行了自查,主要有以下几个方面:
一、关于制度建设和岗位设置方面:县联社关于银行卡业务方面制定了详细的相关管理规定和操作细则,我社根据市银行卡中心相关管理规定对我社银行卡业务涉及的各岗位进行了明确的岗位分工,组织员工学习了关于银行卡操作的具体流程、重点风险防范和控制等内容,对于银行卡的开卡、收回、销卡等都设置了授权复核、专项登记等,务求达到外部监督和内控管理的有效结合,相互制约和防范银行卡操作风险。
二、关于业务管理情况方面:对于银行卡的开销户、挂失、冲销、补正等分险类交易我社在实际业务操作中都严格按照县联社的相关管理规定进行操作,严格审查客户资料的真实性和有效性,杜绝违规操作,同时,我社也时常向客户派发关于银行卡安全用卡方面的宣传手册给前来办理业务的客户,向他们宣传有关防范银行业务风险的相关知识,确保我社银行卡业务健康安全地向前发展。
三、关于自助设备业务管理情况方面: 1是ATM保险柜钥匙和密码必须双人分别掌管,即管理员管ATM保险柜密码,出纳员掌管ATM保险柜和电子门钥匙。2是密码必须不定期更换,每月至少更换一次。3是装入或取出ATM现钞,必须做到双人操作(特别是离行式的ATM机)、及时清点,交叉复核,中途不得换人。4是所有加钞、点钞、清机过程必须选择监控器下进行。5是装钞完毕对外营业前,管理员必须进行实地测试,检查钱箱位置放置是否错位及吐钞面额是否正确,测试无误后方可投入使用。6是在外部服务商提供ATM维护服务时已经做到全程陪同,保证ATM机不受到外部人员控制,确保ATM机正常运行。
四、关于科技开发管理情况方面:此项业务主要由县联社相关部门负责。
五、关于检查监督情况方面:对于银行卡的各项业务操作,包括开销卡、挂失、冲正、卡保管等我社领导班子都定期或不定期进行检查,县联社稽核部门也会不定期派人前来进行检查指导工作,务求对银行卡业务的监督检查达到防范风险要求,使我们的广大客户能够安全用卡、放心用卡。
第四篇:信息科技风险报告 - 副本
信息科技风险自查报告
按照上级领导的指示,认真贯彻《XX通知》(XX文件)精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、组织架构、制度建设及管理情况
1、信息科技治理组织架构
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制
成立了信息科技部,加强了信息科技管理。
2、信息科技管理制度建设(1)安全管理
对安全管理活动中的各类管理内容建立安全管理制度,制定了《南乐县农村信用社计算机信息系统安全管理制度》等,并且及时发现缺漏或不足对制度进行修订。
(2)应急处理
建立较为完善的信息计算机信息系统管理办法,制定中心机房关键基础设施专项应急预案。
二、信息系统的技术措施情况
1、物理和环境建设
(1)机房的物理访问控制:机房实现门禁控制,严防外部人员进入机房擅自操作。
(2)系统密码均由专门人员掌管,计算机终端无人看管时锁定;
(3)机房采用集中监控,监控清晰全面,参数实行24小时不间断监控,岗位人员具备管理监控专业素质。
(4)机房供电系统均采用双路UPS供电,线路冗余性好,负载能力强,完全能够满足机房电力需求。
(5)机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。
(6)中心机房有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施,确保机房正常运转。
2、网络服务连续性、冗余性
1.所有重要通信线路均有备份线路且采用不同运营商,确保网络无断点。
2.网络设备的冗余性:网络设备均有备份。核心网络设备,核心生产系统设备均采用双机热备,确保关键生产设备运行的可靠性。
3.访问线路的带宽完全能够满足各信息系统的带宽需求,无网络拥塞现象。
4.网络设备管理配置均由专人分管负责,确保合理操作,保障网络通畅、安全;
3、应用安全
1.业务应用系统的用户授权及鉴别认证措施
业务应用系统用户密码相关业务人员各自保管,通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。
2.业务应用系统的用户访问控制
系统软件用户访问实现权限控制,各级人员只能进行权限内操作
三、不足和改进方法
需将管理与技术相结合,进一步加强信息安全管理手段
1、从IT风险管理手段来看,部分系统的风险控制不够先进,缺乏专业的风险技术支持,事前预防作用有限,事中控制不够。缺乏对科技风险的集中审计。
2、从组织上保证信息风险有具体人员来承担责任,强化执行力和合规性。将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。制订详细的信息科技风险管理架构,确立信息服务管理与信息风险管理的关系,明确信息风险管理的范围、职责,制订符合信用社实际情况的管理流程,出台可操作性强的安全技术规范,从而有效地防范科技风险。
第五篇:银行卡支付风险与防范
银行卡支付风险与防范
摘要
随着科学技术的飞速发展,我国银行卡产业发展迅速, 银行卡支付在社会商品流通领域所占比例稳步上升, 银行卡已成为我们日常生活中不可缺少的一部分, 可银行卡产生的负面影响也在不断扩大,其中银行卡犯罪和银行卡信息泄露的现象日益增加。因此,银行卡交易的各参与方和监管部门应对这类问题予以关注并寻找相应的解决办法, 以防止支付风险的出现。现在就我国银行卡犯罪的主要特征和风险情况进行分析, 并提出相应的解决措施和建议。
关键词:银行卡;支付风险;防范对策
Abstract
Along with the rapid development of science and technology,bank card industry in our country develop rapidly, the proportion of bank card payments insocial commodity circulation increases steadily, bank cardshave become an indispensable part ofour daily life.It makes our life much convenient ,but it grows accompanied by the risk.The phenomenon of bank card crime is increasing, so it is necessary for regulatory authorities to prevent the risk of bankcard,and put forword solution and suggestion by analyzing the characteristics of the risk of bank card.Key word:bank card;pay risk;precaution counermeasure
20世纪70年代以来,由于科学技术的飞速发展,特别是电子计算机的运用,使银行卡的使用范围不断扩大。近几年来, 随着银行卡联网联合工作的深入开展, 各商业银行进一步加大了对银行卡业务的投入,加上专业化机构的推动, 我国银行卡产业取得了飞跃性的发展, 发卡量和交易金额均迅速增长。银行卡方便、快捷的服务方式, 逐渐改变着人们的支付方式。截至 2006 年底, 我国银行卡的发卡量达 11.75 亿张, 同比增长 23%,2006 年总交易金额预计超过 60 万亿元, 其中消费交易额为 1.6 万亿元, 同比增长 70%以上。国内银行卡特约商户 52 万家, 销售点终端(POS)81 万台, 自动柜员机(ATM)9.8 万台, 同比分别增长 32%、34%和19%。
在银行卡业务蓬勃发展的同时, 银行卡产生的负面影响也在不断扩大, 其中最主要的问题之一就是银行卡风险欺诈, 它给发卡银行、收单机构、信息转接等机构和持卡人带来越来越大的损失。银行卡犯罪案件也逐年攀升, 案件数量和损失金额快速增长。银行卡信息从近几年国际、国内银行卡犯罪的方法来看, 主要是针对银行磁条卡和受理机具, 目的是盗取持卡人的密码和银行卡磁道数据内容。因此, 银行卡交易的各参与方和监管部门应对这类问题予以关注并寻找相应的解决办法, 以防止支付风险的出现。
一、银行卡风险的特点
现实中,银行卡的风险无所不在,如在银行卡业务在营运过程中,因受主客观因素的影响,存在着一定程度的资金风险,其中发卡行 持卡人 特约商户三者之间存在商业博弈以及
银行卡的自身安全这些都是潜在的风险源,同时银行允许持卡人恶意透支这种行为的存在,可能在恶意透支催收不及时,追索乏力,缺乏风险保障机制,银行卡风险也就极易形成 随着银行卡业务的进一步发展,银行卡风险发生也越来越频繁 在银行卡的发行 使用 结算等诸多环节都可能存在风险 而且随着发卡行特约商户和持卡人的增多,银行卡风险体现出涉及面宽、风险种类多、危害性大、风险的可识别性差等特点。
1.银行卡业务风险涉及面宽
近年来,随着经济的发展,人们生活水平的提高,银行卡业务得到广泛的普及和发展 截止到2009年,我国银行卡发行总量超过18 亿张,银行卡在促进房地产消费社会消费方面已发挥出重要作用,其中,银行卡消费在社会消费品零售总额中的占比快速上升近25%,在北京、上海地区这一比例高达40%这一庞大的持卡队伍,使得银行卡风险发生的可能性也就越大同时银行卡的区域间的流动性和银行卡结算过程中的种种环节都给银行卡风险发生的可能性埋下伏笔
2.银行卡业务风险种类多
1).信用风险
2).操作风险
3).技术风险
4).法律风险 [3]
二、银行卡风险欺诈情况
1.全球状况
2006年全球银行卡欺诈金额一直稳步攀升,据某国际银行卡组织最新数据显示:2006年第一、二、三季度全球银行卡欺诈金额分别为3.16亿美元3.73亿美元与4.19亿美元,呈持续上升态势。其中,2006年前三季度全球非面对面交易欺诈损失金额为4.64亿美元,伪卡欺诈损失为4.95亿美元,且第3季度中非面对面交易欺诈损失已经超过伪卡欺诈损失,其他欺诈损失较大的类型依次为失窃卡、丢失卡、虚假申请未达卡和账户冒用。相比较国际其他地区的情况,亚太地区的银行卡欺诈率(BP),还处于相对较低的水平。
2.国内状况
据不完全统计,2006年全国银行卡欺诈金额总数为1.84亿元人民币,国内银行卡欺诈率为0.94BP,比2005年底的0.67BP增长40.3%。特别是目前借记卡涉及欺诈金额增幅明显,由于手机短信欺诈的大范围出现,2006年第2季度的借记卡涉及欺诈金额为404.74万元,到了第3季度和第4季度分别增至1363.17万元和1442.7万元?2006年全国共发生账户信息泄漏事件433起,涉案金额达到3491万元,相比2005年全年发生的117起和274万元,涉案数量和金额分别增长了370%和12.7倍。[2]
三、银行卡信息泄露情况
2007年1月,TJXCompanies公司公开透露其电子信用卡/借记卡业务系统曾被非法入侵,总共多达45700000个信用卡、借记卡的账号和超过455000宗商品退货记录(包括消费者姓名和驾照号码)被盗取。
2008年3月,美国连锁超市HannafordBros宣布,该超市的数据库遭到黑客入侵,造成420多万条银行卡账户信息泄露。该公司声明表示,此次信息泄露事件波及美国东部地区全部165个连锁店、佛罗里达州的106个连锁店以及部分出售Hannaford产品的其他超市门店,并且随后导致了1800多起有关卡交易欺诈事件。
2009年3月,据英国《每日邮报》报道,英国本土多达1.9万张信用卡详细信息发生泄露,泄露信息包括1.9万张VISA卡、万事达卡和美国运通卡卡主的姓名、家庭住址和其他卡片信息。这些数据信息被公布在互联网上。英国支付清算协会(APACS)立即采取有关措施,但是专家指出除了目前信息泄露造成的直接损失外,以后还可能导致持卡人身份被盗用的风险。[3]
以上的这几个只是银行卡信息泄露中的一部分事件,类似的银行卡信息泄露事件已经成为全球范围内金融机构和银行卡持卡人最感烦恼的问题之一。
四、国际银行卡组织安全措施
为防范银行卡产业的风险, 一些主要的的银行卡组织针对银行卡和终端产品建立了一套严格的标准和规范, 涵盖了银行卡卡片、银行卡终端机具等产品和受理商户处理系统, 详列了敏感数据的储存、处理、传输及会员银行、商品(或服务)提供者等各方的安全要求。国际银行卡组织和一些西方国家已将金融支付产品的安全性列入其支付环境建设的管理范畴中, 并将产品的安全性指标作为衡量该产品能否在其网络或国内使用的主要依据之一。
1.卡片安全措施
国际银行卡组织对银行卡生产企业采用授权生产的原则, 对生产过程实行严格的数字化管理, 防止非法卡片从指定的生产企业流出。由于磁条卡自身存储方式的制约, 无法对磁条的安全性做出进一步要求, 仅能采用在银行卡正面加贴全息防伪标志和印刷微缩文字等简单办法提高银行卡的防伪特性。但对于金融集成电路(IC)卡, 除上述要求之外, 还增加了对 IC 芯片硬件安全评估和 IC 卡操作系统风险测试的要求。芯片硬件安全评估是对芯片自身的安全性进行测试和评估, 采用了先进的设备和技术, 对卡片中存储的密钥、计数器、只读代码等对象开展安全性攻击测试。银行卡组织要求金融 IC 卡所使用的芯片必须通过“Common Criteria” 评估标准(参照 IS0/IEC 15408标准)EAL4+ 以上的安全级别;风险测试是针对 IC 卡产品的 COS 进行的安全风险评估, 确保卡片的 COS 调用了 IC 芯片硬件所提供的安全特征, 并得到合理、有效的运用。
2.受理设备安全措施
国际银行卡组织对受理机具的生产企业不采用授权生产的原则, 仅要求受理机具的安全性符合 PCI组织的安全规范并通过指定实验室的检测和评估。终端安全性检测主要针对 PIN 输入设备和密钥存储区域, 设备的安全可分为物理安全性和逻辑安全性二部分。物理安全性是检测银行卡受理机具在物理构造上是否具备防攻击性和反攻击性机制, 以及不同防攻击性和反攻击性之间的关联性。逻辑安全性是检测银行卡受理机具在软件设计上是否具备防攻击性和反攻击性的机制, 例如终端是否具备自检功能, 敏感信息使用次数和时间控制, 异常数据反应, 随机数发生器特性, 嵌入式软件更新控制, 加密消息鉴别和加密方法是否达到相应的安全要求等。[2]
五、国内的防范措施
从国内银行卡犯罪的方法来看, 其主要方式是盗取银行磁条卡上的数据信息和持卡人密码(PIN)。作为银行卡监管机构、发卡机构和收单机构应从以下几个方面采取措施预防欺诈风险的发生。
1.监管机构措施
银行卡卡片和受理设备的安全管理是银行卡安全环境建设的重要环节之一, 监管机构应制定、颁布银行卡卡片和受理设备的安全标准, 成立相应的银行卡产品检测认证机构, 指定专门实验室进行银行卡产品安全检测, 通过检测和认证使之安全性达到相应标准, 防止犯罪分子通过攻击终端机具获取持卡人密码、磁道信息或终端机具的密钥, 有效降低银行卡交易风险。特别是加强对受理设备的检测, 严格规范受理设备的交易流程、数据存储和加密、密钥下装等环节, 减少欺诈案件的发生。监管机构应建立银行卡风险欺诈信息沟通机制,建立监管机构、发卡机构、收单机构、信息转接机构(中国银联)、公安部门和其他相关部门间长期、有效的沟通渠道, 通过各方面的力量化解风险事件, 定期通报国内外银行卡风险管理动态、银行卡犯罪趋势分析以及其他银行发生的经验教训等。加快建立健全相关的法律、法规, 依法打击银行卡风险欺诈的犯罪活动, 遏制银行卡犯罪活动的发生。
2.发卡机构措施
为降低发卡风险, 发卡机构应建立健全风险管理体制, 加强制度规章建设, 提高风险管理的技术手段,加大风险管理的组织保障力度。如针对银行卡业务开展的各个环节, 详细列举业务开展过程中可能出现的风险点, 并针对各风险点的情况提出具体的防范及控制措施;在后台处理系统中加装银行卡风险预警监控系统。加强对银行卡磁道数据信息的保护。对于 磁道数据被窃取的不同途径采取了不同的防范方式。此外,发卡机构还可在第三磁道内增加其他的可变数据, 进一步增加银行卡的伪造难度。同时, 可以考虑在适当时机开展银行磁条卡向 IC 卡的迁移工作, 以彻底解决磁条卡安全性不高的问题。
3.收单机构措施
收单机构为规避风险应当制定相应的风险策略和收单政策, 规范商户的选择、评估和签约等作业程序, 明确风险管理部门的责任, 与公安部门合作开展对欺诈交易的监控和侦测等。通过汇集、分析商户交易数据并产生相关风险评估报告。除使用已通过相关安全检测的终端产品外, 收单机构还要加强对设备和设备所处环境的管理和监控,全面推广ATM 监控系统, 防止犯罪嫌疑人通过非法安装摄像头、磁条阅读器、录音装置等方法窃取持卡人密码和磁道数据信息。此外, 还可定期组织风险管理知识培训, 使收银员等银行卡从业人员及时了解银行卡风险发展的最新现状、欺诈案件类型及防范措施等, 防范收单风险的发生。[2]
参考文献:
[1]于雪征.论银行卡风险特点成因与防范[A].北方经贸,2010.12
[2]宣小燕.银行卡风险防范的策略和措施[J].电子商务世界,2006.06
[3]李振,李津.保障银行卡支付安全 防范客户信息泄露[J].中国信用卡,2009.12
点击咨询 