2008年上半年银行卡风险状况与典型案例中国银联风险管理部2008年9月银联卡账户信息安全管理与服务12主要内容基本概念一账户信息安全管理的必要性二账户信息安全管理制度体系介绍三账户信息安全管理工作安排及建议四课程目的☆认识账户信息安全管理工作的重要性☆了解当前账户信息安全主要风险特征☆学习银联卡账户信息安全管理制度体系3一、基本概念4☆账户信息——记录在银行卡上的账户信息:卡号、有效期、磁条信息、CVN、CVN2等CVN2卡号磁条信息(卡号、有效期、CVN)姓名拼音签名一、基本概念账户信息与银行卡交易相关的用户身份验证信息网上业务、电话银行、手机银行等业务中的用户注册名业务密码真实姓名证件号码联系方式5一、基本概念重中之重——敏感账户信息磁道信息卡片校验码(CVN)卡片校验码2(CVN2)个人标识代码(PIN)6一、基本概念账户信息安全管理的工作目标确保账户信息在银联卡业务各处理环节中的安全性、完整性和可用性,防止其被篡改、泄漏或破坏7一、基本概念中国银联收单行发卡行POSATM持卡人商户银联前置系统收单机构前置系统重点是在收单端8☆管理范围——账户信息在银行卡交易处理的各类终端(ATM、POS)、各类业务系统(前置、主机系统)的处理、传输均有可能发生信息泄漏发生时间泄露方泄漏点信息泄漏数量原因2005CardSystem(美国)第三方处理机构后台数据库4500万黑客通过脚本程序侵入该公司的电脑系统,窃取后台数据库违规留存的包括磁道信息在内的账户信息2007TJXCos集团(美国)零售商总部后台数据库超过4570万黑客通过无线网络入侵公司的后台数据库,窃取其违规留存的账户信息2008Hannaford超市(美国)零售超市门店服务器约420万黑客入侵公司内部网络,在超市门店服务器中植入后门程序,在刷卡交易过程中截取持卡人账户信息2008Heartland公司(美国)第三方处理机构交易处理系统超过1亿黑客在其交易处理系统植入恶意程序,窃取经该系统转接处理的交易卡片信息二、账户信息安全管理的必要性据不完全统计,从2005年至2009年,国际上超大规模(泄漏信息超过100万条)的账户信息泄漏事件已发生16起境外账户信息安全现状据某国际知名的账户信息安全合规评估第三方机构统计,信息泄漏事件行业分布:餐饮行业占比最大,零售业列居第二上述数据源自该机构对过去190多起账户信息泄漏事件的调查分析二、账户信息安全管理的必要性10境外账户信息安全突出风险点木马和后门防火墙远程访问限制内部欺诈服务器使用口令二、账户信息安全管理的必要性1112ATM侧录犯罪急剧上升,由沿海发达地区向内地中等城市蔓延。商户端泄漏事件多由商户内部工作人员参与作案。欺诈分子已形成从侧录到伪卡交易“一条龙”犯罪产业链境内账户信息安全事件特点二、账户信息安全管理的必要性13目前账户信息安全管理中的问题有的收单机构对ATM等自助终端管理的资源投入不足部分收单机构对特约商户的巡检和管理有待加强一些特约商户或第三方服务机构内部管理不规范二、账户信息安全管理的必要性14有的收单机构对ATM自助终端管理的资源投入不足对ATM机具和门禁系统的日常巡查工作机制存在漏洞,巡查保安人员配备不足,对离行ATM的定期巡检次数过少。ATM录像监控设备投入不足,有的录像存储时间较短,缺乏足够的录像审核人员。对ATM端发起的疑似伪卡欺诈交易,或伪卡测试交易的监控不到位。问题二、账户信息安全管理的必要性15部分收单机构对特约商户的风险管理有待加强对容易成为伪卡集中使用点的高风险等级商户的审查力度有待进一步加强。在与特约商户签订的合作协议中,未对商户和第三方机构提出明确的账户信息安全管理要求(缺乏协议条款约束)。对特约商户收银员的风险培训、机具巡检等日常管理工作执行不到位。问题二、账户信息安全管理的必要性16一些特约商户或第三方服务机构内部管理不规范对账户信息安全工作的重要性认识不足,风险防范意识淡薄。有意或无意中违规留存了磁道信息等敏感账户信息,且对留存信息未设置访问控制内部制度管理未达到银联卡账户信息安全管理制度的基本要求对账户信息的保护措施未达到银联卡账户信息安全管理制度的基本要求问题二、账户信息安全管理的必要性17一些特约商户或第三方服务机构内部管理不规范(续)二、账户信息安全管理的必要性三、账户信息安全管理制度体系介绍《银联卡账户信息与交易数据安全管理规则》(银联风管委[2004]8号)《银联卡账户信息与交易数据安全管理规则》第九章“赔偿及处罚”(修订)(银联风管委[2006]6号)《银联卡密钥安全管理规则【磁条卡部分】V1.0》及其指南(银联风管委[2004]2号)《银联卡账户信息安全事件调查及处理操作流程》(银联风管委[2007]8号)《银联卡账户信息与交易数据安全管理指南》(银联风管委[2004]9号)《关于双倍长密钥算法加解密迁移时间进度的要求》银联风管委[2006]1号)18三、账户信息安全管理制度体系介绍《银联收单业务账户信息安全合规评估管理暂行规定》(银联风管委[2008]3号)《银联卡账户信息安全合规评估机构管理暂行办法》(银联风管委[2008]3号)《银联卡收单账户信息安全合规评估工作试行办法》(银联风管委[2008]3号)《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号)19《银联卡账户信息安全事件应急预案》(银联风管委[2007]7号)——银联网络账户信息安全管理制度的基本框架和原则要求,主要内容包括:三、账户信息安全管理制度体系介绍人员及组织管理访问控制数据保护、使用和销毁系统管理事故处理赔偿及处罚特别要求20银联卡账户信息与交易数据安全管理规则特别要求:收单机构应与第三方机构及商户签署书面协议,明确以下内容:21三、账户信息安全管理制度体系介绍保密条款收单机构与商户和第三方机构签订的协议中必备保密条款,须严格遵守“银联卡账户及交易数据安全管理规则”的相关规定,违反要求的商户需承担相应责任;责任条款承担因本机构账户信息与交易数据管理不善,导致账户信息与交易数据因篡改、泄漏和破坏而造成的全部损失。接受监督检查的责任成员机构应每年定期或不定期地监督、检查其第三方服务机构及特约商户,确保其认真执行本办法中对第三方服务机构及特约商户的要求。《银联卡账户信息与交易数据安全管理规则》第九章“赔偿与处罚”(修订)对第九章“赔偿与处罚”条款进行细化,以界定账户信息安全事件责任主体,明确赔偿责任,维护银联网络参与方的利益。主要内容包括:适用情形责任方界定事件分级处罚责任认定及处罚启动免责条款三、账户信息安全管理制度体系介绍22适用情形出现下列情形之一者,经中国银联风险管理委员会裁定,将需要承担一定的经济责任:泄漏银联卡账户信息,导致银联入网机构遭受损失(卡内资金或卡片信用额度被伪冒使用而形成的直接经济损失)在账户信息安全检查中被发现不符合《银联卡账户信息与交易数据安全管理规则》要求,且在检查后12个月内仍未达到本规则要求三、账户信息安全管理制度体系介绍23责任方的界定三、账户信息安全管理制度体系介绍24转接机构入网机构特约商户第三方机构账户信息泄漏事件分级事件级别泄漏银联卡数量损失金额(人民币)一级1000张以上(含)500万元以上(含)二级600-999张100万元≤损失金额<500万元三级200-599张30万元≤损失金额<100万元四级低于200张低于30万元三、账户信息安全管理制度体系介绍25对于涉及泄漏卡片数量达700张、损失金额超过500万元的事件属于哪个级别?对账户信息泄漏责任方的处罚措施经由中国银联风险管理委员会裁定,根据账户信息泄漏事件级别,采取以下处罚措施:通报强制检查与培训补偿费罚款三、账户信息安全管理制度体系介绍26明确账户信息安全事件发生时,相关各方应采取的措施三、账户信息安全管理制度体系介绍组织管理要求事件先期处理事件续报与跟踪事件信息发布建章立制迅速止损消除隐患统一口径27银联卡账户信息安全事件应急预案应急处理流程——事件先期处理向信息泄漏方反馈应急处理指导意见③④发生账户信息安全事件信息泄漏方中国银联事件受损方向受损成员机构发送风险提示采取应急处理措施对涉及卡片采取止付等措施向银联通报事件事件续报与跟踪事件当事方①②②③④三、账户信息安全管理制度体系介绍28应急处理流程——事件续报与跟踪④事件先期处理信息泄漏方中国银联事件受损方接收应急处理通报实施整改对涉及卡片采取止付等措施提交事件应急处理通报账户信息安全事件基本得到控制协助当事方实施整改③④①②三、账户信息安全管理制度体系介绍29收单机构锁定侧录点监控涉案机具明确信息泄漏范围向公安机关报案中国银联锁定侧录点发送风险提示配合案件侦破协调、支持发卡机构通报伪卡案件锁定侧录点对泄漏卡片进行换卡或监控向公安机关报案30三、账户信息安全管理制度体系介绍账户信息泄漏事件应急处理案例分析如何按照罚则标准对责任方进行调查处理的工作流程三、账户信息安全管理制度体系介绍成立事件调查组事件调查责任及损失范围界定申报损失责任承担31银联卡账户信息安全事件调查及处理操作流程⑤信息泄漏方工作小组对事件进行调查向调查组提交事件相关材料撰写调查报告,提交泄漏方反馈确认责任及损失范围界定是否有异议审核补充材料,决定是否修改调查报告无异议有异议决定是否实地调查风管委办公室成立事件调查工作小组形成并反馈最终调查报告④⑤⑥②③⑥三、账户信息安全管理制度体系介绍事件调查及处理流程--事件调查32工作小组风险管理委员会审议《工作建议》申报损失投票表决将《工作建议》通报成员机构未通过通过根据《调查报告》形成《工作建议》提交风管委审议重新核定损失补偿范围③①②③④三、账户信息安全管理制度体系介绍33事件调查及处理流程--责任及损失范围界定事件调查及处理流程--损失申报成员机构工作小组接收申报材料接收《工作建议》责任承担申报换卡成本补偿及损失赔偿审核申报材料审核未通过审核通过①②③④④三、账户信息安全管理制度体系介绍34工作小组中国银联上海信息中心汇总申报材料提交《处理意见》实现资金划转提交清算①②③报损机构接收费用明细编制费用明细相关报表事件责任方②三、账户信息安全管理制度体系介绍事件调查及处理流程--责任承担35银联卡收单机构账户信息安全管理标准基于《规则》总体框架,参考国际银行卡支付产业账户信息安全的相关标准,并结合国内实际情况,对收单机构的账户信息安全管理提出了更为具体和细致的要求三、账户信息安全管理制度体系介绍银联卡收单机构账户信息安全管理标准人员及组织管理账户信息与交易数据生命周期管理系统及网络安全管理商户和第三方服务机构管理36基本要求:磁道信息、卡片验证码、个人标识代码及卡片有效期各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码及个人标识代码(PIN)及有效期。银行卡主账号(卡号)持卡人身份证件号码三、账户信息安全管理制度体系介绍银联卡收单机构账户信息安全管理标准3738三、账户信息安全管理制度体系介绍银联卡收单机构账户信息安全管理标准政策制定建立账户信息安全管理制度体系制订账户信息安全管理规定建立账户信息安全日常业务操作流程落实账户信息安全管理权限及责任建立账户信息安全监督及检查机制建立对外包服务商的账户信息安全管理机制建立账户信息安全事件应急预案账户信息安全管理审计设置账户信息安全管理岗位人员管理违规人员风险信息共享39三、账户信息安全管理制度体系介绍银联卡收单机构账户信息安全管理标准组织管理逻辑访问控制物理访问控制访问控制40三、账户信息安全管理制度体系介绍银联卡收单机构账户信息安全管理标准访问控制三、账户信息安全管理制度体系介绍账户信息的销毁账户信息存储要求账户信息访问控制账户信息的保护账户信息的使用不得存储银行卡磁道信息、CVN、CVN2、PIN及卡片有效期监督员在场建立登记记录