非银行支付机构网络支付业务管理办法(2016网络支(6)

等情况在对外公告。支付机构应在年度监管报告中如实反映上述容和风险准备金计提、使用及结余等情况。

第二十条支付机构应当依照中国人民银行有关客户信息保护的规定,制定有效的客户信息保护措施和风险控制机制,履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息,原则上不得存储银行卡有效期。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。

第二十一条支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、技术监测等必要监督措施。特约商户违反协议约定存储上述敏感信息的,支付机构应当立即暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露,并依法承担因相关信息泄露造成的损失和责任。

第二十二条支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:[一 ]仅客户本人知悉的要素, 如静态密码等 ;[二 ]仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等 ;[三 ]客户本人生理特征要素,如指纹等。支付机构应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

第二十三条支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民国电子签名法》、《金融电子认证规》

[JR/T0118-2015]等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的,应当切实防一次性密码获取端与支付指令发起端为相同物理设备而带来的风险, 并将一次性密码有效期严格限制在最