央行发布规范商业银行银行卡发卡技术管理工作的通知
中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联股份有限公司:
为切实履行《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(国办发〔2008〕83号)关于银行卡联网通用工作的管理职责,加强银行卡安全管理和技术风险防范,现就规范和加强商业银行银行卡发卡技术管理有关事项通知如下:
一、基本原则
商业银行发行银行卡应遵循国家及金融行业技术标准规范,严格执行信息安全政策和银行卡联网通用政策,通过由人民银行组织的发卡技术标准符合性和安全性审核(以下简称技术审核)后方可正式发卡。
二、主要审核依据
(一)政策文件。
1.《银行卡业务管理办法》(银发〔1999〕17号文印发)
2.《中国人民银行办公厅关于转发〈信息安全等级保护管理办法(试行)〉的通知》(银办发〔2006〕42号)
3.《中国人民银行关于发布〈银行卡销售点(POS)终端规范〉和〈银行卡自动柜员机(ATM)终端规范〉两项行业标准的通知》(银发〔2009〕83号)
4.《中国人民银行关于发布〈银行卡卡片规范〉行业标准的通知》(银发〔2009〕161号)
5.《中国人民银行关于发布〈银行卡联网联合技术规范〉行业标准的通知》(银发〔2009〕177号)
6.《中国人民银行关于发布〈中国金融集成电路(IC)卡规范〉(2010年版)系列行业标准的通知》(银发〔2010〕136号)
(二)技术标准规范。
1.《银行卡磁道信息格式和使用规范》(JR/T 0009-2000)
2.《信息系统安全等级保护基本要求》(GB/T 22239-2008)
3.《银行卡销售点(POS)终端规范》(JR/T 0001-2009)
4.《银行卡自动柜员机(ATM)终端规范》(JR/T 0002-2009)
5.《银行卡卡片规范》(JR/T 0052-2009)
6.《银行卡联网联合技术规范》(1-5部分)(JR/T 0055.1-2009)
7.《中国金融集成电路(IC)卡规范》(1-13部分)(JR/T 0025-2010)
三、审核范围
(一)商业银行首次发行磁条借记卡、磁条信用卡、IC借记卡、IC信用卡,应通过技术审核。
(二)商业银行首次发行军人保障卡、社会保障卡等有特定性质的银行卡或变更有特定性质的银行卡卡面设计,应通过技术审核。
四、实施要求
(一)拟首次发行磁条借记卡、磁条信用卡、IC借记卡、IC信用卡的商业银行,应按照《商业银行银行卡首次发卡技术标准符合性和安全性审核申请材料要求》(见附件1)向人民银行申请发卡技术审核。其中,国有商业银行、股份制商业银行、中国邮政储蓄银行、外资银行等(以下统称全国性商业银行)银行总行应向人民银行总行申请;全国性商业银行分行(若全国性商业银行总行未申请,其分行可单独申请)、城市商业银行、农村商业银行、农村合作银行、村镇银行、城市信用社、农村信用社等(以下统称区域性商业银行)应向当地人民银行副省级城市中心支行以上分支机构申请。
具有金融功能的军人保障卡发行应按照《中国人民银行 中国人民解放军总后勤部关于军人保障卡银行业务应用的指导意见》(银发〔2009〕339号)及《中国人民银行 中国人民解放军总后勤部关于军人保障卡银行业务推广的通知》(银发〔2010〕328号)有关规定执行。
具有金融功能的社会保障卡发行应按照《中国人民银行 人力资源社会保障部关于社会保障卡银行业务应用有关事宜的通知》(银发〔2010〕348号)有关规定执行。
(二)人民银行总行按照《全国性商业银行银行卡首次发卡技术标准符合性和安全性审核流程》(见附件2)对全国性商业银行总行进行发卡技术审核;副省级城市中心支行以上分支机构按照《区域性商业银行银行卡首次发卡技术标准符合性和安全性审核流程》(见附件3)对辖区内区域性商业银行进行发卡技术审核。
(三)中国银联股份有限公司(以下简称中国银联)应认真做好发卡机构接入银行卡联网通用网络和卡片入网工作。
1. 对拟首次发行磁条借记卡、磁条信用卡、IC借记卡、IC信用卡的,中国银联收到人民银行关于其发卡技术审核通过的批复后方可进行联网联合测试及上线运行。
2. 对拟首次发行具有金融功能的军人保障卡和社会保障卡或变更其卡面设计的,中国银联收到人民银行关于其发卡技术审核通过的批复后方可进行卡片入网。
3. 对非首次发行磁条借记卡、磁条信用卡、IC借记卡、IC信用卡的,由中国银联进行卡片入网审查,对于不符合人民银行相关规定的银行卡,中国银联应不予入网。
4. 中国银联每季度末将本季度发卡机构接入情况汇总表、卡片入网情况汇总表(附样卡)报人民银行总行,汇总表报送应准确及时,内容应客观详实。
五、督导检查
为保障商业银行银行卡发卡技术审核工作的顺利开展,人民银行对各商业银行相关工作开展情况将进行督导检查;对违反规定的商业银行,将给予通报批评;对于严重违规的商业银行,将追究相关责任人责任,并责令其退出银行卡联网通用网络。
请人民银行各副省级城市中心支行以上分支机构将本通知转发至辖区内区域性商业银行以及外资银行,执行中相关情况及时报人民银行总行。
附件:1.商业银行银行卡首次发卡技术标准符合性和安全性审核申请材料要
2.全国性商业银行银行卡首次发卡技术标准符合性和安全性审核流程
3.区域性商业银行银行卡首次发卡技术标准符合性和安全性审核流程
附件1
商业银行银行卡首次发卡技术标准符合性和安全性审核申请材料要求
一、商业银行银行卡首次发卡技术标准符合性和安全性审核申请(正式文件)。
二、基本信息资料,包括:
(一) 法人机构注册地及法人代表;
(二) 境内分支机构数量及所在地;
(三) 银行卡业务资金清算账户开户行名称;
(四) 银行卡类型、币种、适用区域和接入的银行卡组织名称及相关证明文件;
(五) 数据生产中心、备份中心位置及产权归属;
(六) 银行卡系统软件知识产权归属及运行维护单位;
(七) 银行卡卡片个人化处理(自行制卡还是外包)。
三、符合标准的银行卡卡样(正反彩色设计图样)。
四、符合人民银行关于技术标准符合性和安全性检测能力要求的检测机构出具的银行卡卡片检测报告。
五、符合人民银行关于技术标准符合性和安全性检测能力要求的检测机构出具的银行卡受理终端检测报告。
六、银行卡系统业务需求说明书。
七、银行卡系统可行性报告。
八、银行卡系统总体方案,方案中应包含以下内容:
(一) 系统功能及性能需求;
(二) 系统架构以及软硬件配置;
(三) 网络拓扑;
(四) 系统安全性设计;
(五) 数据存储和数据备份策略。
九、银行卡系统应急预案和应急处置策略以及应急演练情况。
十、银行卡系统的事件、事故报告制度及责任追究制度。
十一、银行卡系统内部测试报告。
十二、银行卡系统的运行维护管理方案、信息安全管理制度等。
十三、外包合同、外包安全保密协议。
十四、人民银行要求的其他资料。
附件2
全国性商业银行银行卡首次发卡技术标准符合性和安全性审核流程
一、人民银行总行收到商业银行提交的银行卡首次发卡技术标准符合性和安全性审核申请后,根据商业银行银行卡首次发卡技术标准符合性和安全性文档审核相关要求对申请材料进行文档审核。
二、人民银行总行指导商业银行在符合人民银行关于技术标准符合性和安全性检测能力要求的检测机构范围内自主选择检测机构开展检测工作。检测机构依据人民银行制定的商业银行银行卡系统标准符合性和安全性检测相关规范对银行卡系统进行检测,并出具正式的系统检测报告(原件)。
三、人民银行总行根据银行卡系统机房设施评估相关规范对商业银行银行卡系统机房设施进行现场评估,并出具正式的现场评估报告(原件)。
四、人民银行总行根据文档审核情况、系统检测报告及现场评估报告,对商业银行进行批复,函复商业银行,并抄送中国银联和相关人民银行分支机构。
附件3
区域性商业银行银行卡首次发卡技术标准符合性和安全性审核流程
一、人民银行副省级城市中心支行以上分支机构收到辖区内商业银行提交的银行卡首次发卡技术标准符合性和安全性审核申请后,根据商业银行银行卡首次发卡技术标准符合性和安全性文档审核相关要求对申请材料进行文档审核。
二、人民银行副省级城市中心支行以上分支机构指导商业银行在符合人民银行关于技术标准符合性和安全性检测能力要求的检测机构范围内自主选择检测机构。检测机构依据人民银行制定的商业银行银行卡系统标准符合性和安全性检测相关规范对银行卡系统进行检测,并出具正式的系统检测报告(原件)。
三、人民银行副省级城市中心支行以上分支机构根据银行卡系统机房设施现场评估相关规范对商业银行银行卡系统机房设施进行现场评估,并出具正式的现场评估报告(原件)。
四、人民银行副省级城市中心支行以上分支机构根据文档审核情况、系统检测报告及现场评估报告,提出审核意见报总行审批。
五、人民银行总行对副省级城市中心支行以上分支机构上报的审核意见进行复核并批复,同时抄送中国银联。
六、人民银行副省级城市中心支行以上分支机构根据总行批复,函复商业银行。