十一、商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。
十二、从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
十三、商业银行接受客户申请,通过身份验证后,应当提供可以撤销客户账户与第三方支付机构业务合作关联的服务。
十四、商业银行应将与第三方支付机构的合作业务纳入全行业务运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查。特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。
十五、商业银行应对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,及时发现和处置异常行为、套现或欺诈事件。
十六、商业银行应做好数据和操作指令的整理和日志备份,便于事后检查和审计。商业银行与第三方支付机构合作开展的各项业务,凡涉及备付金存放和资金划转的,均应建立每日对账制度,严格执行备付金银行及备付金银行账户相关监管要求,不得使用或变相使用银行内部账户以待清算资金等名义为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。
十七、商业银行应采取技术措施保障来自第三方支付机构的传输数据(如客户数据、交易数据等)和操作指令(如支付指令、身份验证指令等)的完整性、一致性和不可抵赖性。对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。
十八、银行应构建安全的网络通道(如专线连接、VPN通道等),指定安全边界(如部署防火墙、DMZ隔离区等),防止第三方支付机构越界访问。
十九、商业银行应按照本通知各项要求,做好相应的制度及合同修订工作。相关工作最迟应于2014年6月30日前完成。
二十、其他银行业金融机构开展相关业务时,参照本通知执行。
