央行发布支付机构互联网支付业务管理办法（4）

第六十一条                支付机构应按照收款服务协议约定为特约商户提供资金结算及对账服务，妥善、及时处理互联网支付业务产生的差错和争议，保障客户资金安全。

支付机构应将交易的差错、退货资金，退回至原支付账户或银行账户，不得截留或退至其他账户。原账户已销户时，支付机构应主动联系客户或发卡机构，确保将相关款项退回本人账户。

第六十二条                支付机构应建立特约商户风险评级制度，划分商户风险等级。对风险等级较高的商户，应通过设置特约商户单笔或当日交易限额、强化交易监测、建立商户风险准备金、延迟清算等风险管理措施，防范交易风险。

第六十三条               支付机构应建立特约商户检查、评估制度。根据特约商户的风险等级，制定不同的检查、评估频率和方式，并保留相关记录。

第六十四条               支付机构不得以任何形式存储客户银行卡卡片验证码、个人标识代码（PIN）、卡片有效期以及银行交易密码，并应采取有效措施防止特约商户和外包服务机构存储银行卡卡片验证码、个人标识代码（PIN）及卡片有效期等交易验证信息。

第六十五条               支付机构为公用事业缴费、信用卡还款业务、购买特定金融产品提供货币资金代收服务的，适用本章对特约商户的管理。

第五章  风险管理

第六十六条               支付机构开展互联网支付业务采用的信息安全标准、技术标准等应符合中国人民银行关于信息安全和技术标准的有关规定。

第六十七条               支付机构为客户开立支付账户接受的备付金的存放、划转和监督，应符合《支付机构客户备付金存管暂行办法》的规定。

第六十八条               支付机构应制定全面的互联网支付风险管理制度，设立风险管理部门或岗位，明确职责分工，建立规范、有效的风险管理体系。

第六十九条               支付机构应制定有效的应急计划、业务连续性计划和风险处理预案，并定期进行演练。

第七十条           支付机构应建立内部审计机制，定期对互联网支付业务及相关系统进行审计。

第七十一条               支付机构应采取有效安全措施保护支付指令及所附信息的安全传输，防止客户信息泄露、支付指令被篡改。

第七十二条               支付机构应采取必要措施确保支付信息的完整性和可靠性：

（一）制定相应的风险控制策略，防止支付业务处理系统发生危害支付交易数据完整性和可靠性的变化；

（二）防止支付信息在传送、处理、存储、使用中被非法篡改，且任何非法篡改的行为都能被及时发现并记录。

第七十三条               支付机构对客户身份信息和支付信息等信息的使用，不得超出法律许可和客户授权的范围，并应采取必要措施为客户信息保密：

（一）客户信息须以安全方式保存和传输，并防止其被擅自查看或非法截取；

（二）对客户信息的访问应经合法授权和确认，并须登记且确保该登记不被篡改。

第七十四条            除法律法规另有规定或客户书面同意外，支付机构不得向其他机构和个人提供客户信息。

第七十五条               支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制：

（一）确保进入账户系统等核心系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的，而且审计监督应能恰当地反映出这些篡改行为；

（二）对认证数据进行的任何查询、添加、删除或更改都应得到必要授权，并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存。

第七十六条            支付机构采用电子签名方式进行客户身份认证和支付交易授权的，应由合法的第三方认证机构提供认证服务。

第七十七条            支付机构可根据有关规定将互联网支付业务的账户管理和业务处理等核心业务以外的业务外包给合法的专业化服务机构，但其对客户的义务及相应责任不因外包关系的确立而转移。

支付机构应与开展互联网支付外包业务的专业化服务机构签订协议，并确立一套综合性、持续性的程序，以管理其外包关系。

支付机构应确保与其签约的专业化服务机构不得从事或变相从事支付业务，但该机构取得相应支付业务许可的除外。

第七十八条            客户提供的身份信息和银行账户信息经多次验证仍未通过的，支付机构应予以重点关注，并暂停相关业务处理；支付机构发现银行账户信息或支付账户信息被盗取、欺诈、洗钱等风险事件的，应对客户采取暂停交易、限制账户使用等相关措施；对于涉嫌犯罪的，应立即向当地公安机关报案，同时向所在地中国人民银行分支机构报告。