中国银行业监督管理委员会关于做好网上银行风险管理和服务的通知
(银监办发[2007]134号 2007年6月26日)
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮储银行:
近一时期,我国商业银行网上银行业务规模高速增长,服务效率稳步提高,网上资金交易和转移日益频繁,银行客户对电子渠道服务的依赖程度不断加深,为促进网上银行健康持续发展,积极防范针对网上银行的不法活动,维护商业银行和客户权益,现就商业银行做好网上银行风险管理和服务提出如下要求:
一、加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括:向非本人(不含与本行签订业务合作等法律协议和客户预先约定的指定账户,如:代收费、第三方支付、贷款还款帐户等)账户转移资金单笔超过1000元或日累计超过5000元。对于身份认证强度相对较弱的网上银行账户操作,商业银行应充分评估风险,相应进一步采取控制措施(如:限制资金转移功能、限定资金转移额度等)进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
商业银行应综合平衡经济效益和社会效益,不断降低网上银行客户双重身份认证的使用成本,促进双重身份认证的推广普及。
对于其他电子银行业务类型,商业银行可依据其安全程度自行确定是否参照网上银行管理,但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。
二、加强公众网上银行安全教育。商业银行应切实承担起对网上银行客户的安全教育责任,内容应至少包括:(一)通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码;(二)在本行网站首页显著位置开设网上银行(电子银行)安全教育栏目;(三)印制并向客户配发语言通俗,形象直观的网上银行安全宣传折页或手册;(四)在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。