中国建设银行关于加强信用卡业务设备技术管理控制风险有关问题的通知
中国建设银行关于加强信用卡业务设备技术管理控制风险有关问题的通知
建设银行
最近,通过有关案例发现,一些发卡行开发的商户POS退货返款功能不严密,存在着严重的风险隐患。少数行不执行全行统一的授权码规定,以及业务人员与技术人员职责不清、监督制约不力等,发生风险事故案件。造成了资金损失,危害了建设银行的信誉。为了加强信用卡业务管
理,控制风险,减少和防止不法分子骗取银行资金,保证我行信用卡业务健康发展,总行明确并重申以下规定,请各行遵照执行。
一、各行在开发和使用POS应用系统时,必须严格执行国家有关部门及中国人民银行和总行的业务规定和技术规范标准。特约商户POS与银行网点POS功能须严格区分,分别安装不同的应用软件,严禁混用。为避免以虚假不实交易进行退货返款,总行规定,持卡人退货,必须以
相对应的已有确实交易的物品和原始凭证为依据,在商户同意退货的前提下,由商户收银员在POS机上输入原始凭证上的交易日期、交易流水号、交易金额及POS终端编号,以上信息作为退货信息的组成部分上送发卡行,发卡行逐一检索核对交易日期、交易流水号、交易金额及各级操
作密码等,在确认该笔交易真实存在的情况下,方可批准退货。发卡行在批准退货交易后不得将退货款即时返还持卡人帐户,必须在当日商户签购累计金额中抵减退货金额后再对持卡人帐户进行返款。严禁只以输入交易金额作为退货依据进行检索,防止不法分子凭空退货,写钱入帐。
各行须对现行的POS应用系统进行一次全面检查。凡退货功能是以输入交易金额为唯一检索依据设计的,应立即关闭此退货返款功能;对现有其他功能设计有缺陷、风险防范要求不严密的,务必立即修改完善,不得带“病”运行。如今后再出现类似问题,由发生行的主管领导负责。
二、严格执行总行有关授权的规定。各行必须执行建总发字〔1995〕第49号文中规定,信用卡业务授权号码由电子计算机给出的六位随机数组成。发卡行与收单行应以六位数授权号码为建设银行信用卡授权业务中统一的授权号码。POS自动授权和电话人工授权均执行这一规定
。目前仍未按上述规定执行的分行,要立即采取措施,予以纠正。
三、明确部门分工,加强POS管理。为堵塞漏洞,控制风险,各级行计算机部门与信用卡业务部门之间要建立“防火墙”制度。POS的选型、购置、安装、调试,软件开发、密码管理及技术维护等由计算机部门负责;信用卡部门负责发展商户,提出配备POS规划,对商户操作人
员进行业务操作培训,定期、不定期检查POS使用情况,提供凭证单据。发现POS运行问题,及时向计算机部门反映。计算机部门要组织力量,采取措施,保证POS系统的正常运转。各级行要建立POS维护登记制度,卡部人员和计算机人员持证上岗,防止不法分子冒充建行业务人
员或技术维护人员作案。
四、各行在开发信用卡业务计算机应用系统时,必须认真做好需求分析工作,将风险控制、安全防范思想贯穿到业务操作和软件设计全过程之中。今后凡一级分行提出全辖范围内的涉及信用卡业务的计算机业务需求,在分行有关部门论证形成一致意见后,必须报总行信用卡部审核,否
则视为无效。有关技术部门要把好技术设计关和风险防范关,对业务部门提出的业务需求要进行可行性、安全性的检测、论证,不得为求验收通过,而降低标准。更不允许在未采取风险防范措施之前投入实际使用。各行要严格执行计算机软件审批验收管理制度,把好验收关,对未满足业务
需求或存在缺陷的业务软件,不得验收通过或同意运行。对已运行的系统,如发现风险隐患,业务部门应及时提出书面意见,开发部门要采取措施进行修改。
五、各行对信用卡专用计算机技术和设备管理、信用卡业务市场推广和授权管理等岗位的操作人员要作为要害部位和要害岗位人员进行规范管理、风险约束和内部监控,指定专人并配发上岗合格证,建立其资格和工作情况档案,定期考核。对要害岗位工作人员要加强教育与监督,凡发
现不合格人员或可疑人员要坚决撤换或调离要害岗位,切实防止各种形式的内外勾结做案。各行要根据建设银行有关保密规定,建立健全密码的产生、传递、使用、销毁等环节的管理制度。对特约商户等外部操作人员使用的密码,也必须严格控制,防止外部人员利用密码进入业务系统做案
。
各行要进一步增强风险防范意识,加强信用卡业务和设备技术管理工作,建立严格的部门、人员岗位责任制和监督制约机制,并坚决执行,规范操作,保证全行信用卡业务健康发展。
1996年5月27日