Gestión de riesgos y protección de los derechos de los clientes en las Medidas para la Gestión del Negocio de Pagos en Línea de Instituciones de Pago No Bancarias (Borrador para Comentarios)

Artículo 23: Las instalaciones de sistemas relacionados con el negocio de pagos en línea de las instituciones de pago y las tecnologías específicas utilizadas en productos relacionados seguirán cumpliendo con los estándares nacionales y de la industria financiera y los requisitos pertinentes de gestión de seguridad de la información. Si la tecnología utilizada en los productos relacionados con el negocio de pagos en línea aún no ha formado estándares nacionales o de la industria financiera, la institución de pago asumirá plenamente los riesgos y pérdidas relacionados con el producto.

Artículo 24 Las instituciones de pago deberán poseer y operar un sistema de procesamiento comercial de pagos en línea independiente, seguro y estandarizado y su sistema de respaldo dentro del país.

Si una institución de pago brinda servicios para transacciones nacionales, deberá manejar los servicios de pago en línea a través del sistema de procesamiento comercial nacional y completar la liquidación de fondos dentro del país.

Artículo 25 Las instituciones de pago establecerán un sistema de gestión de calificación de riesgo del cliente basado en métodos de verificación de identidad del cliente, características del comportamiento de las transacciones, estado crediticio y otros factores, y ajustarán dinámicamente las calificaciones de riesgo del cliente.

Artículo 26 Las instituciones de pago establecerán un sistema de gestión de riesgos de transacciones y un sistema de gestión de riesgos de transacciones basado en factores como los métodos de verificación de las instrucciones de pago del cliente, las calificaciones de riesgo del cliente, los tipos de transacciones, los montos de las transacciones, los canales de transacciones y los tipos de terminales de aceptación. , categorías de comerciantes, etc. El sistema de monitoreo de transacciones tomará con prontitud medidas de gestión de riesgos, como investigación y verificación, liquidación retrasada y terminación de servicios para transacciones sospechosas de retiro de efectivo, fraude, financiamiento ilegal, lavado de dinero, financiamiento del terrorismo, etc.; si se descubre algún presunto delito ilegal, el caso se informará oportunamente a la agencia de seguridad pública y el informe del caso al órgano de seguridad pública del Banco Popular de China y sus sucursales.

Artículo 27 Una institución de pago podrá utilizar una combinación de los siguientes tres tipos de elementos para verificar la instrucción de pago de un cliente utilizando el saldo de la cuenta de pago:

(1) Sólo el cliente conoce Elementos , como contraseñas estáticas, etc.;

(2) Elementos que sólo están en posesión del cliente y son únicos y no pueden copiarse ni reutilizarse, como certificados digitales con certificación de seguridad, firmas electrónicas y a través de canales seguros Contraseñas de un solo uso generadas y transmitidas, etc.;

(3) Las características fisiológicas personales del cliente, como huellas dactilares, etc.

Las entidades de pago deben asegurarse de que los elementos utilizados sean independientes entre sí, es decir, el daño o fuga de algunos elementos no debe provocar daños o fugas de otros elementos.

Artículo 28 Las instituciones de pago, según el nivel de seguridad del método de verificación de instrucciones de pago, llevarán a cabo una gestión de límites en las transacciones de clientes individuales que utilicen saldos de cuentas de pago para pagar. Para las transacciones en las que la institución de pago utiliza dos o más elementos (incluidos certificados digitales o firmas electrónicas) para verificar las transacciones, el límite acumulativo de un solo día será acordado de forma independiente entre la institución de pago y el cliente mediante un acuerdo que la institución de pago utilice dos; o más elementos que no incluyan certificados digitales o firmas electrónicas para transacciones verificadas por dos o más categorías (inclusive), el monto acumulado de todas las cuentas de pago de un solo cliente en un solo día no debe exceder los 5000 yuanes (excluidas las transferencias). desde la cuenta de pago a la cuenta bancaria del cliente con el mismo nombre, las mismas instituciones de pago utilizan menos de dos categorías Para que las transacciones se verifiquen en función de varios factores, el monto acumulado de todas las cuentas de pago de un solo cliente en una sola); por día no debe exceder los 1.000 yuanes, y la institución de pago debe prometer asumir incondicionalmente y en su totalidad la responsabilidad de compensación de riesgos y pérdidas por tales transacciones.

Artículo 29 Si una institución de pago utiliza certificados digitales y firmas electrónicas como elementos de verificación, deberá utilizar un soporte de hardware que cumpla con los estándares técnicos de seguridad pertinentes y tenga capacidades informáticas y de almacenamiento seguro de datos para verificar el certificado digital y generar firmas electrónicas Proteger el proceso para asegurar la unicidad, integridad y no repudio del certificado digital.

Si una institución de pago utiliza una contraseña de un solo uso como elemento de verificación, debe prevenir eficazmente el riesgo causado por el mismo dispositivo físico que el extremo de adquisición de la contraseña de un solo uso y el iniciador de la instrucción de pago, y estrictamente limitar el período de validez de la contraseña de un solo uso al menor tiempo necesario.

Si las instituciones de pago utilizan las características fisiológicas de los clientes como factores de verificación, deben estar protegidas por proveedores de hardware que cumplan con los estándares técnicos de seguridad pertinentes y tengan capacidades informáticas y de almacenamiento seguro de datos para evitar el almacenamiento, la copia o la reproducción ilegal. .

Artículo 30 Las instituciones de pago realizarán cada año una evaluación integral de los mecanismos de control y prevención de riesgos, como los sistemas de gestión de seguridad de la información y las transacciones, los sistemas de procesamiento comercial y los sistemas de monitoreo de transacciones. La evaluación debe ser realizada por profesionales que no estén involucrados de ninguna manera en el desarrollo u operación de servicios de pago en línea. El informe de evaluación deberá anunciarse en la página web antes del 31 de enero de cada año.

Artículo 31 Las instituciones de pago deben limitar el número de veces que los clientes intentan iniciar sesión o identificar su identidad, formular reglas de tiempo de espera de acceso de los clientes y establecer límites de tiempo de identificación.

Artículo 32 Las entidades de pago formularán planes de contingencia para emergencias, establecerán sistemas de recuperación ante desastres y garantizarán la continuidad del negocio y la seguridad del sistema.

Artículo 33 Las instituciones de pago respetarán plenamente el derecho de los clientes a tomar decisiones independientes y no obligarán a los clientes a utilizar los servicios de pago en línea proporcionados por la institución, ni podrán impedir que los clientes utilicen los servicios de pago en línea proporcionados por otros. instituciones.

Las entidades de pago mostrarán de manera justa los diversos métodos de pago y recaudación de fondos que los clientes pueden elegir, y no inducirán ni obligarán a los clientes de ninguna forma a abrir cuentas de pago o gestionar la recaudación y el pago de fondos a través de cuentas de pago, y deberán No adjuntar condiciones de transacciones irrazonables.

Las entidades de pago gestionarán la suspensión, desactivación o cancelación de los servicios de pago en línea o de las funciones de la cuenta de pago según los deseos de los clientes.

Artículo 34 Las instituciones de pago deben consultar las disposiciones pertinentes del "Aviso del Banco Popular de China sobre las instituciones financieras bancarias para proteger la información financiera personal" (Yinfa [2011] No. 17) para formular una política de atención al cliente efectiva. Medidas de protección de la información y mecanismos de control de riesgos para cumplir eficazmente con las responsabilidades de protección de la información del cliente.

Artículo 35 Las instituciones de pago recopilarán, utilizarán, almacenarán y transmitirán información de los clientes basándose en el principio de "minimización" e informarán a los clientes sobre el propósito y alcance del uso de la información relevante. Las instituciones de pago no pueden proporcionar información del cliente a otras instituciones e individuos fuera de la institución, a menos que sea necesario para manejar negocios de pago y haya sido confirmado y autorizado por el cliente uno por uno, excepto que las leyes y regulaciones dispongan lo contrario.

Las instituciones de pago no pueden almacenar información confidencial, como contraseñas de cuentas bancarias de clientes, códigos de verificación de tarjetas bancarias y fechas de vencimiento. Si una institución de pago realmente necesita almacenar el período de validez de la tarjeta bancaria de un cliente debido a necesidades comerciales especiales, debe obtener la autorización del cliente y del banco donde se abre la cuenta y almacenarla de forma cifrada.

Artículo 36 Las instituciones de pago prohibirán a los comerciantes especiales almacenar información confidencial, como contraseñas de cuentas de clientes, códigos de verificación de tarjetas bancarias y períodos de validez a través de acuerdos, y adoptarán las medidas de supervisión necesarias, como inspecciones periódicas y seguimiento técnico.

Si un comerciante especial viola el acuerdo al almacenar la información confidencial antes mencionada, la institución de pago suspenderá o cancelará inmediatamente la prestación de servicios de pago en línea, tomará medidas efectivas para eliminar la información confidencial y evitará la información. fugas, y asumir la responsabilidad de cualquier daño causado por la fuga de información relevante y la responsabilidad.

Artículo 37 Las instituciones de pago establecerán y mejorarán el sistema de reserva de riesgos y el sistema de compensación de transacciones, y utilizarán la reserva de riesgos para pagar una compensación completa por adelantado por las pérdidas de capital que no se pueda demostrar efectivamente que fueron causadas por los clientes para garantizar que los clientes son legalmente derechos e intereses.

Las entidades de pago deben reflejar verazmente las pérdidas por riesgo de los clientes, la compensación de pérdidas de los clientes, la acumulación de reservas de riesgo, el uso de las reservas de riesgo y los saldos de las reservas de riesgo en sus informes regulatorios anuales.

Artículo 38 Las instituciones de pago recordarán plenamente a los clientes los riesgos potenciales de los negocios de pagos en línea, revelarán rápidamente nuevos métodos criminales de los delincuentes, brindarán la educación de seguridad necesaria a los clientes y realizarán operaciones comerciales de alto riesgo antes de operar, realizar realizar advertencias de riesgo durante el funcionamiento.

Las entidades de pago deberán anunciar, antes del 31 de enero de cada año, en su página web los eventos de riesgo, pérdidas por riesgo de clientes, compensación de pérdidas de clientes, etc. ocurridos en el año anterior.

Artículo 39 Si una institución de pago proporciona servicios de pago en línea para que los clientes compren productos o servicios financieros y de inversión, deberá garantizar que el proveedor del producto o servicio correspondiente sea una institución que haya obtenido las calificaciones comerciales correspondientes y realice negocios. de conformidad con la ley, y alertará plenamente a los clientes sobre los riesgos potenciales.

Artículo 40 Las instituciones de pago deben tomar medidas efectivas para garantizar que los clientes puedan confirmar la información de la transacción, como cuentas de pago y recaudación de fondos, montos de la transacción, etc., antes de ejecutar las instrucciones de pago, y notificar rápidamente los resultados después de las instrucciones de pago. están completos.

Si la instrucción de pago no se puede procesar normalmente debido al tiempo de espera de la transacción, a la falta de respuesta o a una falla del sistema, la institución de pago informará al cliente de manera oportuna si la instrucción de pago no se ejecuta o no se ejecuta correctamente; , o se retrasa debido a motivos del cliente, la institución de pago deberá notificar proactivamente a los clientes sobre los cambios o ayudarlos a tomar medidas correctivas.

Artículo 41 Las instituciones de pago establecerán y mejorarán un sistema para manejar disputas de errores y quejas de disputas en el negocio de pagos en línea, anunciarán los mecanismos y procedimientos de aceptación relevantes a los clientes y equiparán a los departamentos y al personal profesionales para garantizar que sean objetivos. , preciso y oportuno. Manejar errores de transacciones y quejas de los clientes.

Artículo 42 Las instituciones de pago proporcionarán a los clientes servicios de pago en línea y servicios de apoyo, como consultas, consultas y quejas, a través de sitios web con nombres de dominio legales independientes, líneas directas unificadas de atención al cliente las 24 horas y otros canales.

Las instituciones de pago deben informar a los clientes sobre las formas correctas de obtener servicios relevantes, guiarlos para identificar de manera efectiva la autenticidad de los canales de servicio y evitar que los delincuentes cometan fraude en línea, apropiación indebida de cuentas o robo de información haciéndose pasar por instituciones de pago o proporcionando canales de servicio falsos.

Artículo 43 Las instituciones de pago proporcionarán a los clientes servicios gratuitos de consulta de información sobre transacciones durante al menos el último año.

Artículo 44 Si una entidad de pago necesita suspender los servicios de pago en línea debido a actualizaciones del sistema, depuración, etc., deberá realizar un anuncio con al menos 5 días hábiles de anticipación.

Artículo 45 Si una institución de pago cambia los términos del acuerdo, aumenta los estándares de cobro para los servicios de pago en línea o establece nuevos elementos de cobro, lo anunciará públicamente en el sitio web de manera visible durante 30 días consecutivos. días antes de la implementación, y notificar al cliente cuando lo maneje por primera vez. Antes de realizar negocios relevantes, confirme que el cliente conoce y acepta todos los detalles de los ajustes propuestos para garantizar el derecho del cliente a elegir de forma independiente los servicios relacionados.

Artículo 46 Las instituciones de pago registrarán verdadera y completamente todas las operaciones del cliente. El contenido del registro incluirá, entre otros, inicio de sesión, verificación de instrucciones de pago, cambio de información de identidad, cambio de número de comunicación reservado y ajuste de. funciones comerciales, ajustar los límites de transacciones, cambiar los métodos de cobro y pago de fondos, y restablecer o informar la pérdida de contraseñas, certificados digitales, firmas electrónicas, etc. Los registros pertinentes deben conservarse durante al menos cinco años a partir de la fecha en que la operación entre en vigor.

Artículo 47: Si un banco comercial realiza consultas, manejo de errores o quejas, control de riesgos y otras solicitudes razonables para transacciones relevantes que involucran su cuenta bancaria, la institución de pago cooperará activamente y las manejará de manera oportuna.