第三十五条 在制定电子银行发展战略时,金融机构应加强电子银行业务的知识产权保护工作。
第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,采取相应的安全管理措施。
对各类安全控制措施应定期检查、测试,并根据实际情况适时调整,保证安全措施的持续有效和及时更新。
第三十七条 金融机构应当保障电子银行运营设施设备,以及安全控制设施设备的安全,对电子银行的重要设施设备和数据,采取适当的保护措施。
(一)有形场所的物理安全控制,必须符合国家有关法律法规和安全标准的要求,对尚没有统一安全标准的有形场所的安全控制,金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险;
(二)以开放型网络为媒介的电子银行系统,应合理设置和使用防火墙、防病毒软件等安全产品与技术,确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力;
(三)对重要设施设备的接触、检查、维修和应急处理,应有明确的权限界定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录;
(四)对重要技术参数,应严格控制接触权限,并建立相应的技术参数调整与变更机制,并保证在更换关键人员后,能够有效防止有关技术参数的泄漏;
(五)对电子银行管理的关键岗位和关键人员,应实行轮岗和强制性休假制度,建立严格的内部监督管理制度。
第三十八条 金融机构应采用适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性。
金融机构采用的数据加密技术应符合国家有关规定,并根据电子银行业务的安全性需要和科技信息技术的发展,定期检查和评估所使用的加密技术和算法的强度,对加密方式进行适时调整。
第三十九条 金融机构应当与客户签订电子银行服务协议或合同,明确双方的权利与义务。
在电子银行服务协议中,金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险,金融机构已经采取的风险控制措施和客户应采取的风险控制措施,以及相关风险的责任承担。
第四十条 金融机构应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份,并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。
第四十一条 金融机构应当建立相应的机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。
金融机构发现假冒电子银行的非法活动后,应向公安部门报案,并向中国银监会报告。同时,金融机构应及时在其网站、电话语音提示系统或短信平台上,提醒客户注意。
第四十二条 金融机构应尽可能使用统一的电子银行服务电话、域名、短信号码等,并应在与客户签订的协议中明确客户启动电子银行业务的合法途径、意外事件的处理办法,以及联系方式等。
已实现数据集中处理的银行业金融机构开展网上银行类业务,总行(公司)与其分支机构应使用统一的域名;未实现数据集中处理的银行业金融机构开展网上银行类业务时,应由总行(公司)设置统一的接入站点,在其主页内设置其分支机构网站链接。
第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统,实时监控电子银行的运行情况,定期对电子银行系统进行漏洞扫描,并建立对非法入侵的甄别、处理和报告机制。
第四十四条 金融机构开展电子银行业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。
