银行卡帐户信息与交易数据安全管理办法

银行卡帐户信息与交易数据安全管理办法第一章总则第一条为加强商业银行对银行卡信息与交易数据安全管理，保证本行及持卡人的利益，防止账户信息与交易数据的丢失和泄漏，避免由此带来的欺诈等风险，特制定本办法。第二条银行卡账户信息与交易数据的管理遵循从严管理、权责明确等原则，确保账户信息与交易数据在银行卡业务处理各环节中的安全性、完整性和可用性，防止数据遭到篡改、泄漏和破坏。第三条本办法适用于本行涉及银行卡账户信息与交易数据的部、室、支行及相关单位。第四条账户信息是指银行卡上记录的所有账户信息以及与银行卡交易相关的用户身份及验证信息。记录在银行卡上的信息包括卡号、卡片有效期、磁条信息、卡片验证码等信息。用户身份及验证信息包括用户姓名、密码、证件号码、联系方式等。第五条交易数据是指银行卡在各类业务中的交易处理数据，数据内容视业务不同而有所不同。内容包括卡号、密码、磁条信息、有效期、卡片验证码等。第二章人员及组织管理第六条与银行卡业务相关的部门，根据本部门的业务等具体情况制定银行卡账户信息与交易数据安全相关的制度及检查程序，明确本部门各数据安全相关岗位的责任与权限。第七条接触账户信息及交易数据的有关岗位的员工必须遵守本办法规定，履行保密义务，承担违规责任。第三章访问控制第八条与银行卡业务相关的部、室、支行根据“业务需要”的原则，严格控制访问和使用账户信息和交易数据，防止未经授权擅自对数据进行查看、篡改和破坏。第九条业务需要是指“会有业务上需要者才能访问相关数据，并且只能访问需要使用的数据”。第十条未经总行允许，与银行卡业务相关的部、室、支行不得向持卡人本人以外的单位和个人透露持卡人的资料、交易明细等信息。第四章数据的保护、使用与销毁第十一条日常银行卡业务中，与业务相关的人员方可操作自己权限范围内的数据。第十二条业务人员的操作屏幕不得向外界展示，不允许拍照等泄露账户及交易信息的行为发生。第十三条所有涉及银行卡的相关资料必须指定专人负责保管，未经总行同意的任何人员不得私自对资料进行复印、拷贝、拍照等操作。第十四条无须保留的银行卡的相关资料，必须做不可恢复性销毁后，方可进行相关处理。第五章系统管理第十五条银行卡业务系统的管理部门要建立严格的银行卡账户信息与交易数据安全方面相关的规章制度及检查程序，确保银行卡账户信息与交易数据的安全。第十六条银行卡业务系统的管理部门要加强对系统的软硬件管理，要对软硬件的来源、版本、使用等作详细审核和登记。第十七条银行卡业务系统的管理部门要定期对系统安全性能进行测试，及时发现存在的漏洞，并及时封堵。第十八条银行卡业务系统的管理部门不得将设备或系统供应商提供的默认值作为与系统安全有关的控制参数，如设备或系统访问密码。第十九条银行卡业务系统的管理部门在更改设备或系统参数时要有详细记录。第六章事故处理第二十条涉及银行卡业务的部、室、支行如发生涉及账户信息及交易数据安全的事件，本部门在开展自查的同时，应第一时间上报总行。第二十一条总行在接到关于账户信息及交易数据安全事件的报告后，组成联合调查小组，对发生事件的相关部门进行调查。第二十二条调查后，总行派出的联合调查小组出具事