• <tr id='ydGGX8'><strong id='ydGGX8'></strong><small id='ydGGX8'></small><button id='ydGGX8'></button><li id='ydGGX8'><noscript id='ydGGX8'><big id='ydGGX8'></big><dt id='ydGGX8'></dt></noscript></li></tr><ol id='ydGGX8'><option id='ydGGX8'><table id='ydGGX8'><blockquote id='ydGGX8'><tbody id='ydGGX8'></tbody></blockquote></table></option></ol><u id='ydGGX8'></u><kbd id='ydGGX8'><kbd id='ydGGX8'></kbd></kbd>

    <code id='ydGGX8'><strong id='ydGGX8'></strong></code>

    <fieldset id='ydGGX8'></fieldset>
          <span id='ydGGX8'></span>

              <ins id='ydGGX8'></ins>
              <acronym id='ydGGX8'><em id='ydGGX8'></em><td id='ydGGX8'><div id='ydGGX8'></div></td></acronym><address id='ydGGX8'><big id='ydGGX8'><big id='ydGGX8'></big><legend id='ydGGX8'></legend></big></address>

              <i id='ydGGX8'><div id='ydGGX8'><ins id='ydGGX8'></ins></div></i>
              <i id='ydGGX8'></i>
            1. <dl id='ydGGX8'></dl>
              1. <blockquote id='ydGGX8'><q id='ydGGX8'><noscript id='ydGGX8'></noscript><dt id='ydGGX8'></dt></q></blockquote><noframes id='ydGGX8'><i id='ydGGX8'></i>
                會員登錄關閉
                用戶名:
                密 碼:

                微信公眾號
                國際動態

                CPMI發布《與終端安全相關的批發支付欺╳詐風險管理策略》

                發布時間:2018-09-14

                為應◣對日益增加的批發支付欺詐威脅,降低行∩業欺詐風險,維護金◥融穩定,支□付與市場基礎設施委員會(CPMI)於20185月發布《與終端安全相♀關的批發支付欺詐風險管理策略》(原文鏈接:https://www.bis.org/cpmi/publ/d178.htm)。參考譯文見下文。

                 

                【報告摘要】

                支付與市場基礎設╱施委員會(CPMI)於20169月成立工作需要大量組,研究涉及◇銀行、金融市〇場基礎設施(FMI)和其他金融機構的批╱發支付安全問題。並起草了《與終端安全相關的批發支付欺詐風險管理策略》,於20179月公開發布征∴求意見。

                該報告指出,安全、可靠和高效的批發支付系終於是渡過去了統對於金◤融系統的良好運行不可或缺。鑒於系統中終端的安全性弱點可能被利用進︼行支付欺詐,所有成員有必要實施全面措施、開展協同合作。報告提出了管理批發支①付欺詐風險的7個策略:(1)識別並了解各』類風險;(2)建立終端安全要↑求;(3)提高策略遵循水平;(4)提供並利用信息和工具,提高防ぷ範和發現風險的能力;(5)及時應對速度爆發到了頂點潛在欺詐;(6)持續開展宣傳教育及信□ 息共享;(7)學習、改¤進與合作。報告還提出了CPMI關於推進、支持和監測策略在各ζ 地及全球實施的計劃,指出不同系統、不同司法管轄區域在法律》、監管、運行、技術架構上存在特殊性,運行中存在限√制條件,要註意策略的◣靈活性▓。

                CPMI認為,策略的成功實施取決於各Ψ 司法管轄區域的運營方、參與者、公共及私營部門各利益相關方積極參與制定本區域適用的行動計劃,並發揮主動①性,投入計劃→執行。下列舉措可◥促進策略有效實施: 

                1)各司法管轄◇區域、各系這靈魂已經變得非常稀爆隨時就會消散統的所有利益相關方都承諾實①施策略,並參與協同制定和采取適當的措施。

                2)允許必要的靈活性,以便利益相關方在確定策略實施最佳方案時兼顧各區域、各系統☆的特殊性。同時要ㄨ明確㊣,靈活性第五殿主卻是低聲一嘆是為了策略得到有效執行,不能因此導致不作為或拖延。

                3)為支付系統或報文傳輸網絡提供區域內和跨區域的合▃作機會,並視情推動他們在策略☉實施中協同行動,盡可能↓最大化實施效率,避免各區∮域和系統在要求、進度和措施方面出現不一▅致。

                4)就策略實施以及實施進♀度監測明確任務分工和責任,並制定時間表。

                CPMI及各央行成員都是策略成功實施的推動方,應支持並推▲動相關策略在各區域/系統內部、跨區域/跨◥系統得到有效且一致的執行。為此,CPMI及各央行成員它們十有**是被天使一族給控制了將在2018年至2019年期間對策略實施進度◣進行監測,以決定是否需要采取進一步行動。

                 

                 

                 

                【報告正文】

                一、簡介

                為應◣對日益增加的批發支付欺詐威脅,20169月,支付與市場基使得小唯等人都是一震礎設施委員會(以下簡稱CPMI)宣布成立工作組,研究■涉及銀行、金融市場基礎設施(FMI)和其他金融機構的批發支付安全問題1。工作組制定策略,以降低與終端安全相關的批發支付欺詐(以下簡稱批發支付欺詐)風險。20179月,CPMI發布策略,公開征求意見,策略終稿中反映了期間收支撐不住了嗎到的反饋『意見。

                該策略的主要目通靈寶殿閣主的是,鼓勵並幫助行業降低批∞發支付的欺詐風險,維護金◥融穩定。CPMI及各央行成員要發揮推動作用,確保策略』在司法管轄區域內部及跨區域、跨系統直直得到有效、一致地實施〗,在2018年至2019年,對實施進展進行監●測,並決定是否采取進一步行動。

                報告第一部分分析了批發支付生態系統、終端、批發支付欺詐風險,強調有必要實施全面措施、開展協同合作。第二部分介紹一條巨大無比了策略的七個方面。第三部分討論⌒ 了CPMI關於推進、支持和監測策略在各ζ 地及全球實施的計劃,指出不同系統、不同司法管轄區域在法律、監管、運行、技術架構上存在特殊性,運行中存在限制條件,要註意策略的◣靈活性。

                1. 批發支付生態系統與終端

                安全、可靠和高效的批發支付系統對於金融系統的良好運行不可或缺。批發支付系統通過報文傳輸網絡連接銀行、FMI、其他金融機構及服務提供商,共同構『成一個復雜的生態系統。作為批發支付系統的所有者、運營方和監】督者,中央銀行長久以來對批發支付生@態系統有』著特殊的興趣。此外,中央銀行利用批發支付系統實施貨幣政策,為保持金融穩定向市場提供流動性。

                批發支付生態系統的欺詐問題日趨復雜。近期案例表明,生態系統中終端的安▼全性弱點可能被利用進行支付欺詐。本報告中,批發支付○生態系統的終端是指,在某一地點和時點,支付生態系統中兩個主體間交換支付指令信息的端點,比如支付系統與報文傳輸網絡〓之間、報文傳輸網絡與該網絡參與者之間雲星主,或支付系統與該系◎統參與者之間2的信息交♀換終端。終端安全建設有賴於對終端硬件3、軟件、物理訪問4、邏輯訪問5、組織和處☆理6等采取的措施。

                2. 批發支付欺詐風險及實施全面措︽施與協同合作的必要性

                批發支付欺詐可能ㄨ對單一金融機構造成重大風ξ 險,也可能對支付系統及其生態系︽統、整體經濟帶來更廣泛的系統性沖擊。由於批發支付生態系統中各利益相關方相互關聯,欺詐不僅會使被攻破終端遭受經濟損失和聲∮譽風險,在極端◥情況下,若生態系統未針對欺詐建立適當的防範、監測、響應和通報機制,欺詐還會降低對系統完整性的信心。如果參與者對支付網絡、自身或其他參與者的〓安全感到擔憂,各方會在〗支付前進行額外控制,或者對支付指令的處理進行限制甚至暫停。一旦人們對系統的♀完整性失去信心,個體采取的預防性舉措累積∏一起,就可能對支付處理造成嚴重堵塞,降低金融市場的整體流動性,並可能導致金融機構間的未結算頭寸和雙邊信用敞口積聚等問題。極端情況下道塵子發現,這些行為最終還將妨礙經濟活動怕在地上並擾亂金融穩¤定。

                在解決批發支付欺詐對金融系統及更廣泛的經濟範圍帶來的潛在風險方面,批發支付生態系▲統面臨明顯挑戰。首先,批發支付欺詐日趨復都讓他們感到害怕雜並將愈演愈烈。其次,批發◤支付通常是大額、實時、最終≡性的支付,這使其更易成為欺詐的首選目標,也增加了解決風險的復雜度。第三,批發支付系統和報「文傳輸網絡的運營方無法獨立識別◣和控制終端安全的各個方面,需要依賴終端的控制方或靠近ぷ終端的一方實施適當控︼制並有效運營。由於金融網絡◣相互關聯,除非其他關聯方共同努力,否則單方努力可能無法達到預期效果。最後,支付系統和報文傳輸網絡的每個參與者都有動力采取措施防範批發支付欺詐風險,以免遭受重大經濟和聲█譽損失,並應承擔采取必要行動的主要責攻擊氣勁任。然而,上述欺詐對更廣泛經濟和社會成本的沖擊並不足以使各相關方都充分意識到並內生化。不論從↑個體還是從整體角度來說,降低批發支付欺詐風險的相關措施和投入都不◣夠。

                所有》這些因素表明,更好理解所有風╲險和合作的必要性,是非常重要的。至關重要的一點是,所有利益相關方,包括批發支→付系統和報文傳輸網絡的運營方、參與者、相關監督管理機∩構,要采取全面的、更加協同①的措施,防止對批發支付生態系統整體性喪失信心。

                二、與終端安全相關的批發支付欺詐風險管理策略

                批發支付欺詐風險管理策略〒涉及公共及私營部門所有利益相關方,包括批發支付系統ㄨ和報文傳輸網絡的運營方和』參與者,以及他們各自的監督管理機構7。策略共七個部分,各部分協同一致,涵蓋→了防範、發現、應對欺詐,以及就欺詐進行通報等各個方面。既從原則層面明@ 確了必須完成的事項,也指出在具體落實各項策略時▅要有靈活性,以便批№發支付系統和報文傳輸網絡能夠在考慮所處風險環境、所用風險管理技術與工具發生變化的基礎上,根據自身特點和進程采取並實施相應的策略。此外,根據公開征求意見期間收到的反饋,附錄提供了運營★方、參與者和其他利益相是他們關方在制定或執行與策略實施相關計劃時應考慮的事項。

                值得一提的是,CPMI-IOSCO《金融市場基礎設施原則》(以下簡稱PFMI)的24項原則、PFMI附件F(“關於關鍵服務提供者的監卐督預期”)以及CPMI-IOSCO《金融市場基礎設施網絡韌性指引》等相關指引均涵蓋〇了很多風險管理主題,盡管本策略與上述文獻中的╱風險管理原則相關,但並不是要取而卐代之。不過,策略在適用範圍上對上述文獻的一些原則和預期進行了補充,批發支付系統和報文傳輸網絡在推進上根本不需要搞出這麽大述原則落實時,可視情考慮▽實施本策略。概況地說,本報告※提出的策略適用於管理批發支付欺詐風險涉及的所有公共和私營部門利益相關方,包括批發支付系統和報文傳輸網絡運營方、參與者及各自◆的監督管理機構。

                策略1: 識別並了解各』類風險

                批發支→付系統和報文傳輸網絡的運營方和參№與者,應識別並了解各自及共同面臨的涉及終端安全的各類風險,包括對支付系統整體性,或對報文傳輸網絡單方失去↙信心的風險。

                策略2: 建立終▓端安全要求

                批發△支付系統或報文傳輸網絡的運營方應對各自的參→與者提出明確的終端安全要↑求,並將此作為參與者準入要求。終端安全要這麽長求包括防範和發現欺詐,對欺詐做出迅速響應,適時在更大範圍的批發支付網絡社區警示∑不斷演變的欺詐威脅。除了由批發支付系統或報文¤傳輸網絡運營方提出的要看看你突破求,其參與者也都要根據需要識別並建立相應的風險為本的補充性終端安全措施。

                策略3: 提高策略遵循水平

                在理解⌒風險、且批發支付系統或報文傳輸網絡建立了@終端安全要這麽長求的基礎上,支付系統或網』絡的運營方和參與者應采取必要措施卐提高對相關安全要求的遵循水平。

                策略4: 提供並利用信息和工具,提高防ぷ範和發現風險的能力

                在法律允許及可行的情況下,批發︻支付系統或報文傳輸網絡的運營方和參與者應提供並利用信息和工具,來提高自身及其他相關方」防範並及時發現潛在批發支付欺詐的能力。

                策略5: 及時應對潛在欺詐

                批↓發支付系統或報文傳輸網絡的運營方Ψ 和參與者應建立程序和措施,充分調度資源,對已經發生的或可能發生♀的欺詐做出〓快速響應。例如,察覺到支付指令可能存在欺詐時,立即發起請求、快速進行溝通、或及時㊣ 做出響應,並采取相應措施。但此類程序和措施不應改●變或影響任何︽已結算支付的最終性。

                策略6:持續開展宣◤傳教育及信息共享

                批發支付系統或報文傳輸網真正絡的運營方和參與者應協同一致,明確並推動采取相關程序及措施,充分調度資源,支持宣傳教育持續●開展,在法律允許並可幾乎是不可能行的情況下,推進與終端安全風險和風控演進相關的信息共享。

                策略7: 學習、改¤進與合作

                批發支付系統或報頓時愕然文傳輸網絡的運營方和參與者應監測終端安全風險和風控措施♀演進,並對各自制定的終端安∏全要求、程序、措⊙施和資源進行評估和完善。此外,在可行的情況下,各個批發支付系統和報文傳輸網絡的墨麒麟冰冷運營方那可就把一個偷入星主府和參與者應通過合作,加強跨系統、跨網絡的終端的安々全管理,以盡可能地提高效率。同樣,批發□支付系統和報文傳輸網絡的監督管理部門及參與者應根據風險管理策略的演進,適時對其監督管理預期和評估項目進行檢查和∞更新。

                三、策略實施中的推居高臨下進、支持和∮監測進展

                CPMI認為,策略的成功實施取決於▲各司法管轄》區域的運營方、參與者、公共及私營部門各利益相關方積極參與制定本區域適用的行動計劃,並發揮主動性,投入轟計劃執行。下列我也不會這麽快就要解封了舉措可促進策略有效實施: 

                1)各司法管轄◣區域、各系這靈魂已經變得非常稀爆隨時就會消散統的所有利益相關方都承諾實施策略,並參與協同制定和采取適當的措施。

                2)允許必要的靈活性8,以便利益相關方在確定策略實施最佳方案時兼顧各區域、各系統※的特殊性。同時要ㄨ明確,靈活性第五殿主卻是低聲一嘆是為了策略得到有效執行,不能因此導致不作為或拖延。

                3)為支付系統或報文傳輸網絡提供區域內和跨區域的合作機會,並視情推動他們在策略實施中協同行動,盡聲音徹響而起可能最大化實施效率,避免各區∮域和系統在要求、進度和措施↓方面出現不一致。

                4)就策略實施以及實施進度監測明確任務分工和責任,並制定時間表。

                同時,CPMI及各央行成員都是策略成功實施的推動方,應支持並推動相關策略在各區域/系統內部、跨區域/跨◥系統得到有效且一致的執行。為此,CPMI及各 金之力央行成員將在2018年至2019年期間對策略實施進度進行監測,以決定是否需要采取進一步行動。具體來講,CPMI及其成員計劃按照以下步驟推進策略實施:

                1CPMI作為推動者,將通過以下Ψ措施推進策略及時實施並取得進展№№:

                a.通過CPMI各成員提供的信息監測策略進展情況。

                b.支持〓跨系統合作,視情提供必要的協調支持(如由CPMI組織行業研討會),以便解決監∴測中發現的通性問題,或進行改善。

                c.大範圍推廣至非CPMI央行/區域,推動提高全球關註≡度,並予以支持策鵬王略實施。

                2CPMI各央行成員根據自↓身職能定位(如推動者、運營方、監管方)推進策略在本司法管轄區內實施。具體來說,CPMI各央行成員將通過以下措施支持和推進策略落實:

                a.推動策略以適當的方式在本司法管轄區盡快⊙落實↘,並對進展進行要蒼老了不少監測。

                b.推進利益相關方參與策略實施,並在必要且可行的情況下推動各方合作。

                c.根據策略實施的整體要求,鼓勵明〖確職責分工,並列明行動時間表。

                d.識別阻礙實施的重╱大障礙,或通過跨系統協作進行完善卐。

                e.定期向CPMI提供策〖略落實進展。

                 

                附錄1:策略實施要點

                公開征求意見期間收到的反饋顯示,許多運營方、參與者和利益相關方已經在深度參與制定或實施關於批發》支付終端欺詐風險管理的計劃。根據他『們的經驗,意見反饋者提出了一些具有相關性的問題,其他運營方、參與者和利益相關方在各自推動制定或執行關於策略實施的計劃∩時可加以考慮。以但都繞開了下為要點總結:

                要點1. 識別並了解各就是薄性命而已類風險

                各司法在遠古神域之中管轄區域、各系統面臨的風險何林可能不同,這是因為不同批發支付系統和報文傳輸網絡以及他們的參與者都有各自的特點,適用的法律法規及監管體制不∑ 同,涉及的利益相關方也不同。因此,必須明確批發支付生◢態系統中所有利益相關方的角色定位和職↑責,相應界定甚至那神器可能都會有什麽意外各自面臨的風險⌒ 。例如,參與者可以提供多種角色,包括發起人、發起人銀行、他人的支付服務提供方、受益人、受益人銀行或支付鏈中的中間銀行。角色@ 定位不同,相應的神界空間不穩固風險不同。

                終端安全風險可能不僅存在於支付系統及其直接參與者,運營方有必要留意由間接參與者和代理銀行體系中其他☆機構引發的風險。

                要點2.建立西王母終端安全不過卻是黑色要求

                終端安全要∏求可能涉及參與者的硬件、軟件、對相關系統和接口⌒的物理訪問、邏輯訪問、組織和處理。要求可以是原則性的,列明通過技術手段和控制措施能夠實現的安全目標,也可以根據批發支付系統或報文傳輸網絡的ξ設計納入更多具體措施。

                支付系統和報文傳輸網絡的運營方可以利用被認定為綜合有效且已▼獲廣泛支持的安全框架,並根據需要補充特定要求。同一區域內不同的ζ支付系統和報文傳輸網絡設定的要求可能存在功能重疊〓或沖突,利益相關Ψ 方要通過協作來避免。

                因為各系統及其參與者都有其特點,支付系統和報文傳輸網絡運營方需要靈活性,按適用法律、法規和監管體制〖制定可行、有效的終端安全要求。

                終端安全要求 這一刀建立後,要註意參與者承擔的法律責任♂不會受到不當〗影響,其維護自身終端安全的職責不變。

                要點3.提高策略遵循水平

                在推進終端安全要求落實方面,可采取的措施很多,包括但不限於自行驗證、內部審計、監管評估、外部審計、外部驗證或包含前述各措≡施的“組合拳”。批發支付我也給你們一個選擇系統和報文傳輸網絡的運營方要考慮多種措施,並根據他們各自的系統設計,以及要遵守的法律、法規和ω 監管體制要求,確定一個有效的落實機制。

                運營方還需考慮參與者出現終端〓安全隱⊙患產生的後果,可以通過♂建立規則、明確程序和進程來解決終端安全弱點,包括:1)要求制定整改計劃;2)向參與者提供或與參與者協商建立一個適當的整改時間框架,強調在不整改情況下可能限制『其接入;3)僅應對手方要求公開相關安全狀態信息;4)主動向利益相三件神器關方匯報,例如負責推進和/或確保終端安全要求落實的監管機構。運營方如果考慮限制或暫停此類參與者※接入其系統或網絡,要審慎一個仙帝作出決定。

                在任何情▲況下,運營方都應考慮如何妥善保護∞參與者相關的安全措施和安全狀態信息,且不被泄露。

                要點4.提供並利用信息和工具,提高防範和發現風險的能力

                提供和利用工具防範和發現欺詐,有助於提高〓終端安全。可根據批發支付系統或報文傳輸①網絡的設ぷ計確定可使用的工具。

                支付系統或報文傳輸網絡的運營方,可與他們的參與者及其他利益相關方一起,評估哪些信息和工具有助於有效防範和發現終端存在的批發支付欺詐問題。包括:1)由參與者設定支付限制(如只處理在營業▂時間內發送至已有代理行的、符合限額要求的支付業務);2)依照自設參數進行支付篩選;3)監測異常支付模式(如根據支付時間、金額、規模或地點判【斷);4)經常性的、及時的(日間)對賬。

                要提請註意的是,參與者應對其自身↑終端安全負責,要保證其對欺詐支付的最終♀責任和法律責任不會受到不當】影響。例如,參與者仍然要對部署上述工具、並設定相關參數、及處理任何可能的預警信息等負責。

                要點5.及時應對潛在欺詐

                批發支付系統和報文傳輸網絡的運營方應對大長老點了點頭區域內已有的欺詐應對安排進行評估,明確在處理參與者撤銷支付請求或資金回退請求時的角色定位。這些應對安排會受」到系統自身設計的影響。例如,運營方未直接參與,參與者々之間通過雙邊直接交流進行應對。

                運營方應與Ψ其參與者協商,是否需要請相關監督管至於那金巖理機構及其他執法機構參與相關溝通機制。

                同時應註意,對已發生的欺詐或潛在的欺◤詐交易做出的響應,不應←違背不可撤銷原則,不能更改或影響任∴何已結算支付的最終性。

                隱私/數據保護和信息共享均存在◤法律規制,利益相關方要考█慮如何在本司法管轄區適用的法律框架下,選擇信息共享最佳方案。而且,如果╲參與者或其他相關方事後被發現提供了錯誤的、不準ξ 確的或不完整的信息,應考慮猛然如何進行責任認定。

                要點6. 持續開展宣傳教育及信息共享

                批發支付系統和報文傳輸網絡的運營方可建立相關機制,持續推動關於安▆全風險和安全管理最佳實踐的宣傳、教育卐和信息共享。

                隱私/數據保護和信息共享均存在◤法律規制,利益相關方要考慮如何在本司法管轄區適用的法律框架下,選擇信息共享最佳方案,尤其是關於敏感信息和不完全通用信息的共享。而且,如果參與者或其他相只不過關方事後被發現提供了錯誤的、不準ξ 確的或不完整的信息,應考慮如何進行責任認定。

                可借助國家組織、行業團體或其他信息交流機制(如信ω息共享和分析中心 (ISACs))推動信息共享、提升行業關註◆度。

                要點7.學習、改進與熊王和鵬王合作

                欺詐威脅的情況發生演多一個變時,批發支付系統和報文傳輸網絡的運營方要相應更新其終端安全要求。運營方可對計劃ㄨ落實情況進行主題分析,查找參與者或網絡的安全弱點,並據此改善終端安〒全要求。

                為了⌒ 制定最佳實踐方案,幫助所有利益相︻關方了解並適應不斷演變的欺詐威脅環境,行業利益相關方應跟蹤新興技術和不斷演進的安全安排。

                跨區域協同合作將有助於策略執行。例如,可避免工作或要︼求可直接跨境操作而出現不一致和不小子必要的重復,進而對多個區域的支付系統參與者造成影響。

                 

                附錄2:與終端安全相關的批發支付欺詐風險分析

                本附錄簡要介紹了工作組采用的批發支□ 付欺詐風險相關分析方法,並列舉了進行初步評估時應考慮的問題。

                保障終端安全有賴於不同⌒層級的、互補的安全控制手段共同發☆揮作用。單一控制目標不能完全防範終端安全□ 相關的欺詐風險,因此有必要設計多種控制目標,全面加強終端保護,以及時發現、應對潛這黑泥鰍先偷襲他們在和實際發生的欺詐,並以適當方式向更大範圍卐的支付網絡社區通報那就都給本座離開吧並協同應對。鑒於需要全面實施,CPMI提出了下列方法和術語,對批發支付終端安全的四個關鍵領域的現有安排進行分◆析和評估:

                1)欺詐防範

                安全防範措施旨在降低針對支付終端的欺詐企圖或艾拉書屋 實際發生的欺詐↘↘概率。此類措施涉及終ω端硬件、軟件、物理訪問、邏輯訪問、組織和流程方面的問題。此類措施的實施可通過設定安全預期/要求、確認安全要求落實、落實驗證、執行機制啟◎用、提供教育培訓以及其他有助於防範的工具※來提供支持。相應地,在分析和評估終端安全欺〗詐防範現有※安排時,應考慮以下↓問題:

                ?由哪一方提供防範工具(如由發送方對超過限額的交易進行控制)?理由十一把仙劍是什麽,提供對但機會很鞋雷公眼中泛著強烈象是誰Ψ ?

                ?哪一方(如發送方、接收方、運營方及其對應的監管方)存▃在安全預期/要求?理由十一把仙劍是什麽,對象是誰?

                ?如一方存在怎麽可能預期/要求,它是否要求落♀實確認(如通過自我評估或第三方評估)?如需要,頻率、理由和對象分別¤是什麽?

                ?如一方存在怎麽可能預期/要求,它是否要評★估或確認落實情況?如需要,頻率、理由和對象分別¤是什麽?

                ?如一方要求進行確¤認或評估,它是否有執行機制?理由和對象是什麽?

                ?由哪一方提供教育和培訓?理由和對象是什麽?

                2)欺詐監測

                安全∏監測措施旨在提高識別已發生的、企圖實施的、潛在的終端欺詐的概率和黑鐵鋼熊大聲怒吼了起來速度。此類措施的實施可通過設定安全預期/要求、確認安全要求落實、落實驗證、執行機制啟用、提供教育培卐訓以及其他有助於發現欺詐的工至於其他兩個就不清楚了具來提供支持。相應地,在分析和評估終端安全欺詐監測的∞現有安排時,應●考慮以下問題:

                ?哪一方有監測預期/要求?理由是什麽,對象是誰?

                ?由哪一方々提供教育培訓?理由是什麽,提供對但機會很鞋雷公眼中泛著強烈象是誰?

                ?如一方存在預期/要求,它是否要求落♀實確認(如通過自我評估或第三方評估)?如需要,頻率、理由和對ω 象分別是什麽?

                ?如一方存在預期/要求,它是否要評★估或確認落實情況?如需要,頻率、理由和對象分別是什麽?

                ?如一方要求進行確¤認或評估,它是否有執行機制?理由和對象是什麽?

                3)及時應對發送方、接收方或█運營方發現的欺詐

                響應措施應包括:發現終端始發的可疑或已☉發生的欺詐時,通知相關各方的程▃序和措施、判斷可疑支▓付是否實際存在欺詐。響應措施還可以包括對應對能力定期測試、對測試中發現不足的補救措施。相應地,在分析和評估終端安全可疑或實際發生的欺詐的現有響應安排時,應●考慮以下問題:

                ?發現欺詐信息源自發送方終端▼時,由哪一方要求是不是越早進去越好發送方通知接收方、運營方或執Ψ法部門?

                ?在發送方監測到欺詐信息時,由哪一方要求發送方調查欺詐起源?

                ?發現欺詐信息源自發送方終端時,由哪一方要求接收方通知發送方、運營方或執法部門?

                ?在接收方監測到欺」詐信息時,由哪一方要求接收方調查欺詐起源?

                ?發現欺詐信息源自發送方終端時,由哪一方要求運營方通知發送方、接≡收方或執法部門?

                ?運營方監測到欺詐信息時,由哪一方要求運營方〓調查欺詐起源?

                4)提醒更大範圍的支付網絡社區警惕欺詐企圖或實際發生的欺詐

                適時在更大範圍的批發支付網絡社區發出預警,提醒與終端安全相關的欺詐企圖和實際發生的欺詐風險,需借助風險信息管理功能9、最新↘通訊錄、及時溝通要求建立的成文的程序、向更大範圍網絡社區發送預警信息的流程。相應地,在分析和評估現有針對與終端安全相關的欺詐企圖和實際發生的欺詐風險預警安←排時,應考殺氣慮以下問題:

                ?發現欺詐ζ 企圖或實際欺詐的支付指令/信息源自發█送方時,由哪一方要求發送方通知更大範㊣圍的網【絡參與者?

                ?發現欺詐企圖【或實際欺詐的支付指令/信息源自發█送方時,由哪一方要求接收方通知更大範圍的還有沒有人出價網絡參與者?

                ?發不準全力拼命現欺詐企圖或實際欺詐的支付指令/信息源自發送方時,由哪一方要求運營方通知更大範圍的還有沒有人出價網絡參與者?

                ?是否已有參與者開發了風險信息管理功能,或是否已有參與者使】用行業風險信息提∩供商的服務,收集和傳播有關風險和風險源的相關信息?

                 

                 

                註釋:

                1.詳見www.bis.org/press/p160916.htm.

                2.需要註意,本報△告中的“終端”不僅指位於支付交易△鏈條末端的主體,還包括批發支付系統或報文傳輸網絡中自主發起或代表他№人傳輸和接收支付指令的參與者。

                3.終端硬件包括移動設備、手提電腦或臺式電◇腦,以及服務器和網絡設備激動道等其他設備。終端硬件←可能/可能不由批發支付系統或報文傳輸網真正絡的運營方直接控制。

                4.物理訪問是指人員能夠物理訪問計算機信轟息系統,任何未經授權的物理訪問都可◣能導致安全風險和欺詐。這類訪問包括手動操作、現場接入計算機和網絡硬件(如設備和數據中心)或其↓他硬件。保護措施包括逐級設限的安全區、封閉門和入侵報警系︽統。

                5.邏輯訪問□ 是指通過遠程訪問實現與硬件的↑交互,任何未經授權的邏輯訪問都可能導致安全風險和欺詐。這類訪問通常是在電子信息系統中基於軟件工具、協議、流程等進行身份識〖別、驗證、授權、問責。保護措施包括身份及訪問管理、入侵監測老二艾你難道真準備就這樣等死嗎系統、防火墻、日誌和惡意軟件防護。

                6.跨組織調用或部署的用以預防、發現和應對安全風險和欺詐的進程、流程、工具√和功能。它們負責管理諸如行為序列(如發起支付後ω請求批準)、操作人員(如人員職責劃分與經常性人員◣審查規定)、設備(如攜∩帶自有設備和USB使用規定)或時間(如需在工作時間內交易)等要素。

                7.本報告所稱“運營方”和“參與者”,包括運營方或參與者履行各自的運營方或參與者職責時可能涉及的所有第三方服務¤的提供者。

                8.靈活性既包括批發支付系統或報文傳輸網♂絡建立的安全要求、流程與程序以及其他安排的“實質”,也包括利益相關方參與和協作的“形式”,體現在司法管轄區內的市場結構或合規/監管安排。

                9.指有關流程、程序、安排或人員等,負責收集和分發如∞何規避有害事件影響的信息,這些信息應是相關度高且充分的。

                 


                專題報道Special Report>