根据中国人民银行的要求，X银行的尊敬的客户需要报告所有已安装的POS机器。为了确保机器的正常使用，您需要向我拍摄整个机器背面的清晰照片。谢谢您的热情。合作，如果报告在5月30日之前未完成，您的POS机会将被停用！

最近，编辑看到许多行业内部人士在微信时刻转发上述信息，称该银行将遵循中国人民银行的紧急文件“ [2017] No.21]”“中国人民银行的通知，请注意加强安全性银行卡验收终端的管理“根据需要，所有安装POS的商人都必须在6月1日之前在机器背面（包括制造商，型号，SN号等）提供照片。截止日期将被停止使用POS！

从2017年6月1日开始，应选出由国家认证和认证管理部门认可的测试机构认证的验收终端。如果使用未合格且不符合标准的验收终端会导致客户信息泄漏或资金损失，则商业银行和付款机构应根据法律承担相应的赔偿责任。银行卡清算机构应与接受终端的检查和认证结果相结合加强网络访问管理，并严格禁止未通过检查和认证进入网络的验收终端。

所有行业内部人士都知道POS终端的当前市场状况。不用说，不可避免的是中央银行的目标。一个词“应该是！”如果不纠正，那将是一件大事。监管部的相关领导人总结了以下问题。尽管它有点长，但由于没有冗余的单词，我却不能删除它。

付款终端有很多问题

首先，付款终端产品的质量不同。

一些支付终端制造商单方面追求短期利益并忽略了产品利益。在成品供应期间，切开拐角并将劣质产品作为好产品。这导致不合格的支付终端流入市场，导致了混合的支付终端市场和产品质量不均匀。这将产品本身的安全性和质量风险转移到了付款领域，加剧了信息泄漏和资金安全的风险。

最新的问题，例如POS终端和ATM的病毒植入，反映出管理法规，例如关键复制和恶意代码预防付款接受终端，并且存在某些问题，这些问题破坏了接收终端和市场的秩序。影响接受终端的总体安全水平。

其次，终端管理是不完整的。

为了追求市场份额，一些收购机构强调部门分配和忽视管理，从而在付款接受终端的安全管理中带来了严重的安全风险。

在终止申请过程中，收款机构没有严格审查特别商人的资格，缺乏对商家业务范围的终端使用的实际研究和审查，为管理特殊商人的管理形成了真空区，允许拥有具有别有用心，可以轻松进入付款

在终端安装过程中，由于按一层和非法分包将收购业务层分包，因此收购机构很难有效地管理其工作质量和过程，并且缺乏完整的过程来完成终端安装，终端安装，调试，激活和其他访问特殊商人的链接。跟踪并验证以使非法修改的终端设备轻松使用​​。

在终端使用过程中，收购机构的安全意识较弱，不会严格管理敏感信息，例如终端钥匙，并且缺乏正常的跟踪和检查系统，导致未能及时检测和惩罚违规行为，从而对付款安全。 。

第三，付款交易数据包未标准化

最近，电信网络欺诈事件经常发生，严重侵犯了人们财产的安全性。付款交易消息的关键要素是缺少，伪造和篡改的，这使得欺诈性交易难以恢复，并增加了收回被盗资金的困难。

在消息完整性方面，一些商业银行和非银行支付机构并未根据需要严格实施技术标准，并且填写了交易消息中的终端代码和商家代码等关键信息，因此很难准确地描绘交易方案。

就消息的真实性而言，一些收集机构为追求利益而伪造了消息要素，并涉及违反诸如转让，切割，第二次清洁和编码等违规行为，这些侵犯侵犯了商人和消费者的合法权利和利益。

在消息安全方面，由于硬件设备，技术条件和其他因素的局限罪犯有机会利用。

缺乏相关业务系统的依从性也是当前付款验收终端中的一个主要问题。

首先，业务系统非法保留付款敏感信息

“有关进一步加强银行卡风险管理的通知”显然要求严格禁止保留该机构中没有支付敏感的信息。但是，过度追求数据或系统设计不当，一些机构非法保留大量敏感的信息和磁条带卡信息，这对资金的安全构成了极大的隐藏危险。

其次，业务系统中存在安全漏洞

在研究，开发和测试过程中，由于建筑设计，代码质量和测试水平等因素，该系统或多或少具有或多或少的安全漏洞。犯罪分子利用这个漏洞和风险点进行网络入侵并进行攻击，例如拖动和崩溃的图书馆。

最后，业务逻辑设计中存在缺陷

由于在业务模型，抽象业务逻辑等构建中的考虑不足和不合理的设计，该系统在业务流程，交易验证，风险控制等方面存在缺陷，这导致了付款安全风险。以芯片卡交易验证为例，一些海外卡刷卡机构尚未根据标准对芯片卡申请密文进行全面验证，并且没有采用动态验证技术，从而导致了被盗的客户资金。

加强付款接受终端的技术管理的五项主要措施

为了应对上述付款接受终端中存在的问题，中国人民银行将从以下方面加强付款接受终端的技术管理。

首先，加强付款接受终端的注册和管理。

为了响应某些网络所接受的终端中的非法修改和与标准的不合规，下一步将是加快终端注册管理机制的建立。

所有法律和合规终端均已注册，并将注册信息和交易信息的比较和分析结果用作限制和拒绝可疑交易的风险控制策略的基础。提高付款接受终端的安全性和可控性。

清算机构应尽快建立终端注册管理平台，并全面收集信息，例如获取代理代码，商户代码，终端序列号，分配时间，付款接受终端的地理位置，以提高及时性和欺诈交易收集的成功率。

商业银行和付款机构必须严格遵循第21号文件的要求，准确注册终端注册和管理平台上的ATM，POS和其他终端访问信息，以确保终端的合法性。

终端制造商还应不断提高其研发功能，使用密码识别技术，将终端序列号和键放入终端安全模块中，并有效防止终端信息被非法控制和篡改。

其次，加强付款接受终端的数据包规范。

为了防止缺乏消息要素造成欺诈的风险，将进一步敦促支付行业中的所有当事方严格执行相关的技术规格和要求，并全面加强付款指示的安全管理。

在发送消息的过程中，商业银行和付款机构必须准确填写交易消息中的终端编码，验收机构编码，终端序列号和其他元素，并使用数字签名，加密传输，密码识别和其他技术，以确保付款说明的可用性回顾性。

在消息传输过程中，商业银行和付款机构应充分表征从首付党的商店，渠道，订单等中的实际交易，并准确记录交易发起人，收件人，网络路由和其他信息，以确保付款说明。

在消息验证过程中，清算机构，商业银行和付款机构必须按时按时完成相关系统的转换和升级，并严格验证交易消息元素的真实性和完整性，并迅速识别并防止异常交易。

第三，加强付款接受终端产品的管理。

确保付款接受终端符合标准并达到质量是加强付款安全管理和防止电信欺诈的重点。中央银行将与质量监督和管理部门合作，以加强付款验收终端的产品质量管理，为终端产品和付款业务之间的风险建立防火墙，并削减产品质量风险。

商业银行和付款机构应通过产品选择，验收，现场检查和其他方面加强质量控制，以确保接受终端符合相关的技术标准。终端密钥和管理不得移交给外包服务机构进行处理。严格禁止使用离线密钥激活它们。非法重置终端。

检查和认证机构应根据相关标准和规格严格实施终端产品的检查和认证，以确保其标准的合规性和安全性。

清算机构应与会员机构合作，以积极采取基本措施，例如签名和网络访问终端的独特识别，以加强终端访问的管理，并严格禁止使用未通过检查和认证的终端。加速建立常规检查系统，并继续进行终端随机检查。

终端制造商应根据相关的国家和金融业标准和要求建立生产支付终端产品，及时进行外部产品安全评估，并确保产品质量和安全性。

第四，加强移动客户端软件的安全管理。

作为在线银行卡的交易门户，移动应用程序对于确保支付安全性也至关重要。下一步是提高移动应用程序的安全管理，并将移动应用程序的风险调查归一化和制度化。实施发现的安全风险的列表控制，不断提高安全保护功能，并在金融领域中对移动客户端软件的正确使用标准化和指导。

商业银行，付款机构和清算机构应在预防木马病毒，信息加密保护和可靠的操作环境方面全面改善移动应用程序的风险预防和控制水平。为移动应用程序和官方网站设置可信的徽标或快速门户网站，并通过各种渠道将正确的标识，预防和使用方法告知客户。

监视和认证机构应关注交易数据逻辑，敏感信息保护和对外部攻击的抵抗的移动应用程序的保护措施，并协助和敦促相关机构提高移动应用程序的标准和安全水平，并促进该机构持续改进移动支付服务质量。

第五，使用大数据分析来增强风险预防功能。

下一步将是使用大数据分析技术来建立和改善风险预防和控制系统，积极确定异常交易，动态部署准确的预防和控制高风险交易的策略，并有效地保护客户资金的安全。

事先，清算机构应加速建立大数据分析验证平台，将其与付款验收终端的注册管理相结合，并进一步改善风险管理机制。

在活动期间，清算机构应与会员机构合作使用大数据分析技术来检查付款接受终端的注册数据和每天的交易消息数据，并结合交易特征数据，例如接受区域的交易活动验证交易终端的真实性。 ，一致性，有效地确定诸如机器转移，切割，第二次清洁和代码收集之类的违规行为。

之后，商业银行和付款机构必须通过异常交易验证终端和商人，并采取风险预防和控制措施，例如风险警告，延迟和解和拒绝服务。

POS 支付网络推测：关于第21号文件的实施，我们希望影响对直接商人的POS。相互关联的商人可能不会产生太大影响，而MPO和洗手用户根本不会受到影响！