最新：支付机构网络支付业务管理办法及14个重要问题权威解答(〔2015〕第43号全文)(5)

　　（一）仅客户本人知悉的要素，如静态密码等；

　　（二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；

　　（三）客户本人生理特征要素，如指纹等。

　　支付机构应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

　　第二十三条 支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》（JR/T0118-2015）等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。

　　支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。

　　支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。

　　第二十四条 支付机构应根据交易验证方式的安全级别，按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理：

　　（一）支付机构采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；

　　（二）支付机构采用不包括数字证书、电子签名在内的两类（含）以上有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000 元（不包括支付账户向客户本人同名银行账户转账）；

　　（三）支付机构采用不足两类有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000 元（不包括支付账户向客户本人同名银行账户转账），且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

　　第二十五条 支付机构网络支付业务相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求，或者尚未形成国家、金融行业标准，支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。

　　第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统，制定突发事件应急预案，保障系统安全性和业务连续性。

　　支付机构为境内交易提供服务的，应当通过境内业务处理系统完成交易处理，并在境内完成资金结算。

　　第二十七条 支付机构应当采取有效措施，确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认，并在支付指令完成后及时将结果通知客户。

　　因交易超时、无响应或者系统故障导致支付指令无法正常处理的，支付机构应当及时提示客户；因客户原因造成支付指令未执行、未适当执行、延迟执行的，支付机构应当主动通知客户更改或者协助客户采取补救措施。

(作者：//，来源：法客帝国、人民银行官网)