中信银行电子银行业务管理办法

　　在电子银行服务协议中，金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险，金融机构已经采取的风险控制措施和客户应采取的风险控制措施，以及相关风险的责任承担。

　　第四十条　金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

　　第四十一条　金融机构应当建立相应的机制，搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。

　　金融机构发现假冒电子银行的非法活动后，应向公安部门报案，并向中国银监会报告。同时，金融机构应及时在其网站、电话语音提示系统或短信平台上，提醒客户注意。

　　第四十二条　金融机构应尽可能使用统一的电子银行服务电话、域名、短信号码等，并应在与客户签订的协议中明确客户启动电子银行业务的合法途径、意外事件的处理办法，以及联系方式等。

　　已实现数据集中处理的银行业金融机构开展网上银行类业务，总行（公司）与其分支机构应使用统一的域名；未实现数据集中处理的银行业金融机构开展网上银行类业务时，应由总行（公司）设置统一的接入站点，在其主页内设置其分支机构网站链接。

　　第四十三条　金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情况，定期对电子银行系统进行漏洞扫描，并建立对非法入侵的甄别、处理和报告机制。

　　第四十四条　金融机构开展电子银行业务，需要对客户信息和交易信息等使用电子签名或电子认证时，应遵照国家有关法律法规的规定。

　　金融机构使用第三方认证系统，应对第三方认证机构进行定期评估，保证有关认证安全可靠和具有公信力。

　　第四十五条　金融机构应定期评估可供客户使用的电子银行资源充足情况，采取必要的措施保障线路接入通畅，保证客户对电子银行服务的可用性。

　　第四十六条　金融机构应制定电子银行业务连续性计划，保证电子银行业务的连续正常运营。

　　金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响，并应采取适当的预防措施。

　　第四十七条　金融机构应制定电子银行应急计划和事故处理预案，并定期对这些计划和预案进行测试，以管理、控制和减少意外事件造成的危害。

　　第四十八条　金融机构应定期对电子银行关键设备和系统进行检测，并详细记录检测情况。

　　第四十九条　金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式，有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。

　　第五十条　金融机构应建立健全电子银行业务的内部审计制度，定期对电子银行业务进行审计。

　　第五十一条　金融机构应采取适当的方法和技术，记录并妥善保存电子银行业务数据，电子银行业务数据的保存期限应符合法律法规的有关要求。

　　第五十二条　金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。

　　第五十三条　金融机构应针对电子银行业务发展与管理的实际情况，制订多层次的培训计划，对电子银行管理人员和业务人员进行持续培训。

第四章　数据交换与转移管理

　　第五十四条　电子银行业务的数据交换与转移，是指金融机构根据业务发展和管理的需要，利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据，或者将有关电子银行业务数据转移至外部组织或机构的活动。

　　第五十五条　金融机构根据业务发展需要，可以与其他开展电子银行业务的金融机构建立电子银行系统数据交换机制，实现电子银行业务平台的直接连接，进行境内实时信息交换和跨行资金转移。

　　第五十六条　建立电子银行业务数据交换机制的金融机构，或者电子银行平台实现相互连接的金融机构，应当建立联合风险管理委员会，负责协调跨行间的业务风险管理与控制。

　　所有参加数据交换或电子银行平台连接的金融机构都应参加联合风险管理委员会，共同制定并遵守联合风险管理委员会的规章制度和工作规程。

　　联合风险管理委员会的规章制度、工作规程、会议纪要和有关决议等，应抄报中国银监会。

　　第五十七条　金融机构根据业务发展或管理的需要，可以与非银行业金融机构直接交换或转移部分电子银行业务数据。

　　金融机构向非银行业金融机构交换或转移部分电子银行业务数据时，应签订数据交换（转移）用途与范围明确、管理职责清晰的书面协议，并明确各方的数据保密责任。

　　第五十八条　金融机构在确保电子银行业务数据安全并被恰当使用的情况下，可以向非金融机构转移部分电子银行业务数据。

　　（一）金融机构由于业务外包、系统测试（调试）、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的，应当事先签订书面保密合同，并指派专人负责监督有关数据的使用、保管、传递和销毁；

　　（二）金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的，除应签订书面保密合同和指定专人监督外，还应建立对数据接收方的定期检查制度，一旦发现数据接收方不当使用、保管或传递电子银行业务数据，应立即停止相关数据转移，并应采取必要的措施预防电子银行客户的合法权益受到损害，法律法规另有规定的除外；

　　（三）金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得损害客户权益利用电子银行业务数据谋取利益。

　　第五十九条　金融机构可以为电子商务经营者提供网上支付平台。为电子商务提供网上支付平台时，金融机构应严格审查合作对象，签订书面合作协议，建立有效监督机制，防范不法机构或人员利用电子银行支付平台从事违法资金转移或其他非法活动。

　　第六十条　外资金融机构因业务或管理需要确需向境外总行（公司）转移有关电子银行业务数据的，应遵守有关法律法规的规定，采取必要的措施保护客户的合法权益，并遵守有关数据交换和转移的规定。

　　第六十一条　未经电子银行业务数据转出机构的允许，数据接收机构不得将有关电子银行业务数据向第三方转移。法律法规另有规定的除外。

第五章　业务外包管理