金融机构使用第三方认证系统,应对第三方认证机构进行定期评估,保证有关认证安全可靠和具有公信力。
第四十五条 金融机构应定期评估可供客户使用的电子银行资源充足情况,采取必要的措施保障线路接入通畅,保证客户对电子银行服务的可用性。
第四十六条 金融机构应制定电子银行业务连续性计划,保证电子银行业务的连续正常运营。
金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第四十七条 金融机构应制定电子银行应急计划和事故处理预案,并定期对这些计划和预案进行测试,以管理、控制和减少意外事件造成的危害。
第四十八条 金融机构应定期对电子银行关键设备和系统进行检测,并详细记录检测情况。
第四十九条 金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式,有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。
第五十条 金融机构应建立健全电子银行业务的内部审计制度,定期对电子银行业务进行审计。
第五十一条 金融机构应采取适当的方法和技术,记录并妥善保存电子银行业务数据,电子银行业务数据的保存期限应符合法律法规的有关要求。
第五十二条 金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。
第五十三条 金融机构应针对电子银行业务发展与管理的实际情况,制订多层次的培训计划,对电子银行管理人员和业务人员进行持续培训。
第四章 数据交换与转移管理
第五十四条 电子银行业务的数据交换与转移,是指金融机构根据业务发展和管理的需要,利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据,或者将有关电子银行业务数据转移至外部组织或机构的活动。
第五十五条 金融机构根据业务发展需要,可以与其他开展电子银行业务的金融机构建立电子银行系统数据交换机制,实现电子银行业务平台的直接连接,进行境内实时信息交换和跨行资金转移。
第五十六条 建立电子银行业务数据交换机制的金融机构,或者电子银行平台实现相互连接的金融机构,应当建立联合风险管理委员会,负责协调跨行间的业务风险管理与控制。
所有参加数据交换或电子银行平台连接的金融机构都应参加联合风险管理委员会,共同制定并遵守联合风险管理委员会的规章制度和工作规程。
联合风险管理委员会的规章制度、工作规程、会议纪要和有关决议等,应抄报中国银监会。
第五十七条 金融机构根据业务发展或管理的需要,可以与非银行业金融机构直接交换或转移部分电子银行业务数据。
金融机构向非银行业金融机构交换或转移部分电子银行业务数据时,应签订数据交换(转移)用途与范围明确、管理职责清晰的书面协议,并明确各方的数据保密责任。
第五十八条 金融机构在确保电子银行业务数据安全并被恰当使用的情况下,可以向非金融机构转移部分电子银行业务数据。
(一)金融机构由于业务外包、系统测试(调试)、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的,应当事先签订书面保密合同,并指派专人负责监督有关数据的使用、保管、传递和销毁;
(二)金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的,除应签订书面保密合同和指定专人监督外,还应建立对数据接收方的定期检查制度,一旦发现数据接收方不当使用、保管或传递电子银行业务数据,应立即停止相关数据转移,并应采取必要的措施预防电子银行客户的合法权益受到损害,法律法规另有规定的除外;
