江苏东海农村商业银行网上银行服务基本要求

江苏东海农村商业银行网上银行服务基本要求

1　范围

本标准规定了本行网上银行服务要求，明确了安全性和服务体验标准，确立了服务实施保障机制。本标准适用于本行所有网上银行服务。

2　规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 35273-2017 信息安全技术个人信息安全规范

GB/T 32315-2015 银行业客户服务中心基本要求

JR/T 0068-2012 网上银行系统信息安全通用规范

JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引

GB/T 22239-2008 信息系统安全等级保护基本要求

3　术语与定义

下列术语和定义适用于Q/DHNSH 00002—2023的本标准（本部分）。

3.1　网上银行 online banking service

商业银行等金融机构通过面向社会公众开放的通讯通道或开放型公众网络，以及为特定自助服务设施或客户建立的专用网络等方式，向其客户提供的网上金融服务。

3.2　网上银行系统 online banking system

3.2.1  系统定义：网上银行系统是商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供各种金融服务的信息系统。

3.2.2 系统描述：网上银行系统主要由客户端、通信网络和服务器端组成。本标准所指网上银行系统，不仅包括传统方式的网上银行系统，还包括以手机、平板电脑等移动终端方式访问网上银行系统。

3.2.3  本行网上银行服务系统包括企业网上银行系统、个人网上银行系统、企业手机银行系统、个人手机银行系统。

3.2.4  企业网上银行系统，企业客户可以通过电脑登录我行企业网上银行系统办理各项金融业务。业务服务范围和内容包括但不限于：账户查询、转账汇款、理财服务、集团服务、批量代发、电子票据等金融业务。

3.2.5  个人网上银行系统，个人客户可以通过电脑登录我行个人网上银行系统办理各项金融业务。业务服务范围和内容包括但不限于：查询、转账、理财、缴费、支付、信用卡、贷款等金融业务。

3.2.6  企业手机银行系统，企业手机银行系统是在原企业网银基础上增加了移动APP渠道入口，企业版手机银行与企业网银统一客户管理、统一业务流程、统一业务规则，企业客户可以通过企业版手机银行登入企业网上银行系统办理各项金融业务。业务服务范围和内容包括但不限于：账户查询、转账汇款、理财服务、集团服务、批量代发、电子票据等金融业务。

3.2.7  个人手机银行系统，本行客户可以通过手机银行APP登录本行手机银行系统办理各项金融业务。业务服务范围和内容包括但不限于：查询、转账、理财、缴费、支付、信用卡、贷款等金融业务。

3.3　服务对象 online banking service objects

3.3.1  企业网上银行、企业手机银行的服务对象为在本行开设基本存款账户或者一般存款账户的客户。

3.3.2  个人网上银行、个人手机 银行的服务对象为在本行开立个人结算账户、具有完全民事行为能力的自然人。不具备完全民事行为能力的个人须由监护人代理申请，出具监护人的有效身份证件以及申请人的居民身份证或户口簿。

3.4　网上银行交易验证 online banking transaction verification

3.4.1 身份认证是在网上银行服务中确认操作者身份的过程，从未确认该用户是否具有对某种资源的访问和使用权限，进而使网上银行系统的访问策略能够可靠、有效地执行，保证系统和数据的安全，以及授权访问者的合法利益。

3.4.2 验证方式本行为企业网上银行客户、个人网上银行客户提供短信验证码、动态口令牌、U-KEY、蓝牙KEY等交易验证方式，为企业手机银行、个人手机银行客户提供短信验证码、动态口令牌、U-KEY、蓝牙KEY、人脸识别等交易验证方式。网上银行系统向客户颁发中国金融认证中心（简称：CFCA）的数字证书，客户通过企业网上银行系统、企业手机银行系统、个人网上银行系统、个人手机银行系统以U-KEY或蓝牙KEY等身份认证方式办理业务时，必须采用本行向其颁发的CFCA证书进行数字签名认证。

3.5　风险控制 risk control

风险控制是指采取各种措施和方法，防范在技术、管理、服务方面可能产生的不当情况。

3.6　网上银行服务协议 online banking service agreement

指客户通过网上银行签订的服务协议等法律文本。本行采取必要的管理措施和技术措施，记录签订协议的内容和时间等信息，并确保该信息的完整性和不可篡改性。

3.7　网上银行交易信息 online banking transaction records

网上银行交易信息包括业务凭证等纸质文档或电子交易信息。

纸质文档随主机系统业务凭证进行保管。电子交易信息包括交易业务数据，以及通讯、安全认证信息，确保网上的交易数据完整性、安全性、保密性、可控性、可用性、可追踪性。网上银行服务系统对客户签约、登录、查询、资金类交易以及交易相关的行为特征、客户终端信息、交易要素数据进行详细记录。电子交易信息由省中心信息科技有关部门按规定存储。

4　网上银行服务安全

4.1　基本安全要求

4.1.1  本行网上银行系统的安全技术、安全管理、业务运作安全应符合JR/T0068-2012《网上银行系统信息安全通用规范》和JR/T0071-2012《金融行业信息系统信息安全等级保护实施指引》的规定；本行网上银行服务的个人信息保护应符合GB/T35273-2017《信息安全技术个人信息安全规范》的规定，并根据电子银行业务的安全性需要和科技信息技术的发展，定期检查和评估所使用的技术，适时进行调整。

4.1.2  本行网上银行密码长度最少为6位，必须包含英文字母与数字，英文字母区分大小写。

4.1.3  本行网上银行禁止明文显示密码，应使用*代替。客户设置密码时提示客户不使用简单密码。

4.1.4  企业网上银行、个人网上银行登录时使用图形验证码，图形验证码为随机产生，由数字和字母等字符混合组成，仅能使用一次，且采取图片底纹干扰、颜色变化、设置非连续性及旋转图片字体、变异字体显示样式等有效方式，防范恶意代码自动识别图片上的信息。

4.1.5  客户使用软键盘输入密码时，采取对整体键盘布局进行随机干扰方式，防范密码被窃取。

4.1.6  本行网上银行可判断客户的空闲状态，当空闲超过一定时间后，自动关闭当前连接，客户再次操作时必须重新登录。

4.1.7  本行网上银行支持客户预留信息，具有防网络钓鱼功能。

4.1.8  客户使用手机银行更换设备登录后，将重新进行身份认证。

4.2　服务连续在线可信性

4.2.1  本行网上银行系统服务时间满足7×24小时不间断服务。

4.2.2. 本行网上银行系统配备7×24小时运维应急人员值班。

4.2.3  本行网上银行系统可用率大于等于99.95。

4.2.4  本行网上银行系统数据丢失时间（PRO）为0。

4.2.5  本行网上银行系统恢复时间（PTO）为90分钟。

4.3　增强身份认证要求

4.3.1  本行网上银行系统已应用以下几种身份认证安全介质：动态口令牌。二代动态口令牌、二代U-KEY、蓝牙key、短信验证码。

4.3.2  客户如选择动态令牌作为身份认证方式办理业务时，动态令牌根据算法生成一个不可预测的随机数字组合，每个密码只能使用一次；客户如选择二代动态口令牌作为身份认证方式办理业务时，页面会根据客户的交易信息（交易金额、交易账号）生成一个挑战码，客户须在二代动态口令牌上输入正确的挑战码后，才会生成本次的动态密码；客户如选择二代U-KEY、蓝牙KEY作为身份认证方式办理业务时，会验证设备本身的CFCA证书，保证客户的交易信息真实、准确。

4.3.3  个人手机银行客户如选择短信验证码作为身份认证方式办理业务时应将交易的关键信息与短信验证一起发送给客户。

4.3.4  本行根据身份认证安全介质的不同设置相应的交易限额。

4.3.5  本行企业手机银行客户首次登陆或更换设备登陆，须进行设备绑定，绑定时须校验短信验证码、根据客户绑定的身份认证方式进行验证、进行人脸识别，验证成功后方能使用。

4.3.6  本行个人手机银行客户首次登陆或更换设备登陆，须进行设备绑定，绑定时须校验短信验证码、根据客户绑定的身份认证方式进行验证、验证成功后方能使用。

4.3.7  当客户选择使用人脸识别作为身份认证方式办理业务时，APP同步进行活体检测，并将人体识别过程中采集到的脸部数据与联网核查系统中的照片进行比对。

4.4　风险控制能力

4.4.1  本行网上银行系统接入全行防洗钱系统和事中风险侦测系统及事后风险侦测系统。

4.4.2  本行对客户的登录及操作等网上银行交易进行实时监测，对触及事中风险交易规则的异常交易及时进行阻断。

4.4.3  本行根据客户交易情况进行分析，对可疑交易进行人工回访，如确认为风险后，将根据客户要求对账户进行止付交易。

4.4.4  营业网点受理网上银行业务申请时，应认真核对客户资料的真实性、有效性及与申请表填写的内容是否相符，严格执行对客户身份证的联网核查管理要求。客户填写的申请资料必须正确、完整、不得涂改，必须由客户本人签名。

5　客户服务

5.1　客户代表行为规范

本行为规范客户服务质量行为，有效实施服务质量持续性改进，不断提高服务效率和服务水准，制定了客服人员的服务标准及各项工作规程，明确了客服人员的工作规范、协作流程、用语规范及相应的考核管理办法，要求客服人员服务做到态度热情、文明用语、耐心聆听，及时帮助客户解决问题。

5.2　客户的服务相应

5.2.1  本行要求电话客服平均响应时间为20秒。

5.2.2  本行要求在线客服的相应时间为5秒。

5.2.3  本行的人工客服服务时间为7×24小时。

5.2.4  本行的电话客服接通率为92%。

5.3　服务功能

5.3.1  本行企业网上银行、企业手机银行服务功能包括但不限于账户管理、支付结算、财务管理、投资理财、集团业务、客户服务、业务复核、对账管理、、电票业务、特色业务。

5.3.2  本行个人网上银行、手机银行服务功能包括但不限于我的主页、账户管理、个人贷款、转账汇款、自助缴费、信用卡业务、投资理财、基金代销、客户服务、资金归集。

5.4　服务性能

5.4.1  本行网上银行系统采用了联合开发的方式，即引进一家在业内有多个实施案例、技术成熟、系统安全稳定的产品公司负责网上银行业务渠道实施，本行科技人员负责完成相应账务系统接口开发工作，确保为广大客户提供一个更为安全、稳定的业务和技术支持平台。

5.4.2  本行手机银行APP采用扁平化设计，客户可自由组合交易菜单，让客户可以更方便、直观地了解个人手机银行、企业手机银行APP的特点、功能和服务。

5.4.3  网上银行交易的身份认证安全介质分为几种：手机短信验证、动态口令牌、二代口令牌、二代U-KEY、蓝牙KEY。由总行根据不同的客户群设置不同验证方式的交易限额，客户可以根据需要选择响应的身份认证安全介质。

5.4.4  本行网上银行不仅为客户提供基本的账户查询、转账汇款、存款理财等金融服务，还可实现与生活密切相关的本地化生活服务等功能。

6　创新及前瞻性

6.1　服务创新性

6.1.1  本行企业网上银行按照受理渠道分为PC版和手机APP版，PC版和手机APP版统一客户管理、统一业务流程、统一业务规则。客户可以在PC版和APP版进行交易操作，支持单人或多人审核操作，满足不同客户的业务办理需求。

6.1.2  本行对个人网上银行系统和手机银行系统进行渠道整合，实现数据的互联互通，让客户可以使用同一账号、密码在不同电子渠道间办理业务，增强了客户体验度。

6.1.3  本行在传统身份认证安全介质的基础上，加快人脸识别、指纹等生物识别技术的开发及应用，为客户提供更加便捷的登录方式。

6.1.4  坚持线上服务与线下渠道相结合，线上服务更加突出人性化，充分考虑老年人习惯，便利老年人使用；线下渠道进一步优化流程、简化手续，不断改善老年人服务体验，与线上服务融合发展、互为补充，不断提升智能化服务水平，完善服务保障措施。

6.1.5  本行网上银行服务不断创新，主要包括存款理财、转账汇款、自助用信、生活缴费等。

6.2　技术前瞻性

6.2.1  本行在监管部门的政策指导下，接入了人脸识别、指纹识别技术作为登录身份认证交易，并将网上银行交易纳入事中风险侦测系统内，保障客户交易安全。未来会引入如云计算、大数据、生活特征识别、人工智能等前沿技术。

6.2.2  本行网上银行数据将照自身业务需求及监管政策要求引入大数据平台，结合机器学习算法等技术，根据业务特点进行营销及风控模型搭建，更好的保护客户交易安全，提升客户体验。

6.2.3  关注并积极探索引入软证书产品，不依赖硬件密码芯片，用软件实现可靠的密码模块、密码运算 和CA数字证书等全部功能，且应符合“国密二级”软件密码类产品要求，有效解决客户进行大额交 易时必须额外携带硬件Ukey设备的痛点，在保证安全的基上显著改善客户体验；

6.2.4  本行灾备系统严格按照国家相关规定执行。

7　实施保障

7.1　组织保障

7.1.1 明确相关部门的职责、网点及柜员的职责，并制定网上银行业务操作流程。

7.1.2 电子银行部职责

a）负责制定网上银行的发展规划；制定和修改网上银行业务的各项规章制度；

b）对网上银行可能发生的一系列权利和义务予以明确界定，完善网上银行交易双方的契约约束机制；管理网上银行管理平台的业务信息发布工作；监督检查网上银行系统的运作和安全情况；

c）指导、协调、监督各支行的网上银行工作；负责管理各支行操作人员的审核； d）负责网上银行业务新项目的开发、需求方案收集、可行性论证及新产品的验收、推广和运用；

e）组织系统内网上银行业务的培训；受理网上银行业务的咨询和投诉；研究网上银行的市场经营定位，制定营销策略，开拓市场；

f）负责全行机构的网上银行业务统计、分析和考评工作。

7.1.3 信息科技部职责

a）负责网上银行产品技术开发的组织、协调和项目实施；

b）负责网上银行系统的优化、运行管理与安全体系建设；

c）协助相关业务部门进行开发产品的业务测试工作；

d）负责按监管部门的风险管理要求落实完成相关网上银行安全评测工作；

e）负责建立网上银行系统的应急、容错和容灾机制。

7.1.4 审计稽核部职责

a）负责实施对网上银行业务管理和操作的内部审计工作；

b ）负责对审计中发现的违规操作及相关问题提出整改要求，督促网络金融部门和有关业务部门、支行整改落实。

7.1.5 风险管理部职责

a）根据风险管理的统一要求，参与制定网上银行业务风险管理的政策和流程；

b）支持、协助网络金融部重检网上银行系统风险管理政策，监督政策的执行和落实情况；

c）指导并评价网上银行系统风险的识别、评估、控制和报告等工作，对风险管理工作提出相关整改建议，并监督落实；

d）组织相关部门对网上银行业务风险进行监督检查。

7.1.6 合规管理部职责：

a）负责审核网上银行业务的规章制度、合同协议，确保制度内容、协议符合法律法规的要求；

b）对网上银行业务的合规性进行检查监督；

c）协助网络金融部处理本行与客户之间有关网上银行业务的纠纷，提供法律支持。

7.1.7 运营管理部职责：

a）负责手机银行业务账务核算、资金清算、错账调整等工作。

7.2　管理制度

7.2.1 为加强网上银行服务的管理，规范业务操作，建立了相关业务管理办法。

7.2.2 总行不定期派出检查小组，通过现场检查的方式进行网上银行业务检查。对发现问题下发整改意见通知单，督促支行立即整改。对员工、支行分别进行考核，及时通报考核结果，落实相应奖惩机制，进一步强化制度管理，规范员工业务流程，保障网上银行业务的稳健发展。

7.3　企业标准宣传及实施机制

7.3.1 对于已发布的企业标准，公示至企业标准信息公开服务平台。

7.3.2 推进网上银行服务企业标准实施工作，总行不定期组织业务人员开展相关学习和培训，提高业务人员服务意识和服务水平。