银行卡密码安全保护技术规范

银行卡密码安全保护技术规范一、总则（一）目的与适用范围。为规范银行卡密码安全保护工作，防范密码泄露风险，保障金融消费者合法权益，本规范适用于商业银行、支付机构及关联服务机构，涵盖密码生成、存储、传输、使用等全生命周期管理。各机构应严格遵循本规范，建立健全密码安全管理体系。（二）基本原则。密码安全保护工作应遵循最小化、保密性、完整性、及时性原则，确保密码生成符合密码学标准，存储过程符合加密要求，使用环节符合风险控制标准，定期开展安全评估与更新。（三）管理责任。各机构应设立密码安全管理部门，明确各级管理人员职责，主要负责人对密码安全负总责，技术部门负责实施，业务部门负责监督，确保责任落实到岗到人。二、密码生成规范（一）复杂度要求。银行卡密码必须包含大写字母、小写字母、数字及特殊符号，长度不少于12位，禁止使用连续、重复或规律性字符组合，如“123456”“abcdef”等。（二）生成算法。密码生成应采用密码学标准算法，如PBKDF2、bcrypt或Argon2，禁止使用MD5、SHA-1等弱加密算法，确保生成密码具有高熵值，难以被暴力破解。（三）动态调整机制。每年至少强制用户更新一次密码，对连续三次输入错误密码的用户，应锁定账户并要求通过实名认证方式解锁，解锁后强制设置新密码。三、密码存储规范（一）加密存储。密码存储必须采用强加密算法，密钥长度不低于256位，禁止明文存储，数据库访问需进行权限控制，禁止非必要部门访问密码数据库。（二）密钥管理。密钥生成、存储、分发应遵循最小权限原则，定期更换密钥，密钥交接需双人在场记录，禁止使用电子邮箱、即时通讯工具传输密钥。（三）数据脱敏。在日志记录、审计查询等场景下，密码字段必须进行脱敏处理，仅显示部分字符或用星号替代，禁止完整显示密码信息。四、密码传输规范（一）传输加密。所有密码传输必须使用TLS1.2及以上协议加密，禁止使用HTTP协议传输密码，对移动端传输需采用HTTPS+HMAC认证机制。（二）接口规范。API接口传输密码时必须使用POST请求，禁止使用GET请求，传输过程中需添加防重放参数，参数有效期不超过5分钟。（三）中间人防护。对远程接入系统传输密码的，必须采用VPN+双因素认证方式，禁止使用公共网络传输密码，传输中断后密码需立即作废。五、密码使用规范（一）登录验证。登录环节必须采用密码+动态口令或生物识别双重验证，禁止单一密码验证，对高风险操作需增加验证码或短信验证。（二）异常监控。建立密码使用行为监控系统，实时监测密码输入错误次数、登录IP异常、设备型号变化等风险指标，触发异常时立即触发风险控制措施。（三）用户教育。通过APP弹窗、短信推送等方式，每年至少开展两次密码安全知识宣传，内容包括密码复杂度要求、钓鱼网站防范、二次验证重要性等。六、应急响应规范（一）泄露处置。一旦发生密码泄露事件，应立即启动应急预案，第一时间冻结涉事账户，通知用户修改密码，并通报监管机构。（二）溯源分析。对泄露事件开展技术溯源，分析泄露原因，修复系统漏洞，对相关责任人进行追责，定期开展应急演练确保响应能力。（三）用户补偿。对因密码泄露造成损失的，应按照监管要求提供补偿方案，包括但不限于资金补偿、信用修复、安全培训等。七、技术保障规范（一）系统加固。密码管理系统必须部署防火墙、入侵检测系统，定期进行漏洞扫描，禁止使用未经认证的第三方软件，操作系统需保持最新补丁。（二）硬件安全。密码数据库服务器应部署在物理隔离机房，采用冷备份机制，禁止虚拟化部署，定期进行硬件安全检测。（三）安全审计。每月开展密码安全专项审计，检查密钥管理、日志记录、权限控制等环节，审计结果需存档三年，并定期向监管机构报送。八、附则（一）标准更新。本规范自发布之日起实施，每年至少修订一次，重大技术突破或监管要求变化时，应立即启动修订程序。（二）解释权。本规范由中国人民银行金融科技委员会负责解释，各机构在执行过