详细信息
为应对日益增加的批发支付欺诈威胁,降低行业欺诈风险,维护金融稳定,支付与市场基础设施委员会(CPMI)于2018年5月发布《与终端安全相关的批发支付欺诈风险管理策略》(原文链接:https://www.bis.org/cpmi/publ/d178.htm)。参考译文见下文。
【报告摘要】
支付与市场基础设施委员会(CPMI)于2016年9月成立工作组,研究涉及银行、金融市场基础设施(FMI)和其他金融机构的批发支付安全问题。并起草了《与终端安全相关的批发支付欺诈风险管理策略》,于2017年9月公开发布征求意见。
该报告指出,安全、可靠和高效的批发支付系统对于金融系统的良好运行不可或缺。鉴于系统中终端的安全性弱点可能被利用进行支付欺诈,所有成员有必要实施全面措施、开展协同合作。报告提出了管理批发支付欺诈风险的7个策略:(1)识别并了解各类风险;(2)建立终端安全要求;(3)提高策略遵循水平;(4)提供并利用信息和工具,提高防范和发现风险的能力;(5)及时应对潜在欺诈;(6)持续开展宣传教育及信息共享;(7)学习、改进与合作。报告还提出了CPMI关于推进、支持和监测策略在各地及全球实施的计划,指出不同系统、不同司法管辖区域在法律、监管、运行、技术架构上存在特殊性,运行中存在限制条件,要注意策略的灵活性。
CPMI认为,策略的成功实施取决于各司法管辖区域的运营方、参与者、公共及私营部门各利益相关方积极参与制定本区域适用的行动计划,并发挥主动性,投入计划执行。下列举措可促进策略有效实施:
1)各司法管辖区域、各系统的所有利益相关方都承诺实施策略,并参与协同制定和采取适当的措施。
2)允许必要的灵活性,以便利益相关方在确定策略实施最佳方案时兼顾各区域、各系统的特殊性。同时要明确,灵活性是为了策略得到有效执行,不能因此导致不作为或拖延。
3)为支付系统或报文传输网络提供区域内和跨区域的合作机会,并视情推动他们在策略实施中协同行动,尽可能最大化实施效率,避免各区域和系统在要求、进度和措施方面出现不一致。
4)就策略实施以及实施进度监测明确任务分工和责任,并制定时间表。
CPMI及各央行成员都是策略成功实施的推动方,应支持并推动相关策略在各区域/系统内部、跨区域/跨系统得到有效且一致的执行。为此,CPMI及各央行成员将在2018年至2019年期间对策略实施进度进行监测,以决定是否需要采取进一步行动。
【报告正文】
一、简介
为应对日益增加的批发支付欺诈威胁,2016年9月,支付与市场基础设施委员会(以下简称CPMI)宣布成立工作组,研究涉及银行、金融市场基础设施(FMI)和其他金融机构的批发支付安全问题1。工作组制定策略,以降低与终端安全相关的批发支付欺诈(以下简称批发支付欺诈)风险。2017年9月,CPMI发布策略,公开征求意见,策略终稿中反映了期间收到的反馈意见。
该策略的主要目的是,鼓励并帮助行业降低批发支付的欺诈风险,维护金融稳定。CPMI及各央行成员要发挥推动作用,确保策略在司法管辖区域内部及跨区域、跨系统得到有效、一致地实施,在2018年至2019年,对实施进展进行监测,并决定是否采取进一步行动。
报告第一部分分析了批发支付生态系统、终端、批发支付欺诈风险,强调有必要实施全面措施、开展协同合作。第二部分介绍了策略的七个方面。第三部分讨论了CPMI关于推进、支持和监测策略在各地及全球实施的计划,指出不同系统、不同司法管辖区域在法律、监管、运行、技术架构上存在特殊性,运行中存在限制条件,要注意策略的灵活性。
1. 批发支付生态系统与终端
安全、可靠和高效的批发支付系统对于金融系统的良好运行不可或缺。批发支付系统通过报文传输网络连接银行、FMI、其他金融机构及服务提供商,共同构成一个复杂的生态系统。作为批发支付系统的所有者、运营方和监督者,中央银行长久以来对批发支付生态系统有着特殊的兴趣。此外,中央银行利用批发支付系统实施货币政策,为保持金融稳定向市场提供流动性。
批发支付生态系统的欺诈问题日趋复杂。近期案例表明,生态系统中终端的安全性弱点可能被利用进行支付欺诈。本报告中,批发支付生态系统的终端是指,在某一地点和时点,支付生态系统中两个主体间交换支付指令信息的端点,比如支付系统与报文传输网络之间、报文传输网络与该网络参与者之间,或支付系统与该系统参与者之间2的信息交换终端。终端安全建设有赖于对终端硬件3、软件、物理访问4、逻辑访问5、组织和处理6等采取的措施。
2. 批发支付欺诈风险及实施全面措施与协同合作的必要性
批发支付欺诈可能对单一金融机构造成重大风险,也可能对支付系统及其生态系统、整体经济带来更广泛的系统性冲击。由于批发支付生态系统中各利益相关方相互关联,欺诈不仅会使被攻破终端遭受经济损失和声誉风险,在极端情况下,若生态系统未针对欺诈建立适当的防范、监测、响应和通报机制,欺诈还会降低对系统完整性的信心。如果参与者对支付网络、自身或其他参与者的安全感到担忧,各方会在支付前进行额外控制,或者对支付指令的处理进行限制甚至暂停。一旦人们对系统的完整性失去信心,个体采取的预防性举措累积一起,就可能对支付处理造成严重堵塞,降低金融市场的整体流动性,并可能导致金融机构间的未结算头寸和双边信用敞口积聚等问题。极端情况下,这些行为最终还将妨碍经济活动并扰乱金融稳定。
在解决批发支付欺诈对金融系统及更广泛的经济范围带来的潜在风险方面,批发支付生态系统面临明显挑战。首先,批发支付欺诈日趋复杂并将愈演愈烈。其次,批发支付通常是大额、实时、最终性的支付,这使其更易成为欺诈的首选目标,也增加了解决风险的复杂度。第三,批发支付系统和报文传输网络的运营方无法独立识别和控制终端安全的各个方面,需要依赖终端的控制方或靠近终端的一方实施适当控制并有效运营。由于金融网络相互关联,除非其他关联方共同努力,否则单方努力可能无法达到预期效果。最后,支付系统和报文传输网络的每个参与者都有动力采取措施防范批发支付欺诈风险,以免遭受重大经济和声誉损失,并应承担采取必要行动的主要责任。然而,上述欺诈对更广泛经济和社会成本的冲击并不足以使各相关方都充分意识到并内生化。不论从个体还是从整体角度来说,降低批发支付欺诈风险的相关措施和投入都不够。
所有这些因素表明,更好理解所有风险和合作的必要性,是非常重要的。至关重要的一点是,所有利益相关方,包括批发支付系统和报文传输网络的运营方、参与者、相关监督管理机构,要采取全面的、更加协同的措施,防止对批发支付生态系统整体性丧失信心。
二、与终端安全相关的批发支付欺诈风险管理策略
批发支付欺诈风险管理策略涉及公共及私营部门所有利益相关方,包括批发支付系统和报文传输网络的运营方和参与者,以及他们各自的监督管理机构7。策略共七个部分,各部分协同一致,涵盖了防范、发现、应对欺诈,以及就欺诈进行通报等各个方面。既从原则层面明确了必须完成的事项,也指出在具体落实各项策略时要有灵活性,以便批发支付系统和报文传输网络能够在考虑所处风险环境、所用风险管理技术与工具发生变化的基础上,根据自身特点和进程采取并实施相应的策略。此外,根据公开征求意见期间收到的反馈,附录提供了运营方、参与者和其他利益相关方在制定或执行与策略实施相关计划时应考虑的事项。
值得一提的是,CPMI-IOSCO《金融市场基础设施原则》(以下简称PFMI)的24项原则、PFMI附件F(“关于关键服务提供者的监督预期”)以及CPMI-IOSCO《金融市场基础设施网络韧性指引》等相关指引均涵盖了很多风险管理主题,尽管本策略与上述文献中的风险管理原则相关,但并不是要取而代之。不过,策略在适用范围上对上述文献的一些原则和预期进行了补充,批发支付系统和报文传输网络在推进上述原则落实时,可视情考虑实施本策略。概况地说,本报告提出的策略适用于管理批发支付欺诈风险涉及的所有公共和私营部门利益相关方,包括批发支付系统和报文传输网络运营方、参与者及各自的监督管理机构。
策略1: 识别并了解各类风险
批发支付系统和报文传输网络的运营方和参与者,应识别并了解各自及共同面临的涉及终端安全的各类风险,包括对支付系统整体性,或对报文传输网络单方失去信心的风险。
策略2: 建立终端安全要求
批发支付系统或报文传输网络的运营方应对各自的参与者提出明确的终端安全要求,并将此作为参与者准入要求。终端安全要求包括防范和发现欺诈,对欺诈做出迅速响应,适时在更大范围的批发支付网络社区警示不断演变的欺诈威胁。除了由批发支付系统或报文传输网络运营方提出的要求,其参与者也都要根据需要识别并建立相应的风险为本的补充性终端安全措施。
策略3: 提高策略遵循水平
在理解风险、且批发支付系统或报文传输网络建立了终端安全要求的基础上,支付系统或网络的运营方和参与者应采取必要措施提高对相关安全要求的遵循水平。
策略4: 提供并利用信息和工具,提高防范和发现风险的能力
在法律允许及可行的情况下,批发支付系统或报文传输网络的运营方和参与者应提供并利用信息和工具,来提高自身及其他相关方防范并及时发现潜在批发支付欺诈的能力。
策略5: 及时应对潜在欺诈
批发支付系统或报文传输网络的运营方和参与者应建立程序和措施,充分调度资源,对已经发生的或可能发生的欺诈做出快速响应。例如,察觉到支付指令可能存在欺诈时,立即发起请求、快速进行沟通、或及时做出响应,并采取相应措施。但此类程序和措施不应改变或影响任何已结算支付的最终性。
策略6:持续开展宣传教育及信息共享
批发支付系统或报文传输网络的运营方和参与者应协同一致,明确并推动采取相关程序及措施,充分调度资源,支持宣传教育持续开展,在法律允许并可行的情况下,推进与终端安全风险和风控演进相关的信息共享。
策略7: 学习、改进与合作
批发支付系统或报文传输网络的运营方和参与者应监测终端安全风险和风控措施演进,并对各自制定的终端安全要求、程序、措施和资源进行评估和完善。此外,在可行的情况下,各个批发支付系统和报文传输网络的运营方和参与者应通过合作,加强跨系统、跨网络的终端的安全管理,以尽可能地提高效率。同样,批发支付系统和报文传输网络的监督管理部门及参与者应根据风险管理策略的演进,适时对其监督管理预期和评估项目进行检查和更新。
三、策略实施中的推进、支持和监测进展
CPMI认为,策略的成功实施取决于各司法管辖区域的运营方、参与者、公共及私营部门各利益相关方积极参与制定本区域适用的行动计划,并发挥主动性,投入计划执行。下列举措可促进策略有效实施:
1)各司法管辖区域、各系统的所有利益相关方都承诺实施策略,并参与协同制定和采取适当的措施。
2)允许必要的灵活性8,以便利益相关方在确定策略实施最佳方案时兼顾各区域、各系统的特殊性。同时要明确,灵活性是为了策略得到有效执行,不能因此导致不作为或拖延。
3)为支付系统或报文传输网络提供区域内和跨区域的合作机会,并视情推动他们在策略实施中协同行动,尽可能最大化实施效率,避免各区域和系统在要求、进度和措施方面出现不一致。
4)就策略实施以及实施进度监测明确任务分工和责任,并制定时间表。
同时,CPMI及各央行成员都是策略成功实施的推动方,应支持并推动相关策略在各区域/系统内部、跨区域/跨系统得到有效且一致的执行。为此,CPMI及各央行成员将在2018年至2019年期间对策略实施进度进行监测,以决定是否需要采取进一步行动。具体来讲,CPMI及其成员计划按照以下步骤推进策略实施:
1)CPMI作为推动者,将通过以下措施推进策略及时实施并取得进展:
a.通过CPMI各成员提供的信息监测策略进展情况。
b.支持跨系统合作,视情提供必要的协调支持(如由CPMI组织行业研讨会),以便解决监测中发现的通性问题,或进行改善。
c.大范围推广至非CPMI央行/区域,推动提高全球关注度,并予以支持策略实施。
2)CPMI各央行成员根据自身职能定位(如推动者、运营方、监管方)推进策略在本司法管辖区内实施。具体来说,CPMI各央行成员将通过以下措施支持和推进策略落实:
a.推动策略以适当的方式在本司法管辖区尽快落实,并对进展进行监测。
b.推进利益相关方参与策略实施,并在必要且可行的情况下推动各方合作。
c.根据策略实施的整体要求,鼓励明确职责分工,并列明行动时间表。
d.识别阻碍实施的重大障碍,或通过跨系统协作进行完善。
e.定期向CPMI提供策略落实进展。
附录1:策略实施要点
公开征求意见期间收到的反馈显示,许多运营方、参与者和利益相关方已经在深度参与制定或实施关于批发支付终端欺诈风险管理的计划。根据他们的经验,意见反馈者提出了一些具有相关性的问题,其他运营方、参与者和利益相关方在各自推动制定或执行关于策略实施的计划时可加以考虑。以下为要点总结:
要点1. 识别并了解各类风险
各司法管辖区域、各系统面临的风险可能不同,这是因为不同批发支付系统和报文传输网络以及他们的参与者都有各自的特点,适用的法律法规及监管体制不同,涉及的利益相关方也不同。因此,必须明确批发支付生态系统中所有利益相关方的角色定位和职责,相应界定各自面临的风险。例如,参与者可以提供多种角色,包括发起人、发起人银行、他人的支付服务提供方、受益人、受益人银行或支付链中的中间银行。角色定位不同,相应的风险不同。
终端安全风险可能不仅存在于支付系统及其直接参与者,运营方有必要留意由间接参与者和代理银行体系中其他机构引发的风险。
要点2.建立终端安全要求
终端安全要求可能涉及参与者的硬件、软件、对相关系统和接口的物理访问、逻辑访问、组织和处理。要求可以是原则性的,列明通过技术手段和控制措施能够实现的安全目标,也可以根据批发支付系统或报文传输网络的设计纳入更多具体措施。
支付系统和报文传输网络的运营方可以利用被认定为综合有效且已获广泛支持的安全框架,并根据需要补充特定要求。同一区域内不同的支付系统和报文传输网络设定的要求可能存在功能重叠或冲突,利益相关方要通过协作来避免。
因为各系统及其参与者都有其特点,支付系统和报文传输网络运营方需要灵活性,按适用法律、法规和监管体制制定可行、有效的终端安全要求。
终端安全要求建立后,要注意参与者承担的法律责任不会受到不当影响,其维护自身终端安全的职责不变。
要点3.提高策略遵循水平
在推进终端安全要求落实方面,可采取的措施很多,包括但不限于自行验证、内部审计、监管评估、外部审计、外部验证或包含前述各措施的“组合拳”。批发支付系统和报文传输网络的运营方要考虑多种措施,并根据他们各自的系统设计,以及要遵守的法律、法规和监管体制要求,确定一个有效的落实机制。
运营方还需考虑参与者出现终端安全隐患产生的后果,可以通过建立规则、明确程序和进程来解决终端安全弱点,包括:1)要求制定整改计划;2)向参与者提供或与参与者协商建立一个适当的整改时间框架,强调在不整改情况下可能限制其接入;3)仅应对手方要求公开相关安全状态信息;4)主动向利益相关方汇报,例如负责推进和/或确保终端安全要求落实的监管机构。运营方如果考虑限制或暂停此类参与者接入其系统或网络,要审慎作出决定。
在任何情况下,运营方都应考虑如何妥善保护参与者相关的安全措施和安全状态信息,且不被泄露。
要点4.提供并利用信息和工具,提高防范和发现风险的能力
提供和利用工具防范和发现欺诈,有助于提高终端安全。可根据批发支付系统或报文传输网络的设计确定可使用的工具。
支付系统或报文传输网络的运营方,可与他们的参与者及其他利益相关方一起,评估哪些信息和工具有助于有效防范和发现终端存在的批发支付欺诈问题。包括:1)由参与者设定支付限制(如只处理在营业时间内发送至已有代理行的、符合限额要求的支付业务);2)依照自设参数进行支付筛选;3)监测异常支付模式(如根据支付时间、金额、规模或地点判断);4)经常性的、及时的(日间)对账。
要提请注意的是,参与者应对其自身终端安全负责,要保证其对欺诈支付的最终责任和法律责任不会受到不当影响。例如,参与者仍然要对部署上述工具、并设定相关参数、及处理任何可能的预警信息等负责。
要点5.及时应对潜在欺诈
批发支付系统和报文传输网络的运营方应对区域内已有的欺诈应对安排进行评估,明确在处理参与者撤销支付请求或资金回退请求时的角色定位。这些应对安排会受到系统自身设计的影响。例如,运营方未直接参与,参与者之间通过双边直接交流进行应对。
运营方应与其参与者协商,是否需要请相关监督管理机构及其他执法机构参与相关沟通机制。
同时应注意,对已发生的欺诈或潜在的欺诈交易做出的响应,不应违背不可撤销原则,不能更改或影响任何已结算支付的最终性。
隐私/数据保护和信息共享均存在法律规制,利益相关方要考虑如何在本司法管辖区适用的法律框架下,选择信息共享最佳方案。而且,如果参与者或其他相关方事后被发现提供了错误的、不准确的或不完整的信息,应考虑如何进行责任认定。
要点6. 持续开展宣传教育及信息共享
批发支付系统和报文传输网络的运营方可建立相关机制,持续推动关于安全风险和安全管理最佳实践的宣传、教育和信息共享。
隐私/数据保护和信息共享均存在法律规制,利益相关方要考虑如何在本司法管辖区适用的法律框架下,选择信息共享最佳方案,尤其是关于敏感信息和不完全通用信息的共享。而且,如果参与者或其他相关方事后被发现提供了错误的、不准确的或不完整的信息,应考虑如何进行责任认定。
可借助国家组织、行业团体或其他信息交流机制(如信息共享和分析中心 (ISACs))推动信息共享、提升行业关注度。
要点7.学习、改进与合作
欺诈威胁的情况发生演变时,批发支付系统和报文传输网络的运营方要相应更新其终端安全要求。运营方可对计划落实情况进行主题分析,查找参与者或网络的安全弱点,并据此改善终端安全要求。
为了制定最佳实践方案,帮助所有利益相关方了解并适应不断演变的欺诈威胁环境,行业利益相关方应跟踪新兴技术和不断演进的安全安排。
跨区域协同合作将有助于策略执行。例如,可避免工作或要求可直接跨境操作而出现不一致和不必要的重复,进而对多个区域的支付系统参与者造成影响。
附录2:与终端安全相关的批发支付欺诈风险分析
本附录简要介绍了工作组采用的批发支付欺诈风险相关分析方法,并列举了进行初步评估时应考虑的问题。
保障终端安全有赖于不同层级的、互补的安全控制手段共同发挥作用。单一控制目标不能完全防范终端安全相关的欺诈风险,因此有必要设计多种控制目标,全面加强终端保护,以及时发现、应对潜在和实际发生的欺诈,并以适当方式向更大范围的支付网络社区通报并协同应对。鉴于需要全面实施,CPMI提出了下列方法和术语,对批发支付终端安全的四个关键领域的现有安排进行分析和评估:
1)欺诈防范
安全防范措施旨在降低针对支付终端的欺诈企图或实际发生的欺诈概率。此类措施涉及终端硬件、软件、物理访问、逻辑访问、组织和流程方面的问题。此类措施的实施可通过设定安全预期/要求、确认安全要求落实、落实验证、执行机制启用、提供教育培训以及其他有助于防范的工具来提供支持。相应地,在分析和评估终端安全欺诈防范现有安排时,应考虑以下问题:
•由哪一方提供防范工具(如由发送方对超过限额的交易进行控制)?理由是什么,提供对象是谁?
•哪一方(如发送方、接收方、运营方及其对应的监管方)存在安全预期/要求?理由是什么,对象是谁?
•如一方存在预期/要求,它是否要求落实确认(如通过自我评估或第三方评估)?如需要,频率、理由和对象分别是什么?
•如一方存在预期/要求,它是否要评估或确认落实情况?如需要,频率、理由和对象分别是什么?
•如一方要求进行确认或评估,它是否有执行机制?理由和对象是什么?
•由哪一方提供教育和培训?理由和对象是什么?
2)欺诈监测
安全监测措施旨在提高识别已发生的、企图实施的、潜在的终端欺诈的概率和速度。此类措施的实施可通过设定安全预期/要求、确认安全要求落实、落实验证、执行机制启用、提供教育培训以及其他有助于发现欺诈的工具来提供支持。相应地,在分析和评估终端安全欺诈监测的现有安排时,应考虑以下问题:
•哪一方有监测预期/要求?理由是什么,对象是谁?
•由哪一方提供教育培训?理由是什么,提供对象是谁?
•如一方存在预期/要求,它是否要求落实确认(如通过自我评估或第三方评估)?如需要,频率、理由和对象分别是什么?
•如一方存在预期/要求,它是否要评估或确认落实情况?如需要,频率、理由和对象分别是什么?
•如一方要求进行确认或评估,它是否有执行机制?理由和对象是什么?
3)及时应对发送方、接收方或运营方发现的欺诈
响应措施应包括:发现终端始发的可疑或已发生的欺诈时,通知相关各方的程序和措施、判断可疑支付是否实际存在欺诈。响应措施还可以包括对应对能力定期测试、对测试中发现不足的补救措施。相应地,在分析和评估终端安全可疑或实际发生的欺诈的现有响应安排时,应考虑以下问题:
•发现欺诈信息源自发送方终端时,由哪一方要求发送方通知接收方、运营方或执法部门?
•在发送方监测到欺诈信息时,由哪一方要求发送方调查欺诈起源?
•发现欺诈信息源自发送方终端时,由哪一方要求接收方通知发送方、运营方或执法部门?
•在接收方监测到欺诈信息时,由哪一方要求接收方调查欺诈起源?
•发现欺诈信息源自发送方终端时,由哪一方要求运营方通知发送方、接收方或执法部门?
•运营方监测到欺诈信息时,由哪一方要求运营方调查欺诈起源?
4)提醒更大范围的支付网络社区警惕欺诈企图或实际发生的欺诈
适时在更大范围的批发支付网络社区发出预警,提醒与终端安全相关的欺诈企图和实际发生的欺诈风险,需借助风险信息管理功能9、最新通讯录、及时沟通要求建立的成文的程序、向更大范围网络社区发送预警信息的流程。相应地,在分析和评估现有针对与终端安全相关的欺诈企图和实际发生的欺诈风险预警安排时,应考虑以下问题:
•发现欺诈企图或实际欺诈的支付指令/信息源自发送方时,由哪一方要求发送方通知更大范围的网络参与者?
•发现欺诈企图或实际欺诈的支付指令/信息源自发送方时,由哪一方要求接收方通知更大范围的网络参与者?
•发现欺诈企图或实际欺诈的支付指令/信息源自发送方时,由哪一方要求运营方通知更大范围的网络参与者?
•是否已有参与者开发了风险信息管理功能,或是否已有参与者使用行业风险信息提供商的服务,收集和传播有关风险和风险源的相关信息?
注释:
1.详见www.bis.org/press/p160916.htm.
2.需要注意,本报告中的“终端”不仅指位于支付交易链条末端的主体,还包括批发支付系统或报文传输网络中自主发起或代表他人传输和接收支付指令的参与者。
3.终端硬件包括移动设备、手提电脑或台式电脑,以及服务器和网络设备等其他设备。终端硬件可能/可能不由批发支付系统或报文传输网络的运营方直接控制。
4.物理访问是指人员能够物理访问计算机信息系统,任何未经授权的物理访问都可能导致安全风险和欺诈。这类访问包括手动操作、现场接入计算机和网络硬件(如设备和数据中心)或其他硬件。保护措施包括逐级设限的安全区、封闭门和入侵报警系统。
5.逻辑访问是指通过远程访问实现与硬件的交互,任何未经授权的逻辑访问都可能导致安全风险和欺诈。这类访问通常是在电子信息系统中基于软件工具、协议、流程等进行身份识别、验证、授权、问责。保护措施包括身份及访问管理、入侵监测系统、防火墙、日志和恶意软件防护。
6.跨组织调用或部署的用以预防、发现和应对安全风险和欺诈的进程、流程、工具和功能。它们负责管理诸如行为序列(如发起支付后请求批准)、操作人员(如人员职责划分与经常性人员审查规定)、设备(如携带自有设备和USB使用规定)或时间(如需在工作时间内交易)等要素。
7.本报告所称“运营方”和“参与者”,包括运营方或参与者履行各自的运营方或参与者职责时可能涉及的所有第三方服务的提供者。
8.灵活性既包括批发支付系统或报文传输网络建立的安全要求、流程与程序以及其他安排的“实质”,也包括利益相关方参与和协作的“形式”,体现在司法管辖区内的市场结构或合规/监管安排。
9.指有关流程、程序、安排或人员等,负责收集和分发如何规避有害事件影响的信息,这些信息应是相关度高且充分的。
