文/中国光大银行工会副主任、信用卡中心总经理 戴兵

自2006 年成立以来，光大银行信用卡中心始终坚持“以客户为中心”的服务理念，将“安全、实惠、快捷”作为品牌价值主张，以构建五星服务体系为出发点，从制度、组织、系统、流程、机制等五个方面持续加强用卡安全体系建设，为客户提供全方位的用卡安全保障，筑起了一座“运行稳定、控制有效、保障有力、服务优质”的安全堤坝。这就是3000万光大信用卡持卡人安全用卡得以保障的“黑科技”，它也让光大银行信用卡在国内群雄逐鹿的市场竞争洪流中始终傲立潮头，走在信用卡行业前列。

保障用卡安全，思想先行，建章立制

一直以来，光大银行信用卡始终坚持“关注客户，信息安全，规范管理，专业服务”的信息安全方针。在保障客户信息安全制度方面，光大信用卡以法律法规和监管部门的要求为准则，遵循国内外行业标准和光大银行行内规范，建立健全了包括《体系管理手册》、《内控实施细则》、《信息技术管理制度》、《信息安全操作规范》和《信息安全事件应急预案》等一系列涵盖政策层、管理层、操作层的多层级规章制度体系。合计一级规范3 部，二级规范20 部。与此同时，光大信用卡每年对全部制度进行梳理重检，根据监管要求和业务情况随时更新维护，做到“管理者有管理目标，经办人有执行标准，监控者有监测依据”。

为确保规章制度的有效运行，光大信用卡制定了本行员工信息安全合规培训机制，每月组织一次合规培训，使员工从思想上了解合规知识。同时光大信用卡建立了合规评价体系，定期开展多层面的审计检查，确保各项安全规章制度得到严格执行。

建设信息管理团队，管理科学，组织到位

光大银行信用卡中心IT 管理采用集中式、外包与本行自治相结合的方式，所有的IT 系统和预算都集中在IT 部门，由统一的技术服务团队为所有业务部门服务。与此同时，IT驱动与业务驱动相结合，内部按照IT 业务价值链分为需求、开发、测试、运行等板块，并且由IT 部门对提出的系统开发需求进行架构的集中管理，使得部门职责明确、管理有效，实现IT 资源整合和配置的最优化。

对于外包管理，采用多家供应商和服务商分包制度，在信用卡系统的开发维护管理上取得了绝对主导地位，摆脱了过去整体外包模式下由于单一供应商发展状况不佳所带来的业务连续性风险和多客户共享系统带来的敏感信息泄露风险。与此同时，光大信用卡中心有针对性地加强了信息科技外包管理，建立外包商的指标管理体系，严格外包商的引入退出机制，通过细化SLA 考核机制和监督管理，加强对外包商服务安全及质量管理。此外，光大信用卡通过规范数据交互、同步业务监督、系统运行监测、现场及第三方检查等手段，以及督促外包公司建章建制、规范管理等一系列措施，有效降低了外包业务的风险。

开展运营防护工作，技术先进，系统过硬

开展运营防护工作，技术先进，系统过硬信息系统的安全稳定运行是保障用户支付安全的重要基础。光大信用卡多年来致力于不断完善信息系统的软硬件建设，构筑了严密的防护系统。

在基础架构上，光大信用卡系统采用主机平台，应用系统采用VisonPLUS 系统，前置系统采用国际最稳定的NONSTOP 平台。在硬件上采用业界领先的生产技术和冗余设计方案，使其硬件的稳定性、可靠性和宕机时间远远低于其他类型的服务器。

为确保系统安全运行，在预防灾难和重大事故方面，光大信用卡采用了目前国内先进的“主机双活”架构体系，建立了完善的系统灾备系统。“主机双活”同时在北京和上海数据中心各部署同一套生产系统，使它们之间实时同步数据，同时对客户、各渠道提供核心服务，当银行一套生产系统遭遇灾难或者发生重大问题时，可以实时切换到另外一套，有效地保障了服务的持续性。近年来，该核心系统可用率一直保持在99.99％以上，为用户安全交易保驾护航。

针对外部入侵，光大信用卡部署了入侵检测和攻击防护系统，对来自互联网的攻击、入侵行为进行不间断的监测、防护。在与第三方合作方互联网接入渠道上，采取专线传输方式并对客户信息采用多种安全算法进行加密保护；在客户端采用各种安全加固技术，实现防止客户端篡改、录屏、劫持、木马、钓鱼软件等功能，构建手机银行客户端安全防护体系；在应用交易安全上，通过国际标准加密体系3DES 对称算法交易加密、数字证书、动态密码、短信认证、安全控件等多种技术手段，持续完善安全防护技术，提高客户交易安全防护能力。

针对内部信息管控，光大信用卡建立了严格数据访问审批控制流程和权限管理制度，保证数据使用过程遵循最小授权原则、最小扩散原则、审计原则和安全处理原则；同时通过全面部署的防泄密平台对内部人员的办公客户端涉及敏感信息的内容进行实时扫描检查，对U 盘拷贝、外部打印、外发邮件等进行实时监控，有效防止内部人员对相关信息的非法存储和传输。

进行安全管理控制 ，流程严密，动态管理

保障用户支付安全需要一套完善的信息安全管理业务流程。2007 年，光大信用卡经过制度重检、信息资产识别与评估、内部审计与问题整改、管理评审、认证机构现场认证、外审问题整改和验证等一系列工作，正式通过ISO27001 信息安全管理体系国际认证，成功获得ISO27001 信息安全管理体系认证证书，并成为国内首家通过该项认证的信用卡中心。同时，光大信用卡以ISO27001 国际标准为依托建立起一套高标准、高质量的信息安全管理方式，并根据业务的不断发展结合自身的实际情况打造出具有光大信用卡特色的信息安全管理体系。光大信用卡以ISO27001 为依托在管理层面和技术层面区分了信息安全策略、信息安全事件管理、物理与环境安全、访问控制等十余个安全控制领域，在数据管理、软件管理、流程管理等五个方面对数十个控制目标制定了百余项控制措施，依据风险值对已识别风险进行分门别类管理。

随着时代的发展，光大信用卡管理标准不断改进，控制域、目标和风险点也相应调整。为解决流程适用性问题，光大信用卡基于PDCA 理论建立了一套具有自动优化、实时更新功能的策略规程和控制措施，通过循环控制方式持续优化，动态管理，将信息安全的控制措施贯穿于业务的各个环节，为提升产品及服务质量、保障客户信息安全开辟了一条积极高效的道路。

维护客户用卡权益，机制健全，无微不至

保障客户用卡安全，维护客户用卡权益是支付安全体系建设的根本。光大信用卡高度重视消费者安全用卡权益，从安全用卡服务、安全监测预警、安全侵害处置、安全知识普及等四个方面形成了健全的机制，努力提升客户的安全用卡意识，保障客户的知情权和资金安全，为客户提供全方位，体贴入微的安全用卡关怀。

在卡片服务层面，为便于持卡人管理，光大信用卡在官方网站、阳光惠生活手机客户端、7×24 小时全球服务热线等渠道开通了卡片控制功能。客户可随时进行交易金额或笔数的即时生效设置，充分保障用卡安全，避免恶意盗刷而产生的资金风险。同时，光大信用卡为持卡人免费提供所有类型交易的短信提醒功能，不放过账户任何的“风吹草动”。

在交易监测方面，光大信用卡采用国际先进的信用卡交易反欺诈监测（PRM）系统，根据客户的日常交易习惯及交易时间、金额、频率等设置系统监控模型及预警规则，自动对客户交易进行7×24 小时的全年不间断实时风险监控，并根据客户行为特征和风险交易特征，通过数据挖掘手段不断提高交易风险预警拦截的准确性。此外，光大信用卡也积极加强同卡组织、同业及相关主体的交流合作，先后引入VISA的VRM 交易监控系统和银联的URM 交易监控系统，及时提醒客户的异常交易，对PRM 系统形成完美补充。

在安全侵害处置方面，为保障客户用卡安全，光大银行对客户的每笔交易均发送安全用卡提示，提醒客户不要泄露密码、验证码等重要信息。发现银行卡风险信息或收到客户反映信息泄露、电信诈骗导致资金损失的相关维权事件时，光大信用卡会第一时间对客户卡片采取风险控制措施，防止客户损失扩大，同时立即启动快速处理机制，快速进行调查，收集证据，协助客户报案，并向相关方积极申请止付、拒付，最大程度降低客户损失。

在安全知识普及方面，光大信用卡采用多种传播工具，将专业的金融知识和用卡规范，用通俗易懂的语言传递给更多的消费者。光大信用卡举办多次“金融知识进社区”、“金融知识进校园”、“金融知识进机关”等宣传活动，面对面向持卡人普及金融安全知识，拉近金融机构与持卡人的距离，增强维护持卡人金融信息安全的意识和能力，共同提高信用卡支付安全。

2016 年10 月，光大银行信用卡累计发卡量已突破3000万张，年度交易额突破1 万亿元，再一次刷新了历史记录，巩固了光大银行在信用卡市场同业中的领先地位。未来，光大信用卡将始终以“构建安全、便捷、高效的信用卡体验”为目标，以“提升全社会安全用卡意识，助力构建良好金融秩序”为己任，不断打造完善囊括体系、系统、技术、客户等要素在内的全面安全管理系统，为社会良好金融秩序的形成和国家普惠金融战略的实施贡献力量。