网上银行服务质量标准_顺德农村商业银行

银行网点

官方微信

在线客服

更多应用

首页 > 特色活动-金融知识

网上银行服务质量标准

2024-02-21 19:12:41

首页 > 特色活动-金融知识

1 范围

本标准规定了广东顺德农村商业银行股份有限公司（以下简称“顺德农商银行”）向客户提供的网上银行服务时，在服务安全、服务功能、用户体验、服务资源与保障、服务创新、宣传机制等方面应满足的规范要求。

本标准适用于本版本发布之日顺德农商银行提供的网上银行服务。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。

GB/T 35273—2020 信息安全技术个人信息安全规范

GB/T 25000.10—2016 系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型

GB/T 19000—2016 质量管理体系基础和术语GB/T 32315—2015 银行业客户服务中心基本要求JR/T 0068-2020 网上银行系统信息安全通用规范

JR/T 0071.2—2020 金融行业网络安全等级保护实施指引第2部分:基本要求

JR/T 00092—2019 移动金融客户端应用软件安全管理规范

JR/T 0118—2015 金融电子认证规范

GB/T 32319—2015 银行业产品说明书描述规范

JR/T 0171—2020 个人金融信息保护技术规范

ISO 21586—2020 Reference data for financial services - Specification for the description of banking products or services (BPoS)

3 术语与定义

JR/T 0068—2020、GB/T 32315—2015、GB/T 35273—2020、GB/T 19000—2016界定的以及下列术语和

定义适用于本标准。

3.1 网上银行 Internet Banking

商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。

[JR/T 0068—2020，定义3.1]

3.2 个人网上银行 personal internet banking

顺德农商银行通过互联网向客户提供在线业务办理功能和服务的业务受理渠道。

3.3 个人手机银行personal phone banking

顺德农商银行通过手机 APP 应用或者网页向个人客户提供在线业务办理功能和服务的业务受理渠道。

3.4 Web浏览器 Web Browser

向因特网服务器发起请求并显示服务器返回的信息的客户机程序。

[ISO/IEC 18036:2003，定义4.5]

3.5 APP

基于软件的提供部分或全部服务的机制。[ISO 17427-1:2018，定义3.3]

3.6 个人客户 customer

在我行购买、使用金融产品或接受我行提供的金融服务的自然人。

3.7 个人信息 personal information

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

[GB/T 35273-2020，定义3.1]

3.8 个人敏感信息 personal sensitive information

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。

[GB/T 35273-2020，定义3.2]

3.9 个人信息主体personal data subject

个人信息所标识的自然人。[GB/T 35273-2020，定义3.3]

3.10 产品 product

在组织和顾客之间未发生任何交易的情况下, 组织能够产生的输出。

注1：在供方和顾客之间未发生任何必要交易的情况下, 可以实现产品的生产。但是，当产品交付给顾客时, 通常包含服务因素。

注2：通常, 产品的主要要素是有形的。

注3：硬件是有形的，其量具有计数的特性（如: 轮胎）。流程性材料是有形的，其量具有连续的特性（如：燃料和软饮料）。硬件和流程性材料经常被称为货物。软件由信息组成，无论采用何种介质传递（如：计算机程序、移动电话应用程序、操作手册、字典、音乐作品版权、驾驶执照）。

[GB/T 19000-2016，定义3.7.6]

注4：在本标准中，仅考虑通过网上银行的服务向顾客提供产品和支撑产品运作的情况。

3.11 服务 service

至少有一项活动必需在组织和顾客之间进行的组织的输出。

注1：通常，服务的主要要素是无形的。

注2：通常，服务包含与顾客在接触面的活动，除了确定顾客的要求以提供服务外，可能还包括与顾客建立持续的关系，如：银行、会计师事务所，或公共组织（如：学校或医院）等。

注3：服务的提供可能涉及，例如:

——在顾客提供的有形产品（如需要维修的汽车）上所完成的活动。

——在顾客提供的无形产品（如为准备纳税申报单所需的损益表）上所完成的活动。

——无形产品的交付[如知识传授方面的信息提供。

——为顾客创造氛围（如在宾馆和饭店）。

注4：通常，服务由顾客体验。

[GB/T 19000-2016，定义3.7.7]

注5：本标准所提及的服务，即为此意义上的金融服务。

3.12 质量 quality

客体的一组固有特性满足要求的程度。

注1：术语“质量”可使用形容词来修饰, 如: 差、好或优秀。注2：“固有”（其对应的是“赋予”）是指存在于客体中。[GB/T 19000-2016，定义3.6.2]

3.13 客服代表 customer service representative；CSR

座席 agent，客户服务中心前台一线工作人员。[GB/T 32315-2015，定义2.2]

3.14 数字证书digital certificate

用于存放用户身份标识，并对用户发送的网上银行或手机银行交易信息进行数字签名认证的电子文件，体现为USBKey数字证书和手机银行安全证书。

3.15 名词及缩写

USB Key

一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。

PIN 个人识别密码（Personal Identification Number）

4 网上银行系统

4.1 概述

网上银行服务通过与直接用户进行交互提供，交互方式可包括以下内容：

a) 基于 web 浏览器访问网上银行；

b) 基于 APP 访问网上银行；

c) 基于网络社交平台上的定制功能访问网上银行；

d) 基于开放 API 访问网上银行。

e) 基于 PC 版客户端访问网上银行。

4.2 个人网上银行

对个人网络银行用户按零级、一级、二级、三级、四级、五级进行等级划分，各等级的定义、开通方式不同，每级用户可浏览及使用的功能也不同。

a) 个人网上银行金融功能

包括账户管理、转账还款、信用卡服务、投资理财服务、个人贷款、跨境金融及数字人民币等服务，同时涵盖安全设置及支付协议的管理服务。

b) 个人网上银行非金融功能

包括生活缴费、充值等支付能力、还有完整的在售产品清单、服务网点查询和在线客服的延伸服务。

4.3 个人手机银行

服务对象为在我行开立账户，并下载安装我行手机银行客户端的个人客户。按照用户手机或移动终端操作系统分为IOS版和Android版。手机银行的服务内容分为非登录区功能和登录区功能。

4.1.1 非登录区功能

a) 无需登录，只需下载我行手机银行客户端即可使用此部分功能。

b) 主要功能包括：金融产品信息与资讯浏览功能；注册功能；网点地图查询等辅助网点服务的功能；常见问题、在线客服等客户体验相关功能；本地优惠信息与热门活动查询等生活服务，以及切换无障碍版本服务。

4.1.2 登录区功能

a) 已注册网上银行的用户即可登录我行手机银行，客户无需亲临柜面即可在线进行注册成为一到四级用户。成功注册后通过完成实名认证绑定本行卡的用户，可办理的功能包括：账户余额查询、网点查询、预约及预填单、金融资讯、理财工具等非动账功能；以及理财产品购买、本人名下行内加挂账户之间转账的动账功能等。五级用户开通对外转账权限需亲临柜面。

b) 个人手机银行主要功能包括：查询转账、收款缴费等账务管理功能；信用卡、基金产品、理财产品、保险产品、贷款、跨境金融、私人银行及数字人民币等功能；网上支付管理、安全中心等账户安全风控设置，以及无卡取现、智能语音等金融科技创新服务。

5 服务安全性

5.1 基本安全要求

5.1.1 客户端安全

客户端应满足以下安全要求：

a) 客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK 存在的安全风险，应对开发框架和技术路线进行严格的论证，必要时应进行选型安全测试。

b) 客户端程序应具有明确的应用标识符和版本序号，设计合理的更新接口，当某一版本被证明存在重大安全隐患时，提示并强制要求用户更新客户端。

c) 客户端程序的每次更新、升级，应进行原代码审计、安全活动审查和严格归档，以保证客户端程序不存在隐藏的非法功能和后门。

d) 客户端程序应对关键界面采用反录屏等技术，防范非法程序通过拷屏等方式获取支付敏感信息。

e) 客户端程序应提供客户输入支付敏感信息的即时防护功能，并对内存中的支付敏感信息进行保护，例如，采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。

f) 客户端程序应采取措施对密码复杂度进行校验，保证用户设置的密码达到一定的强度。

g) 客户端程序密码框应禁止明文显示密码，应使用同一特殊字符（例如,*或﹒）代替。

[JR/T 0068-2020，安全技术规范 6.2]

h) 客户端应采用数字证书或电子签名等认证方式保证验证指令可靠性。

i) 客户端程序和控件应具备基本的抗逆向和反编译的安全措施。

5.1.2 网络通信安全

网络通信应满足以下安全要求：

a) 应在客户端程序与服务器之间建立安全的信息传输通道，采用的安全协议应及时更新至安全稳定版本，取消对存在重大安全隐患版本协议的支持。

b) 应采用每次交易会话采取独立不同密钥的加密方式对业务数据进行机密处理，防止业务数据被窃取或者篡改。

[JR/T 0068-2020，安全技术规范 6.2]

c) 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

d) 应保证接入网络的核心网络的带宽满足业务高峰期需要。[JR/T 0071.2-2020，安全通信网络 8.1.2]

e) 应对网络实施控制措施，以保证网络上信息的安全性，防止未授权访问的发生。采取的控制措施应以下措施：

1）对网络实施符合业务要求的访问控制措施。

2）采取必要的安全设备对网络的流量、病毒等进行控制。

3）密切监视网络的性能、安全与日志，及时发现隐患及问题。

5.1.3 服务器端安全

服务器端应满足以下安全要求：

a) 跨机构联网系统服务器应与本行业务主机系统隔离，网络设备访问权限应坚持最小安全访问原则，并对网络设备进行日常监控和检查。

b) 对服务器应通过人工检查方式进行病毒检查。检查的周期间隔不得长于 30 日。

c) 服务器应建立正式的备份策略，且按照指定的备份策略进行备份。

d) 在所有服务器的操作系统中，所有安装的软件及工具均应进行控制，严禁任何人私自安装非法软件，非工作需要严禁安装以下类型的工具：

1）非工作需要严禁安装网络系统管理与监控工具；

2）非工作需要严禁安装漏洞扫描、渗透测试等工具；

3）非工作需要严禁安装网络嗅探、口令破解等工具。

5.1.4 数据安全

数据获取、传输、存储、展示、销毁环节应满足以下要求：

a) 客户端应用软件应保证内存中不应存在完整的银行卡密码和网络支付交易密码明文。

b) 客户端应用软件的临时文件中不应出现支付敏感信息，临时文件包括但不限于 Cookies、本地临时文件等。

c) 客户端应用软件应实现身份认证过程的防截屏、录屏，如：输入手势验证码、登录口令等。

d) 客户端应用软件在授权范围内，不应访问非业务必需的文件和数据。

e) 应在客户端应用软件与服务器之间建立安全的信息传输通道。

f) 客户端应用软件不应以任何形式存储用户的支付敏感信息与金融管业务查询口令。

g) 在满足法律、管理规定的前提下，客户端应用软件应仅保存业务必需的个人金融信息，并限制数据存储量。

h) 客户端应用软件应在敏感数据使用完毕后，对其立即进行清除。

i) 客户端应用软件卸载完成后，文件系统中不应残留任何个人金融信息。[JR/T 00092-2019，数据安全 5.5]

5.2 安全管理

5.2.1 安全管理机构

安全管理机构应满足以下要求：

a) 应建立与金融机构发展战略相适应的网上银行信息安全保障及风险管理组织架构，建立由董事会、高级管理层负责、相关各部门负责人及内部专家参与的网上银行信息安全领导协调机制。明确各个部门职责，对其所负责的安全保障及风险管理内容进行管理，明确各部门章程并详细定义各部门人员配置。

b) 应设立网上银行信息安全保障及风险管理工作的主要负责部门，由该部门组织制定、发布相关制度、规范，协调处置网上银行信息安全管理工作中的关键事项，组织跨部门应急演练等工作，应合理设立部门内部岗位，明确人员职责，明确该部门和其他各相关部门的职责范围、工作流程和沟通协调机制。

[JR/T 0068-2020，安全管理规范 6.3]

c) 应设置网上银行产品设计，系统研发、测试、集成、运行维护、管理，内部审计等部门或团队。

d) 应明确业务、技术、审计等各部门网上银行信息安全保障及风险管理职责。

5.2.2 安全策略

安全策略应包括以下内容：

a) 应制定网上银行系统使用的网络设备、主机设备、安全设备的配置和使用的安全策略。

b) 应建立网上银行信息安全保障以及信息安全风险管理框架、策略及流程。

c) 应定期开展覆盖风险识别及评价、风险监测及控制、审计和评估等网上银行信息安全风险管理工作。

5.2.3 管理制度

管理制度应满足以下要求：

a) 应建立涵盖网上银行系统需求分析、设计、编码、测试等研发阶段的安全制度规范。

b) 应建立涵盖网上银行运行维护以及应急处置等过程的制度规范。

c) 应指定或授权专门的部门或人员负责安全管理制度的制订。

d) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。[JR/T 0071.2-2020，安全管理制度 8.1.6]

5.2.4 人员安全管理

人员安全管理应满足以下要求：

a) 应具有员工岗位调动或离职的安全管理制度，应取回各种工作证件、钥匙等以及金融机构提供的软硬件设备，避免系统账号、设备配置信息、技术资料及相关敏感信息等泄露。

b) 应建立网上银行相关的员工培训机制，制定明确的培训计划，对网上银行相关管理人员、业务操作人员、开发设计人员、运维人员、风险管理人员、审计人员等进行安全意识教育培训以及岗位技能在职专业培训。

[JR/T 0068-2020，安全管理规范 6.3]

c) 应建立外来人员管理制度，禁止外来人员操作网上银行在生产环境中的系统、设备、数据，在外来人员参观访问网上银行相关的区域或内容时，应提出书面申请并由专人陪同或监督，并登记备案，必要时签署保密协议。

5.2.5 系统运维管理

系统运维管理应满足以下要求：

a) 应具有安全策略规定允许或者拒绝便携式和移动式设备的网络接入。

b) 应定期对系统进行漏洞扫描，及时修补发现的系统安全漏洞。

c) 对于所有用于加密客户数据的密钥，应制订并实施全面的密钥管理流程。

5.3 业务运作安全

5.3.1 业务申请及开通

网上银行业务申请及开通应满足以下要求：

a) 应充分考虑并采取有效措施防范网上银行资金类交易开通的安全风险。

b) 网上银行资金类交易的开通必须由客户本人到柜台申请，申请时，应对其进行风险提示，验证客户的有效身份，并要求客户书面确认。

c) 客户通过已采取电子签名验证的网上银行渠道申请资金类交易的，视同客户本人主动申请并书面确认。

[JR/T 0068-2020，业务运营安全规范 6.4]

5.3.2 业务安全交易机制

业务安全交易机制应包括以下内容：

a) 应按照审慎原则，采取有效、可靠的身份认证手段，保证资金类交易安全。

b) 应采取交易验证强度与交易额度相匹配的技术措施，提高交易的安全性。高风险业务应组合选用下列三类要素对交易进行验证：一是客户知悉的要素，例如，静态密码等；二是仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；三是客户本人生物特征要素，例如，指纹、虹膜等。应确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

以下资金类交易可不受上述限制：同一客户账户之间转账并且金融机构能有效识别转入、转出方为同一客户账户的。

c) 应充分考虑、深入分析交易全流程的安全隐患，通过交易确认、交易提醒、限额设定等控制机制，有效防范交易风险。

d) 应根据自身业务特点，建立完善的网上银行异常交易监控体系，识别并及时处理异常交易，交易监测范围至少包括客户签约、登录、查询、资金类交易以及与交易相关的行为特征、客户终端信息，应保证监控信息的安全性。

[JR/T 0068-2020，业务运营安全规范 6.4]

5.4 客户信息保护

客户信息应按照GB/T 31186给出的模型有序组织。客户信息保护应参照GB/T 35273—2020、JR/T 0171—2020的相关要求，包括但不限于：

a) 隐私政策链接位置应突出、无遮挡，文本文字显示方式（字号、颜色、行间距）应易于用户阅读。

b) 应明确标识发布、生效或更新日期，并在隐私政策更新时通过弹出提示等方式及时告知用户。

c) 逐项列举 App 各业务功能收集个人信息的情况，并对个人敏感信息类型进行显著标识（如字体加粗、标星号、下划线、斜体、颜色）。

d) 应对个人信息存放地域（国内、国外）、存储期限（法律规定范围内最短期限或明确的期限）、超期处理方式进行明确说明，将涉及出境的个人信息类型逐项列出并显著标识。

e) 对于涉及将个人信息用于用户画像、个性化展示等应用场景的，应说明可能对用户产生的影响。

f) 对于涉及对外共享、转让、公开披露个人信息的，应明确其目的、涉及的个人信息类型、接收方类型或身份。

g) 对于使用嵌入第三方代码、插件（如 SDK）收集个人信息的，应说明第三方代码、插件的类型或名称，以及收集个人信息的目的、类型、方式。

h) 应对 App 运营者基本情况进行描述，至少包括公司名称、注册地址、联系方式。

i) 应对 App 在个人信息保护方面采取的措施和具备的能力进行说明，如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计。

j) 应明确说明个人信息的查询、更正、删除、用户账户注销、撤回已同意授权的操作方法，并提供电子邮件、电话、在线客服等投诉渠道。

k) 应避免出现免除自身责任、加重用户责任、排除用户主要权利等不合理条款。

[GB/T 35273-2020，JR/T 0171—2020]

5.5 服务连续在线可信性

网上银行系统应满足以下要求：

a) 网上银行系统服务时间为 7x24 小时不间断运行。

b) 配备 7x24 小时网上银行系统运维应急人员。

c) 网上银行系统可用率≥99.99%。

d) 网上银行系统数据丢失时间（RPO）=0。

e) 网上银行系统恢复时间（RTO）≤30 分钟。

f) 网上银行系统及应用可用性监控覆盖率≥99%。

5.6 增强身份认证

应支持对交易操作环境的识别，如：客户端类型、设备标识、客户端系统版本等。支持增强身份认证技术，包括：USB Key数字证书、人脸联网核查、手机盾（手机数字证书）、电话认证、短信验证码等。根据场景和客户组合可匹配不同认证手段、支持多因素认证、对设备标识的识别、对更换设备登录做加强身份校验。

个人手机银行常用设备的验证方式应添加人体活体检测或ukey证书的认证。手机银行设备应有常用设备和非常用设备的区分，只对实名用户有效。每位客户最多只能设置三台常用设备。如果客户想要把第四台设备设置为常用设备，系统应根据规则，把上一次登录时间最早的设备踢出常用设备列表。常用设备的有效期为六个月，按加入常用设备日开始算180天，超过就撤销常用设备的标识。

5.6.1 USB Key 数字证书

USB Key应满足以下要求：

a) 应采取有效措施防范 USB Key 被远程挟持，例如通过可靠的第二通信渠道要求客户确认交易信息等。

b) USB Key 使用的密码算法应经过国家主管部门认定。

c) 应设计安全机制保证 USB Key 驱动的安全，防范被篡改或替换。

d) USB Key 应能够防远程挟持，具有屏幕显示或语音提示以及按键确认等确认功能，可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入、确认和保护。

e) USB Key 应能够自动识别待签名数据的格式，识别后在屏幕上显示或语音提示交易数据，保证屏幕显示或语音提示的内容与 USB Key 签名的数据一致。

f) 应保证 PIN 码和密钥的安全。

1） PIN 码应具有复杂度要求。

2）采用安全的方式存储和访问 PIN 码、密钥等敏感信息。

3） PIN 码和密钥（除公钥外）不能以任何形式输出。

4）经客户端输入进行验证的 PIN 码在其传输到 USB Key 的过程中，应加密传输，并保证在传输过程中能够防范重放攻击。

5） PIN 码连续输错次数达到错误次数上限（不超过 10 次），USB Key 应锁定。[JR/T 0068-2020，专用安全机制 6.2.2]

5.6.2 手机盾（手机数字证书）

手机盾（手机数字证书）应满足以下要求：

a) 手机盾签名者证书的密钥用法应包含“数字签名”。

b) 手机盾验证签名者证书的有效性。

c) 手机盾在金融信息系统中应使用标准的签名结构，签名结果根据应用的不同可使用不同的格式，包括但不限于GB/T 25064-2010 中定义的签名格式、CMS 定义的签名格式和GB/T 25061-2010 中定义的 XML 签名格式。

d) 手机盾证书的签名算法是国家密码管理部门批准使用的算法。[JR/T 0118-2015，电子认证技术实现 6.3]

5.6.3 电话认证

电话认证应满足以下要求：

a) 电话认证语音应拨号至客户在银行系统预留的手机号码。

b) 电话语音播报信息应包含交易指令的交易类型、交易金额等信息。

5.6.4 短信验证码

短信验证码应满足以下要求：

a) 短信验证码应发送至客户在银行系统预留的手机号码。

b) 短信验证码有效期应具有时间限制（不超过 5 分钟），超过时间验证码失效。

c) 短信验证码有效期应结合所验证交易的风险程度进行设定，对风险程度较高的交易验证应设定相对较短的短信验证码有效期。

5.6.5 生物特征

通过指纹、脸部识别等生物特征进行身份认证应满足以下要求：

a) 应采取适当的措施阻止已知的伪造攻击手段，降低伪造身份通过确认或识别的可能性。

b) 应确定合理的生物特征数据采集、传输、处理、存储的方式，采取适当的措施避免生物特征数据或相关信息被非法泄露或非法使用。

[JR/T 0068-2020，专用安全机制 6.2.2]

5.6.6 联网核查

通过上送客户姓名和身份证号码，实时连接人行/公安等联网核查系统，返回验证结果。

5.7 风险控制

网上银行应满足以下风险控制要求：

a) 应制定分级标准，针对不同的风险规定相应的可能性等级列表，评定风险等级，对于已发现的风险应尽快修补或制订规避措施。

b) 应建立网上银行信息安全风险的持续监测机制，建立风险预警、报告、响应和处理机制，明确风险报告的内容、流程、主客体以及频率，建立符合金融机构实际状况的关键风险指标体系，实现信息安全风险监测的自动化，保证高级管理层和相关部门及时获取网上银行信息安全风险变化，验证现有控制措施的有效性。

c) 应根据网上银行信息安全风险评估发现的不同等级风险，以及风险监测获取的风险变化情况，制定风险控制措施、应急处置及恢复方案以及相关的演练计划。

[JR/T 0068-2020，安全管理规范 6.3]

d) 身份认证方式的风险控制措施应满足以下要求：

1）应对设备标识进行识别，对更换设备登录作风险提示。

2）应设置风险交易黑名单机制，针对黑名单用户通过网上银行进行的交易及时进行阻断。

3）应设置风险预警系统，建立风险监测模型，实时监测网上银行风险交易，及时预警。

4）针对网上银行系统及各业务环节定期开展网上银行风险检查。

e) 定期对网上银行系统进行系统安全性评估，对于发现的风险问题及时处置及加固。

6 客户体验

6.1 客服代表行为规范

6.1.1 职业守则

客服代表应遵从以下职业守则：

a) 诚实守信：树立诚信理念，坚持信誉至上。

b) 遵纪守法：严格遵守各项法律法规以及规章制度。

c) 勤业尽职：热爱岗位，以高度的热情和责任心投入本职工作。

d) 专业胜任：应掌握相应业务知识，精通专业技能，在时间中不断学习新知识，提高业务水平。

e) 严格守密：应具备保密意识，保护商业秘密与客户隐私。

f) 宽容有礼：在服务客户过程中，时刻保持良好的观念和心态，礼貌热情地为客户提供服务。

[GB/T 32315-2015，职业守则 6.3.1]

6.1.2 服务意识

客服代表的服务意识应满足以下要求：

a) 应具有良好的心理素质和为客户服务的观念，保持积极的服务态度。

b) 接通电话时客服代表应主动倾听；不随意打断客户，保持与客户之间的良好互动。不应表现出不耐烦、推托之辞等现象。

c) 接通电话时客服代表应主动服务，有较强的语言表达技巧和沟通能力。能使用恰当语言总结性阐述客户问题，尽快切入正题，并能注意适当控制通话时间。

d) 接通电话时客服代表应服务意识强、责任心强。积极主动的为客户解答问题，主动提供相关信息或帮助。

[GB/T 32315-2015，服务意识 6.3.2]

6.1.3 用语礼仪

客服代表的用语礼仪应满足以下要求：

a) 客服代表应使用标准的开场白和结束语。

b) 客服代表应养成良好的通话习惯，保持恰当的语速和音量，通话时始终保持微笑、和蔼。

c) 服务用语应礼貌、规范。

d) 客服代表不得使用服务禁语。严禁与客户争吵、辱骂客户，主动或借故挂断客户电话等。

[GB/T 32315-2015，用语礼仪 6.3.3]

6.1.4 业务能力

客服代表的业务能力应满足以下要求：

a) 客服代表应准确快速判断客户问题原因，了解客户实际需求；根据客户类别和业务种类，及时解决客户问题。

b) 客服代表应熟练准确、问答完整，处理有效，正面回答，相关业务知识丰富。

c) 客服代表应对于超出解答能力范围的问题，与客户重复确认，主动记录客户问题，及时处理客户意见，妥善处理客户投诉，并在必要时跟进。

[GB/T 32315-2015，业务能力 6.3.4]

6.2 客户服务响应

客户服务响应时间应满足以下要求：

a) 人工客服服务时间为 7x24 小时。

b) 网上银行 APP 闪退率（一天中发生闪退的设备数/总体活跃设备数）≤0.07%。

6.3 服务功能

6.3.1 个人账户管理

6.3.1.1 账户信息查询

网上银行应支持个人银行结算账户的账户余额查询、交易明细查询，亲子户信息查询等账户信息查询功能。

6.3.1.2 账户管理

网上银行应支持网上银行可操作账户的增加、删除，账户密码修改，账户临时挂失，借记卡换卡申请，电子二类户在线开户，亲子户限额管理等账户管理功能。

6.3.2 个人结算

6.3.2.1 转账汇款

网上银行应支持转账伙伴管理、转账记录查询、向多人转账功能，根据交易的到账时间，提供实时、2小时后、次日三种转账汇款方式选择。

6.3.2.2 缴费

网上银行应支持缴费功能，缴费项目包括：电话费、电费、水费、燃气费、有线电视、维修基金、党费、非税收入、教育费、慈善捐款等。

6.3.2.3 支付

网上银行应支持基于中国银联二维码标准的线上支付功能。

6.3.3 个人存款

6.3.3.1 通知存款

网上银行应支持通知存款功能，通知存款类型包括：一天通知存款、七天通知存款、周存易。

6.3.3.2 定期存款

网上银行应支持定期存款功能，根据定期存款存期，提供三个月、六个月、一年、两年、三年、五年选择。

6.3.3.3 大额定期存单

网上银行应支持大额定期存单功能。

6.3.4 个人贷款

6.3.4.1 额度申请

网上银行应支持个人贷款业务线上申请，为客户提供一站式个人消费与经营的融资服务。

6.3.4.2 用款申请

网上银行应支持个人贷款业务纯线上放款、已签完合同及通过放款审核签批的随时贷的贷款支用申请等。

6.3.4.3 提前还款

网上银行应支持个人贷款业务的还款及提前还款功能。

6.3.4.4 还款计划查询

网上银行应支持个人贷款业务线上查询还款计划。

6.3.4.5 贷后资料上传

网上银行应支持个人贷款业务线上上传贷款用途资料。

6.3.4.6 贷款进度查询

网上银行应支持客户自主线上查询贷款申请的进度。

6.3.5 个人投资理财

6.3.5.1 理财产品

网上银行应支持理财产品查询、购买、撤销等功能，理财产品类型包括：开放型、周期型、封闭型。

6.3.5.2 基金

网上银行应支持基金产品查询、购买、撤销、赎回等功能。

6.3.5.3 保险

网上银行应支持保险产品查询、购买、撤销等功能。

6.3.5.4 证券

网上银行应支持银转证、证转银的证券功能。

6.3.5.5 债券

网上银行应支持柜台债券查询、买入、卖出、账户管理等功能。

6.3.6 外汇业务

网上银行应支持购汇、结汇、查询等外汇业务功能。

6.3.7 信用卡

6.3.7.1 卡片申请启用

网上银行应支持信用卡卡片申请、开卡进度查询、激活申请功能。

6.3.7.2 卡片使用

网上银行应支持信用卡预借现金功能。

6.3.7.3 还款服务

网上银行应支持信用卡还款功能。

6.3.7.4 卡片管理

网上银行应支持信用卡账单查询、固定额度及临时额度调整、自动还款设置、查询密码重置等卡片管理功能。

6.3.7.5 信用卡分期服务

网上银行应支持信用卡分期申请、分期提前归还、分期撤销、分期查询等信用卡业务功能。

6.3.8 个人客户服务

6.3.8.1 预约服务

网上银行应支持网点预约、业务预填单、预约取现等预约类功能。

6.3.8.2 信息查询服务

网上银行应支持存款利率、贷款利率、外汇兑换利率查询等信息查询功能。

6.4 服务性能

6.4.1 易用性

网上银行应满足以下易用性要求：提供适宜视障、听障人士的服务，提供适老化服务，且切换入口清晰。

6.4.2 易学性

网上银行应满足以下易学性要求：

a) 信息应易识别，信息可视化。

b) 应提供充分、清晰的操作指引提示信息。

c) 所使用的词语应保持前后一致性。

d) 操作界面的交互形式应符合用户习惯。

6.4.3 差错防御性

应具备以下差错防御措施：

a) 应提供必要的控制校验，做到错误预防，设置防错交互方式。

b) 提供有效建议，及时校验，提供二次确认，操作可撤销。

c) 出错后，应具有有效的纠错机制（保存数据、有效提示等），帮助客户解决问题等。

6.4.4 便捷性

应满足以下便捷性要求：

a) 交易功能应易于查找，交易名称能清晰表示其作用，提供交易搜索功能。

b) 交易流程应设计简洁，并具有清晰的指引信息。

c) 交易信息反馈友好，交易结果或错误信息易于理解。

6.4.5 界面美观性

网上银行界面宜采用统一的交互、视觉规范，有统一的操作原则，网上银行界面美观性应具备以下基本要求：

a) 应符合相关设计规范，设计风格协调统一，信息表达简洁和美观；使用标准配色、合理运用色彩含义、色彩对比。

b) 提示文案应环境贴切，与现实匹配；应使用标准字体、字号；使用日常、自然的语言与用户进行交流。

c) 应融入本地化、情感化设计与用户进行情感交流，如有根据顺德本地特点制作图案和界面，作为与客户沟通纽带。

6.4.5.1 信息披露

网上银行提供金融产品销售或服务时，应当依据金融产品或者服务的特性，及时、真实、准确、全面地进行信息披露。

信息披露时应当使用有利于金融消费者接收、理解的方式。对利率、费用、收益及风险等与金融消费者切身利益相关的重要信息，应当根据金融产品或者服务的复杂程度及风险等级，对其中关键的专业术语进行解释说明，并以适当方式供金融消费者确认其已接收完整信息。披露内容包括但不限于：

a) 金融消费者对该金融产品或者服务的权利和义务，订立、变更、中止和解除合同的方式及限制。

b) 对该金融产品或者服务的权利、义务及法律责任。

c) 贷款产品的年化利率。

d) 金融消费者应当负担的费用及违约金，包括金额的确定方式，交易时间和交易方式。

e) 因金融产品或者服务产生纠纷的处理及投诉途径。

f) 对该金融产品或者服务所执行的强制性标准、推荐性标准、团体标准或者企业标准的编号和名称。

g) 在金融产品说明书或者服务协议中，实际承担合同义务的经营主体完整的中文名称。

h) 其他可能影响金融消费者决策的信息。

[GB/T 32319、ISO 21586]

6.4.5.2 个性化服务

应提供常用交易自定义、界面主题自定义等个性化设置服务。

6.4.6 易访问性

应满足以下易访问性要求：

a) 网上银行应支持 PC 电脑终端、手机设备终端的访问渠道；

b) 应提供网上银行官方门户网站，并提供安全的程序安装途径。

c) 应提供多样的登录方式，提高登录便捷性，如手势密码登录、指纹登录等。

d) APP 闪退率（一天中发生闪退的设备数/总体活跃设备数）≤0.2%。

e) 系统交互响应时间不超过 1 秒。

7 创新及前瞻性

7.1 服务创新性

7.1.1 安全服务

创新服务安全保障措施应包括：

a) 应支持不同安全级别的安全认证方式灵活选择。

b) 应支持客户自助定制账户安全管理设置。

c) 应搭建风险预警平台，建立风险识别模型，对可疑交易进行预警。

d) 网上银行的贷款服务，应该明确标识贷款年化利率。

7.1.2 线上线下一体化服务

应提供以下线上线下一体化服务：

a) 应支持手机银行扫码取款、刷脸取款等全新的、无需插卡的 ATM 快捷取款方式。

b) 应支持不同业务场景的线上化、自动化、电子化办理流程。

7.1.3 特色开放与互联

应支持银企互联等个性化互联服务，探索开放API服务，构建金融生态云服务。

7.1.4 一站式移动开发平台mPaas，助力业务敏捷迭代。

进件可采用移动开发平台mPaas，mPaas为移动开发、测试、运营及运维提供云到端的一站式解决方案，能有效降低技术门槛、减少研发成本、提升开发效率，快速搭建稳定高质量的移动App。

7.2 技术前瞻性

7.2.1 生物识别技术

应支持人脸识别功能，人脸识别具备活体检测能力，人脸客户端采集具备人脸攻击检测能力，服务端需要部署人脸识别防hack服务。同时基本个人信息保护，需要对于人脸图像、特征值需要在传输过程及存储时进行加密保护。（注：如果人脸是作为业务凭证的信息则不需要加密保存）。

7.2.2 人工智能

应持续探索利用人工智能技术，为客户提供优化建议，产品推荐，推动业务发展。

7.2.3 大数据

应持续探索以下大数据技术应用：

a) 应支持使用大数据等安全防范手段，在客户身份识别、行为识别、资信等级识别、网络环境识别等方面进行安全风险综合判断。

b) 应支持使用大数据对用户分层及用户画像，分层及画像应用在对客个性化服务，安全感校验及营销服务上。

c) 应支持基于大数据提供线上贷款服务，如动态核算授信额度、自动审批、贷后风险预警等。

7.2.4 云计算

应持续探索以下云计算技术应用：

a) 应使用基础设施云提高系统硬件虚拟化程度。

b) 应使用应用平台云提高系统的敏捷性、可伸缩性。

7.2.5 双活接入

网上银行服务应支持异地/同城双活接入的高可用架构，提高系统灾备能力。

8 实施保障

8.1 组织保障

应组建专门的网上银行协调决策机构、专门的组织管理部门和业务、技术后台组织架构，明确各部门职责，建立管理机制。网上银行决策协调机构与职能管理部门应保证运转顺畅，保障有力。

8.2 管理制度

8.2.1 软件过程管理体系

根据CMMI3级、ITIL、ISO27000等研发管理模型构建网上银行的研发管理体系。制定包括涵盖需求、开发、测试相关管理办法、网上银行系统变更发布操作规程及网上银行用户使用操作手册等相关制度和规范性文件，涵盖业务准入、产品规划、风险管理、生产研发、测试投产、应急响应等内容；此外，应向网上银行客户提供专属的服务协议、交易规则、安全教育等保障。

8.2.2 信息技术研发模式

科技研发模式分为瀑布开发模式及敏捷研发模式。

a) 瀑布开发模式过程划分为立项、定义、实现、系统测试、验收测试、上线投产、结项等阶段，每个阶段都会设立相应的质量控制点来确保软件产品质量，同时在项目生命周期建立了需求管理、项目管理、版本管理、变更管理、质量保证等管理过程对项目过程进行管控，提高项目的开发质量，确保系统的稳定运行。

b) 敏捷研发模式是围绕产品端到端的价值交付，在保证质量的前提下，通过精益需求工作坊对需求价值进行分析和优先级决策，并以数据验证实际成效。在产品开发过程中，结合自动化工具流程进行持续集成、自动化测试、静态代码扫描、网络安全扫描等工具手段进行质量保障。通过可视化进行开发过程管理，通过看板/协同工作平台全程可视化风险与问题，及时跟踪风险问题的解决情况。

8.2.3 研发质量管控

a) 项目质量管理的目的是通过分析质量要素和质量目标，制定合适的质量管理计划，整合评审、测试、过程检查和缺陷跟踪等手段，在项目开发过程中保证高质量。项目规划阶段必须按用户关心程度和对系统整体质量的影响程度确定系统质量要素，提出质量保证措施，制订项目质量管理计划。

b) 项目应配置独立的质量管理员，承担相应的质量管理责任。项目质量管理不仅涉及到项目经理和质量管理员，项目中所有人都应参与质量活动。

c) 项目实施过程中，质量管理员组织评审和审核项目产出及其活动，以确保项目遵守既定的规程和标准，并定期撰写检查报告，向项目成员和上级汇报项目质量情况。

8.2.3.1 开发阶段

a) 项目的开发阶段应严格遵守软件需求、开发等项目管理的制度要求。

b) 在项目开发过程中应引入持续交付流水线，推动落地持续集成、自动化测试、静态代码扫描、安全扫描等 devops 实践提升代码质量。

c) 在开发阶段，应对设计进行评审，按照代码检视检查单进行人工代码检视，编写联调记录。

d) 针对不同的开发语言和平台，应制定不同的编码规范。

e) 在架构管理方面，对于高风险的重要接口和数据的变更，应规范统一的评审和管控流程。

8.2.3.2 测试阶段

a) 项目的测试阶段应严格遵守测试使用介质管理、测试管理等相应的项目管理办法及操作规范。

b) 测试人员在项目测试前需明确测试内容及环境说明、测试程序及标记名称等，提交项目测试计划和测试案例。

c) 测试人员在测试过程中对测试介质、测试文档做出严格管理，须对测试阶段发现的问题及处理结果详细记录，待测试完成后提交测试分析报告。

d) 涉及到新系统建设、系统改造、基础建设类的项目须做出包括性能、压力、健壮性等测试在内的非功能测试，并提交测试报告。

e) 项目主办部门应联同总行合规与风险管理部门模拟系统的实际运行条件，对系统进行验收测试，确认系统满足要求，并提交用户验收测试报告。若涉及多个业务部门，项目主办部门应通知协办业务部门参与验收测试。

8.2.3.3 上线阶段

a) 项目的上线环节应严格遵守信息系统变更发布操作规程、系统变更发布管理等操作规范。

b) 项目在提交上线申请前必须通过项目主办部门、合规与风险管理部门的验收测试。c) 上线前须制定好上线计划和上线方案，明确业务影响范围和风险点，并制定风险应对措施。项目上线步骤必须在预生效环境进行充分验证。

d) 项目主办部门负责在上线前组织业务验证、相关业务培训、制度与业务凭证的修订等工作。

e) 上线申请得到总行信息科技部门负责人批准后，项目组应协同总行信息科技部门运行中心完成上线过程。

f) 项目经过上线审批后将进入投产阶段，投产阶段应按照 ITIL 的流程进行上线操作。

g) 上线阶段需依照以下制度执行《广东顺德农村商业银行股份有限公司个人网络银行业务管理办法》《广东顺德农村商业银行股份有限公司个人网络银行业务操作规程》《广东顺德农村商业银行股份有限公司个人网络信用贷款业务管理办法》《广东顺德农村商业银行股份有限公司个人网络保证贷款业务管理办法》《广东顺德农村商业银行股份有限公司个人金融资产担保自助贷款业务管理办法》。

8.2.4 系统突发事件管理

网上银行的应急响应机制应遵循信息系统突发事件应急的管理办法，建立IT突发事件应急管理体系，明确网上银行系统发生信息科技突发事件时的总体工作制度与流程，包括IT突发事件分级、应急组织与职责、应急响应与恢复流程、应急预案与演练管理、应急保障等方面，指导IT条线各单位的突发事件报告、处置、恢复等工作。并且每年对应急预案进行定期演练和不断完善。网上银行系统各组件均使用高可用部署，任何一个单一组件的失效都不会造成网上银行业务中断。

8.3 企业标准宣传

企业标准宣传应整合网点机构、官方网站、网上银行、微信公众号、小程序等线上及线下渠道，宣传企业标准。

8.4 企业标准实施机制

企业标准应具备以下实施机制：

a) 应建立企业标准学习、培训机制，制作课件、开发培训课程。

b) 针对企业标准实施情况，应定期组织检查，及时发现未达标准的业务环节，制定整改计划。