第三十一条支付机构开展网络支付业务，应拥有并运营独立、安全、规范的业务处理系统，该系统及其备份系统的服务器应设置在中华人民共和国境内。

第四章风险管理与客户权益保护

第三十二条支付机构网络支付业务应符合国家和金融行业技术标准和相关信息安全管理要求。

第三十三条支付机构业务处理系统应对客户发起支付指令的计算机、移动电话、固定电话等不同终端进行有效识别，并针对不同终端发起交易的风险程度，实施充分的、有效的验证方式，采取有效的风险控制措施。

第三十四条支付机构应综合客户实名认证、交易行为特征、资信状况等因素，建立客户风险评级管理制度。

对风险评级较高的客户，支付机构应对其开通的交易类型、交易金额进行限额，并采取强化交易监测、账户止付、延迟结算等风险管理措施。

第三十五条支付机构应健全网络支付业务风险管理制度，建立交易监测系统，对疑似套现、洗钱、非法融资、欺诈或泄露客户信息等可疑交易及时核查，采取有效的风险防控措施，并承担因为采取措施导致的风险损失责任；发现涉嫌违法犯罪的，应及时向公安机关报案，同时向中国人民银行及其分支机构报告。

第三十六条支付机构应至少每年对内部控制制度、业务处理系统、交易监测系统、信息安全管理等风险防控机制开展一次全面的风险评估，并完善支付安全措施。

第三十七条支付机构应限制客户尝试登陆或身份验证的次数、制定客户访问超时规则，设置身份验证时限。使用一次性密码进行身份验证时，支付机构应将该密码有效期严格限制在最短的必要时间内。

第三十八条支付机构对业务办理过程中采集和处理的客户信息，应制定有效的风险控制措施，依法或按照客户授权使用，确保相关信息安全并承担相应的安全管理责任。

第三十九条支付机构不得存储客户银行账户密码、银行卡卡片验证码及卡片有效期等敏感信息。确因业务需要存储客户银行卡卡号、卡片有效期的，应取得客户和客户开户银行授权，并以加密形式存储。

第四十条支付机构应制定突发事件应急预案，建立灾备系统，保障业务连续性和系统安全性。

第四十一条支付机构应建立健全风险准备金制度和交易赔付制度，风险准备金应对非因客户原因发生的风险损失予以先行赔付，保障客户合法权益。

第四十二条支付机构应向客户充分提示网络支付业务的潜在风险，对客户进行必要的认知教育和安全指导，并对高风险业务在操作前、操作中进行风险警示。

第四十三条支付机构为客户特定金融产品购买、网络借贷等融资活动提供网络支付服务的，应确保产品或服务提供方为依法合规开展业务的机构。并充分向客户提示潜在风险。

第四十四条支付机构应采取有效措施，在执行支付指令钱提示客户对支付指令的准确性进行确认，并在支付指令完成后及时将结果通知客户。

第四十五条因交易超时、无响应或系统故障导致支付指令无法正常处理的，支付机构应及时提示客户。

因客户原因造成支付指令来执行、未适当执行、延迟执行的，支付机构应主动通知客户更改或配合客户采取补救措施。

第四十六条支付机构应建立健全网络支付业务差错处理制度，配备专业部门和人员，据实、准确、及时处理差错交易。

第四十七条支付机构提高网络支付服务收费标准或新设收费项目的，应至少于执行日前3个月在网站公示。

支付机构应在提高收费标准或新设收费项目后、客户首次办理相关业务前，确认客户知悉该服务收费标准并保证客户对该服务的选择权。