第二十一条　支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息，并采取定期检查、技术监测等必要监督措施。特约商户违反协议约定存储上述敏感信息的，支付机构应当立即暂停或者终止为其提供网络支付服务，采取有效措施删除敏感信息、防止信息泄露，并依法承担因相关信息泄露造成的损失和责任。

第二十二条　支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的交易进行验证：[一]仅客户本人知悉的要素，如静态密码等;[二]仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等;[三]客户本人生理特征要素，如指纹等。支付机构应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

第二十三条　支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》[JR/T0118-2015]等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。

第二十四条　支付机构应根据交易验证方式的安全级别，按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理：[一]支付机构采用包括数字证书或电子签名在内的两类[含]以上有效要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定;[二]支付机构采用不包括数字证书、电子签名在内的两类[含]以上有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元[不包括支付账户向客户本人同名银行账户转账];[三]支付机构采用不足两类有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元[不包括支付账户向客户本人同名银行账户转账]，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

第二十五条　支付机构网络支付业务相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求，或者尚未形成国家、金融行业标准，支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。