支付机构组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:
1)仅客户本人知悉的要素,如静态密码等。
2)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等。
3)客户本人生理特征要素,如指纹等。支付机构应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
支付机构根据交易验证方式的安全级别,按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理:
1)支付机构采用包括数字证书或电子签名在内的两类[含]以上有效要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定。
2)支付机构采用不包括数字证书、电子签名在内的两类[含]以上有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元[不包括支付账户向客户本人同名银行账户转账]。
3)支付机构采用不足两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元[不包括支付账户向客户本人同名银行账户转账],且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。