第二十三条 支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》( JR/T0118-2015)等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的，应当切实防范一次性 密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。支付机构采用客户本人生理特征作为验证要素 的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。