1、pos风险控制方案892020年5月29日文档仅供参考第一部分 总则1.1编写目的为引导成员单位提高互联网支付业务风险防范意识,有效识别、防范互联网支付业务风险,保护成员单位及消费者的合法权益,促进互联网支付业务的健康发展,根据国家法律法规及相关规定,制定本指引。1.2适用范围支付机构互联网支付业务经营活动中的风险识别、防范及处理,应遵循本指引。支付机构是指根据中国人民银行规定,取得,获准办理互联网支付业务的非金融机构。互联网支付业务是指客户经过计算机等设备,依托互联网发起支付指令,实现货币资金转移的行为。1.3基本要求支付机构开展互联网支付业务活动时,应遵循平等竞争、诚实守信、安全可靠、风险
2、可控的原则。支付机构应建立与本机构支付业务规模、模式相适应的风险防范管理体系。在业务开展过程中,应根据风险状况不断完善防范措施,有效防范用户端与商户端风险。同时应依照有关法律、法规和监管部门规章、规范性文件的规定加强对资金和客户信息安全的管理,严格履行反洗钱、反恐怖融资义务,规范外包业务管理,实现行业内风险信息共享,确保有效识别、评估、监测、控制和处理互联网支付业务风险。第二部分 风险管理体系2.1组织架构支付机构应建立与本机构支付业务性质、规模和复杂程度相适应的风险管理组织架构,以有效识别、评估、监测、控制风险。风险管理组织架构至少应包括以下基本要素:a.董事会及其职责;b.高级管理层及其职
3、责;c.风险管理部门及其职责;d.其它相关部门职责等。2.1.1董事会职责董事会对本机构互联网支付业务风险的管理负最终责任,主要职责包括:a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策;b.经过审批及检查高级管理层的风险管理职责、权限及报告制度,确保本机构风险管理决策体系的有效性,尽可能确保将本机构各项业务面临的风险控制在能够承受的范围内;c.定期审阅高级管理层提交的风险报告,充分了解本机构风险管理的总体情况、高级管理层处理重大风险事件的有效性以及监控和评价日常风险管理的有效性;d.确保高级管理层采取必要的措施有效地识别、评估、监测和控制风险;e.批准内部审计部门提交的风
4、险管理体系运行效果的审计报告,确保本机构风险管理体系接受内审部门的有效审查与监督;f.制定适当的奖惩制度,有效推动本机构风险管理体系的建立完善。g.风险管理其它重大事项。未设董事会的支付机构由执行董事或高级管理层履行相关职责。2.1.2高级管理层职责高级管理层负责执行董事会批准的风险管理战略及政策。主要职责包括:a.在风险的日常管理方面,对董事会负责;b.负责制定、定期审查和监督执行风险管理的政策、程序和操作规程,并定期向董事会提交风险总体情况的报告;c.审阅风险管理职能部门提交的风险管理报告,充分了解机构风险管理的总体情况,重大风险事件处理机制及日常风险监控、评价的有效性;d.界定各部门风险
5、管理职责及风险管理报告的路径、频率、内容,督促各部门切实履行风险管理职责,以确保风险管理体系的正常运行;e.为风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等;f.及时对风险管理体系进行检查和修订,以便有效地应对因内部程序、产品、业务活动、信息技术系统、员工及外部事件和其它因素发生变化造成的风险损失事件。高级管理人员,包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。2.1.3风险管理部门职责支付机构应设立或指定专门部门负责风险管理体系的建立和实施,及风控措施的审批和执行。专职部门应直接对高级管理层负责并与其它部门保持相
6、对独立,以保证风险管理的一致性和有效性。主要职责包括:a.具体指导和协调本机构的风险管理工作;b.拟定本机构风险管理制度、程序和操作规程,提交高级管理层审批;c.建立风险识别、评估、监测、控制方法及报告程序,并组织实施;d.建立跨部门联合工作机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练工作;e.定期检查、分析相关部门风险管理情况,确保风险管理制度和措施得到有效落实;f.定期向高级管理层提交风险管理报告;g.为各相关部门提供风险管理培训,协助其履行风险管理职责、提高风险管理水平。2.1.4其它相关部门职责风险管理相关部门包括:业务部门、信息科技部门、内审部门
7、、合规部门、客服部门等。上述部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括:a.执行风险管理的政策、程序和操作规程;b.依据本机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急预案,确保与风险管理总体政策的一致性;c.监测重点风险,定期向风险管理职能部门通报本部门风险管理的总体状况,并及时报告风险事件。内审部门不直接负责或参与其它部门的风险管理,但应定期审计本机构的风险管理体系运作情况,监督检查风险管理政策的执行情况,对新出台的风险管理政策、程序和具体的操作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效果的审计报告,跟踪、督导审计发现问题的整改工作。
8、2.2风险管理制度与内部控制支付机构应依据国家相关法律法规,按照审慎经营的原则,建立健全风险管理制度和内部控制机制。2.2.1风险管理制度支付机构风险管理制度应满足全面性、有效性原则,包括但不限于以下方面:a.业务管理;b.用户管理;c.商户管理;d.资金安全管理;e.系统信息安全管理;f.反洗钱和反恐怖融资管理;g.风险事件及应急管理。2.2.2内部控制2.2.2.1内部控制应当体现全面、审慎、有效、独立的原则,主要内容包括:a.内部控制应当贯穿本机构互联网支付业务全过程和全部操作环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或操作均应有案可查。b.内部控制应以防范风险、审慎经营为出
9、发点,本机构业务经营管理中应体现”内控优先”的要求。c.内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应能够得到及时反馈和纠正。d.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。2.2.2.2支付机构内部控制应当包括以下要素:a.内部控制环境。b.风险识别与评估。c.内部控制措施。d.信息交流与反馈。e.监督评价与纠正。2.3风险管理方法支付机构应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处理,对风险事件进行分析、评估和报告。包括:制定有效的风险防范措施,监测关
10、键风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,聘请外部中介机构对风险管理体系进行审计和评价等。支付机构应建立风险预警机制,以降低风险事件的发生频率;及时采取有效控制措施,减少风险事件损失;制定适当的程序报告风险状况和重大风险事件,重大风险事件应及时向董事会和高级管理层报告。2.4风险管理系统支付机构应当建立完善风险管理系统,以有效识别、评估、监测、控制和报告风险。该系统应记录和存储与风险损失相关的数据和风险事件信息,支持风险防范和控制措施,监测关键风险指标,并可提供风险报告的有关内容。具备条件的支付机构应建立实时监测系统,用以控制交易风险。业务类型复杂、经营规模较大的支付机
11、构,应建立功能更加全面的风险管理系统,针对各项业务的风险特点实施有效管理。第三部分 用户风险及防范3.1用户注册审查3.1.1实名制要求支付机构应根据审慎原则,实名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。支付机构应加强对用户支付账户的管理,为同一用户建立唯一的用户身份识别号,对该用户开立的所有支付账户进行关联、统一管理;对同一用户在同一支付机构开立多个支付账户的,应采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。3.1.2用户身份信息审核支付机构在为用户开立账户时,根据账户开立主体不同,分为个人支付账户和单位支付账户。个人用
12、户申请开立支付账户时,支付机构应登记其姓名、性别、国籍、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限等身份信息,并对用户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行有效审核。个人用户存在以下情形的,支付机构应核对其有效身份证件,并留存有效身份证件的复印件或者影印件。a.个人用户办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的;b.个人用户全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的;c.个人用户全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的;d.经过取得网上金融产品销售资质的支付机构买
13、卖金融产品的;e.中国人民银行规定的其它情形。单位用户申请开立支付账户时,支付机构应登记以下基本信息:a.单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外);b.可证明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;c.法定代表人(负责人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。有效身份证件是指能够证明用户身份的相关证件。个人用户的有效身份证件,包括:居住在境内的中国公民
14、,为居民身份证或者临时居民身份证;居住在境内的16周岁以下的中国公民,为户口簿;中国人民解放军军人,为军人身份证件或居民身份证;中国人民武装警察,为武装警察身份证件或居民身份证;香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其它有效旅行证件;外国公民,为护照;政府有权机关出具的能够证明其真实身份的证明文件。法人和其它组织用户的有效身份证件,是指政府有权机关颁发的能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件,包括营业执照、经营者或授权经办人员的有效身份证件。支付机构可经过与公安机
15、关、工商机关及税务机关等机构的合作,对个人用户及单位用户基本身份信息的真实性进行有效审核。3.1.3用户申请资料保存支付机构应加强对用户身份信息等资料的管理与保存,建立用户身份信息资料的分类、保管、查阅和销毁等管理制度,保证其妥善保管、有序存放、方便查阅,严防灭失、损毁和泄露。支付机构不得以任何形式对外提供用户身份信息等资料,法律法规另有规定或与用户另有约定的除外。用户身份信息等资料,应当由支付机构按照归档要求,以纸质或电子方式妥善保存,保管期限自业务关系结束当年至少保存5年。纸质资料应整理立卷,装订成册,编制会计档案保管清册,电子方式的资料应进行备份,按照系统信息安全管理相关制度的要求妥善保
16、管。对于司法部门正在调查的可疑交易或违法犯罪行为活动涉及用户身份信息等资料,且相关调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应当将其保存至相关调查工作结束。3.2用户服务协议3.2.1服务协议基本内容支付机构为用户开立支付账户的,应在用户申请开立支付账户时签订服务协议。协议内容包括但不限于:a.支付账户的开立、使用、挂失、止付和撤销的条件;b.身份验证和支付授权方式;c.用户对支付机构核验其银行账户信息和身份信息真实性的授权;d.支付账户使用规则,以及违规使用的处理和责任;e.支付账户资金变动的通知方式;f.发现支付账户被盗用后的通知、处理方式和责任划分;g.用户身份信息和交易信
17、息的保密责任;h.支付机构所提供的支付服务,包括具体的服务种类及产品功能等,及其支付服务的使用限制;i.交易风险提示,包括提示用户注意交易过程中可能存在的风险及风险发生后的相关处理措施;j.知识产权的保护,说明支付机构所享有的知识产权及相关侵权责任;k.业务争议解决方式及免责条款;l.双方的其它权利和义务。3.2.2风险防范内容支付机构与用户签订服务协议时,应告知用户可能存在的风险及相关的注意事项。协议的风险条款应包含但不限于以下内容:a.支付机构提供的各项支付服务中可能存在的风险,以及用户的注意事项;b.用户注册支付账户时可能存在的风险,如未及时更新身份资料可能引发的风险等,以及用户的注意事
18、项;c.用户使用支付账户时,如账号登录、密码设置、交易操作等,可能存在的风险,以及用户的注意事项;d.用户停止使用支付账户时可能存在的风险,以及用户的注意事项;e.其它风险防范内容。3.2.3法律责任条款支付机构与用户签订服务协议时,应明确与用户之间的权利与义务,并对各自承担的法律后果及法律责任进行约定。协议的法律责任条款应包含但不限于以下内容:a.注册支付账户时,双方所承担的权利义务与责任;b.使用支付账户服务时,双方所承担的权利义务与责任;c.暂停、拒绝或终止支付账户服务时,双方所承担的权利义务与责任;d.支付系统服务中断或故障时,双方所承担的权利义务与责任;e.用户使用支付账户及交易过程
19、中产生风险损失时,双方所承担的权利义务与责任;f.用户隐私权的法律责任条款;g.支付机构知识产权的法律责任条款;h.其它法律责任条款。3.2.4协议变更告知支付机构拟变更支付服务协议格式条款、收费项目、收费标准等主要内容的,应当在变更前30日告知用户,并提示需要变更的内容,未向用户履行告知义务的,变更后的条款对该用户不具有约束力。变更协议涉及新增收费项目、提高收费标准、降低优惠条件等不利于原客户权益内容的,未经原用户同意,仍应当按照原协议执行。3.3用户交易身份认证3.3.1基本要求为保障用户身份信息及交易信息的安全,保证用户支付指令的完整性、一致性和不可抵赖性,支付机构应为支付账户提供安全可
20、靠的身份验证和支付授权方式,并采取有效措施,在用户发出支付指令前,提示用户对支付指令的准确性进行确认。3.3.2技术手段支付机构可经过密码、令牌、动态口令、安全证书、手机校验码等技术手段对用户交易身份进行认证,确保用户的交易指令由用户本人发出。支付机构可根据用户使用的不同身份认证方式设置支付限额,以保护用户的资金安全。用户提交的身份认证信息经多次验证或在限定时间内仍未经过的,支付机构应暂停其部分或全部业务的处理,并以适当方式通知用户。支付机构应持续更新交易身份认证技术手段,保证用户交易安全。3.4用户账户与交易监控3.4.1基本要求支付机构应建立账户与交易监控系统,制定账户及交易安全监控、风险
21、处理与报告制度,并指定专门部门、设置专职岗位或人员对用户账户及交易安全进行监控。3.4.2监控范围支付机构应当对用户签约、登录、交易、付款、查询、退款以及涉及账户变动的全过程实施7X24小时监控,以及时发现账户盗用、欺诈交易等风险,保障用户资金及信息安全。3.4.3监控指标为强化对账户及交易的监控效果,提升监控效率,支付机构应对以下指标实施重点监控:a.订单信息,包括交易双方名称或账号、商户编号、交易内容、交易金额、订单编号、交易日期和时间等;b.交易频率;c.交易额度及限额;d.商户交易集中度;e.其它。3.4.4异常交易识别、调查与处理异常交易是指用户在办理互联网支付业务或支付机构在提供互
22、联网支付服务过程中因自身或外来原因产生的非正常交易。异常交易包含但不限于以下情形:a.用户利用互联网支付服务从事套现、诈骗、洗钱等违法犯罪活动而产生的非正常交易;b.不法分子经过采取恶意程序、网络钓鱼等欺诈手段,盗用用户账户或银行卡而产生的非正常交易;c.因支付业务系统及设施遭到自然或人为因素破坏,支付机构无法准确、及时地传送业务信息,或因网络攻击、网络犯罪活动导致互联网支付服务异常而产生的非正常交易。支付机构应在其网站上公布异常交易投诉渠道及调查处理流程,结合交易监控系统及投诉信息,对异常交易进行比对分析,并启动调查程序。支付机构应根据异常交易调查结果,采取暂停或继续交易、账户恢复原状、限制
23、账户使用、冻结账户操作等措施。同时,根据异常交易种类、数量、后果及影响范围依照相关规定向业务监管部门进行报告。异常交易调查结果符合可疑交易报告标准的,支付机构应按相关要求向中国反洗钱监测分析中心履行报告义务。支付机构应建立用户黑名单数据库,依据异常交易监测和调查结果,将确认存在违法或严重违规行为的用户列入该名单,并终止继续向其提供互联网支付服务。3.5用户账户及交易信息安全3.5.1用户信息安全管理支付机构应设立或指定专门部门负责用户信息保护工作,并与所有接触用户账户信息及交易数据等敏感信息的员工签署保密协议,明确员工需要承担的保密责任以及员工离职时的脱密期。支付机构应严格控制员工对用户账户信
24、息及交易数据等敏感信息的访问权限,访问权限的分配应遵循分级授权的原则,访问记录应当留存备查,避免单个员工对用户账户信息及交易数据等敏感信息的完全控制。未经用户授权,支付机构不得为任何单位或个人查询用户身份信息及交易信息资料,不得将用户身份信息及交易信息向任何第三方提供,法律法规另有规定的除外。3.5.2信息变更管理支付机构应制定用户信息变更操作制度及流程,用户申请变更身份信息的,支付机构应在核实用户身份后予以更新。在用户业务关系存续期内,支付机构应当及时提示用户更新身份信息。对于有效身份证件将超过有效期的用户,支付机构应当在失效前60天通知其及时更新,并予以有效核验。单位用户应按相关规定留存其
25、有效身份证件的复印件或者影印件;个人用户存在3.1.2有关要求情形的,应留存其有效身份证件的复印件或者影印件。对于有效身份证件已过有效期的用户,支付机构为其办理首笔业务时,应要求重新提供有效身份证件信息,并予以有效核验。单位用户应按相关规定留存其有效身份证件的复印件或者影印件;个人用户存在3.1.2有关要求情形的,应留存其有效身份证件的复印件或者影印件。3.5.3账户挂失管理支付机构应当制定并公布用户账户挂失操作制度及流程,用户因密码丢失或遗忘申请账户挂失的,支付机构应首先引导其经过自助或人工方式找回密码;用户因账户盗用等异常情况申请账户挂失的,支付机构应根据用户申请,在核实用户身份后对挂失账
26、户进行限制账户使用、冻结账户操作等处理。3.6用户安全教育服务3.6.1用户安全提示支付机构对用户的安全提示应覆盖其使用互联网支付产品完成支付活动的全过程和所有环节,提示用户注意账户、银行卡使用及个人信息安全,并提供相应的安全防范措施。支付机构还应当以适当的方式,包括但不限于公告、邮件、短信、站内信等向用户提示当前主要支付安全风险。3.6.2日常安全教育支付机构应当建立用户日常安全教育制度及流程,设立专门客服渠道解答用户安全问题,在网站页面应当设置安全教育板块。支付机构在设计相关产品时应包含对用户进行安全提示或安全教育的内容,培育用户良好的支付安全习惯。支付机构可定期或不定期开展互联网支付安全
27、宣传培训活动,对用户进行安全教育。3.7业务投诉、差错及争议管理支付机构应当建立业务争议、投诉处理机制,在网站公布争议受理渠道及流程,成立或指定经专业培训的争议、投诉处理部门,设置专岗,提供至少5x8小时的服务。支付机构应在5个工作日内处理相关争议或投诉,并及时将处理结果告知用户。第四部分 商户风险及防范4.1商户拓展4.1.1禁止发展的商户a.非法设立的经营组织;b.特殊行业商户,包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等以及其它与本国法律、法规相抵触的商户;c.以返利为名招徕客户实现传销或非法集资目的的商户或经营组织。4.1.2谨慎发展的商户a.
28、虚拟商品销售(包括充值卡、游戏点卡)等易发生套现、伪冒交易的商户;b.提供中介咨询服务类商户;c.接受用户预付款的商户;d.以个人账户作为结算账户、注册资本低或成立时间短、无实体店面的商户;e.注册地或经营场所在境外的商户;f.代购类商户;g.从事民间融资、贷款等类型业务的商户;h.商户或其法定代表人、负责人已被列入中国人民银行指定的不良信息系统的商户。4.2商户资质审核4.2.1基本要求支付机构应对商户的基本信息、资信记录、经营状况等进行全面审核与调查,以核实商户基本信息的真实性,并判断其是否满足商户准入的基本条件。商户资质审核应由专人负责,不得与商户拓展等岗位兼岗,审核渠道包括但不限于电话
29、调查、现场调查和间接调查等。4.2.2审核内容支付机构与商户签约前,为防范风险可对以下内容进行审核:a.营业执照、税务登记证、组织机构代码证,法人代表或商户负责人身份证等;b.商户网站域名是否能够正常访问,网站信息是否定时更新;c.是否取得ICP证或有ICP备案;d.系统数据安全和人员配置是否有保障,业务制度体系是否完备;e.商户提供的商品及服务内容是否合法合规;f.服务条款、客户隐私声明、安全管理声明是否完整,有关退货、退款、送货和交易取消政策是否齐全;g.客户服务体系是否健全;h.网站内容。对平台类商户应增加以下审核内容:a.二级商户实名制落实情况;b.平台类商户的信用评价体系和风险控制措
30、施;c.平台类商户对二级商户交易信息上送和保管能力。4.2.3风险评级与分类管理支付机构在审核商户基本情况的基础上,应对其进行风险等级划分。经过对商户的信用风险、欺诈风险和合规风险等各项基本要素进行评分,形成反映商户整体风险水平的评价分值,作为与商户签约的决策依据,并根据分值不同对商户采取差异化的风险管理措施。对风险等级较高的商户,应采取的交易风险管理措施包括但不限于:设置商户单笔或当日交易限额、交易监测、物流审查、现场检查、缴存风险准备金、延迟清算等。商户签约后,支付机构应结合商户的日常交易行为和风险管理状况,动态调整商户风险等级和相关管理措施。4.2.4未经过审批商户的记录对于未能经过审批
31、的商户,支付机构应建立内部的登记留存制度,对商户基本信息和拒绝原因进行详细记录,并及时进行更新汇总,为后续新商户的审批查询提供参考,防止不良商户多次提交欺诈申请。4.2.5申请资料保存管理支付机构应妥善保存下列资料的影印件或扫描件备查:a.商户营业执照b.税务登记证c.组织机构代码证d.法定代表人或商户负责人有效身份证件e.商户ICP证f.商户信息调查表g.商户受理协议书h.对商户日常风险管理的相关表格,如商户日常检查表、等。支付机构与商户解约时,从协议终止日起,商户相关资料至少应保存五年以上。4.3服务协议4.3.1基本要求支付机构应与商户签订标准的受理协议书,明确双方权利与义务。4.3.2
32、风险防范条款支付机构在与商户签订的协议文本中,应明确包含以下风险条款:禁止性规定:a.商户不得将相关网关接口、标识等用于受理协议许可范围以外的用途,也不得供受理协议许可范围以外的第三方进行交易的使用。对于违反该条款的,支付机构保留向商户追索损失及要求额外罚款的权利。b.未经支付机构书面允许,商户不得将受理业务委托或转让给第三方。经营义务:a.商户应对所提供资料的真实性负责,保证其经营活动和范围的合法性;b.信息资料、业务状况或商户基本情况发生变更时,商户应及时通知支付机构:i.信息资料变更包括:商户注册信息、服务器及网站地址(URL及IP)、网站名称、联系方式、开户银行及收款账户等发生变更;i
33、i.业务状况变更包括:经营变化(如中断或终止)、商品和服务以及提供方式(如主营业务范围,送、退货方式)等发生变更;iii.商户基本情况变更包括:商户资本及所有权变更(如注册资本的增减、重大的债务变化)。c.商户需确保有关商品和服务描述完整,有关退货、退款、送货和交易取消政策齐全,有关客户服务体系健全。d.商户要妥善、及时处理互联网支付业务产生的差错和争议,维护消费者合法权益。e.商户应加强对相关网站、支付设备及软件的日常维护和管理,保证系统的安全稳定性,并遵守国家有关互联网支付安全的法律法规规定,确保交易以及账户信息的安全,否则支付机构有权限定商户的支付金额或中止合作,并要求商户承担相应的违约
34、责任。f.商户存在篡改交易数据、未按要求上送交易验证信息、为洗钱、套现提供便利等违规操作,应承担相应责任。g.在发生欺诈交易后,商户应履行配合相关机构进行风险事件协查的义务,包括但不限于提供商户或二级商户签约时留存的基本信息、支付交易信息、客户信用记录、持卡人基本信息等。h.平台类商户应配备相应的系统、人员和完善的制度,对其二级商户的交易实施有效识别、追溯及在必要时暂停业务的管理。同时,须承担因二级商户发展和管理不善造成的风险损失,下设的二级商户不得再发展下一级商户。i.交易订单保存条款。商户应对交易订单保存至少1年。因保存不当或遗失订单而造成的经济损失由商户承担。保密条款:a.商户不得存储除
35、基本的交易信息以外的其它数据(如网上支付密码、卡片有效期、CVN2等)。b.除了交易需要或法律要求,商户不得将账户及交易数据信息披露给第三方。c.商户必须将包含账户及交易数据信息的所有载体保存在安全区域,并确保只有被授权人员才能接触;包含账户及交易数据信息的所有载体在失效后应立即销毁,不得留存。d.业务处理流程应当确保信息安全。风险控制措施条款:a.经风险状况评估确认为高风险商户的,支付机构有权调整商户交易款结算时限和方式。若商户违反协议,或从事欺诈交易的,支付机构可延迟对商户款项的结算。b.根据商户风险属性或风险评级,支付机构可要求商户缴纳一定额度的保证金,用于对商户违约造成的损失进行赔付。
36、c.因商户违规操作、出现风险事件、违反协议规定等情况,支付机构可立即终止商户服务协议。d.调查商户疑似欺诈交易期间,支付机构可暂时扣留有关交易的结算资金,并须及时告知商户。e.商户出现以下情况且经通知、协商未做出改进的,支付机构有权终止对该商户的服务:i.在正式运行3个月内无交易;ii.因商品质量、配送问题而遭客户多次投诉;iii.商户因经营不善,已破产或停业的;iv.被监管机构和司法机关认定为需要关闭的;v.违反保密义务的;vi.有其它严重影响双方合作行为的。其它条款:a.商户风险信息使用条款。在正常业务范围内,商户同意支付机构使用其风险信息(包含但不限于商户基本信息、商户经营及其风险情况等
37、)。b.交易查询及追索规定。协议终止后,支付机构对协议终止前的交易仍有查询及追索权。c.支付机构的债权保证。在商户宣布破产时,应保证支付机构的债权人地位。4.4商户日常管理与监控4.4.1商户日常风险教育支付机构与商户建立业务关系前,应对商户进行至少一次包括风险防范要求及技能的培训。业务存续期间内,支付机构应根据业务发展和风险控制需要,对商户进行定期或不定期的培训,可采用现场或远程方式,原则上一年内不得少于一次,并保留培训记录,以备查核。4.4.2商户风险检查与管理支付机构应根据业务发展和风险控制的需要,定期对商户风险情况进行检查,并保留回访和培训的记录。检查的方式能够采用商户自查、支付机构检
38、查以及委托专门机构代查相结合的方式,检查内容包括业务检查及技术安全检查。发现异常或违规情况,应要求商户及时整改并提出有效的风险防范措施,必要时按照相关规定及时中止与商户的协议。支付机构应采取必要的技术手段保证商户账户资金安全,具体手段包括但不限于:Usbkey、Token、数字证书、手机短信验证码等。支付机构应以电话或网络方式为商户提供业务及风险咨询服务,并明确告知商户。4.4.3日常交易监控支付机构应建立对互联网支付业务的交易监控机制,配备专门人员,对商户日常交易进行监控,并对可疑交易进行调查处理。依托风险管理系统,运用信息化手段来加强商户的风险监控和管理。支付机构应根据自身风险策略,在风险
39、管理系统中对互联网支付业务设置相应的商户风险监控指标。支付机构可根据商户的风险等级,建立动态的商户交易限额控制机制,细化针对不同类型商户的交易限额标准。4.4.4交易信息上送及保管支付机构应要求商户上送完整的交易信息,确保支付机构保存详细的交易记录数据,应包括如下信息:a.交易发起方IP地址;b.商品或服务内容描述、物流配送信息;c.二级商户名称、商户服务类别码等。支付机构应对上送交易数据至少保存五年,以便追溯。4.4.5商户调查与处理日常交易监控与商户检查中,发现商户存在违规迹象时,支付机构应立即进行调查。调查疑似套现等商户欺诈时,应综合采取如下措施进行处理,以及时发现风险,阻止商户欺诈行为
40、,避免更大损失:a.向商户索取单据及相关凭证;b.向银行等有关机构证实交易;c.暂时扣留结算资金;d.前往商户实施现场调查;e.对有嫌疑商户实施后续监控和调查。当确认商户存在违法、违规、欺诈行为且情节严重,或对商户采取警告、整改、暂停交易等处罚措施无效的,应立即终止商户协议、及时清退,并于协议终止后十个工作日内,将商户信息录入人民银行指定的不良信息系统。支付机构应积极协助公安司法机关、相关主管单位及合作银行对商户违规违法事件进行调查,配合采取相应措施。4.5商户风险类型及防范4.5.1信息泄露4.5.1.1风险描述商户违反保密条款,违规保存或将交易中采集的银行账户信息、支付账户信息和交易数据等
41、信息,泄露给无关第三方,被泄露的信息具体包括:银行账户信息:涉及银行卡号、有效期、CVN2、与支付相关的各类密码等;涉及持卡人姓名、身份证号、联系方式、其它证件号码等身份信息;支付账户信息:涉及支付账户用户、密码和联系方式等;交易数据信息:涉及交易金额、交易商品等。4.5.1.2防范手段在合作协议中明确支付机构与商户的责任与义务。要求商户遵循本指引的信息安全管理要求,切实了解商户对于信息泄露等风险的防范措施,加强对商户相关人员的风险培训与日常管理。采用各类安全支付手段,防止信息泄露,提升支付的安全性。4.5.2套现4.5.2.1风险描述商户与消费者或其它第三方勾结,或商户自身开立买卖双方的账户
42、,进行无商品交付的虚假交易以此套取现金的行为。4.5.2.2防范手段严格执行实名审核制度,充分利用联网核查身份信息系统、公安部户籍查询系统,并多方了解特约商户的经营背景、营业场所、经营范围、财务状况等信息。在商户入网协议中明确商户有防范套现风险的义务,一旦发生套现行为,应采取暂停该商户交易或关闭商户等措施,并由商户承担可能出现的损失;在商户协议中,明确规范退货渠道,不得进行现金退货或采用预付费卡等易引发套现的形式退返现金;将疑似有套现嫌疑的商户负责人信息、营业执照等相关证件信息加入黑名单或灰名单,作为入网审核时的参考依据。按照商户服务类型制定单笔、当日累计交易限额,并根据互联网欺诈形势对限额进
43、行动态调整。建立商户交易监控机制,针对套现商户交易特征制定相应的侦测规则。4.5.3恶意倒闭4.5.3.1风险描述以欺诈为目的,发生商户负责人卷款潜逃、商户倒闭等风险事件,引发缴纳预付款的用户投诉,给支付机构带来退款损失的情形。4.5.3.2防范手段为商户提供互联网支付服务前应首先查询人民银行指定的不良信息系统,防止恶意倒闭商户在被某一支付机构发现后转移重复申请;对易发生恶意倒闭商户要求其缴纳风险保证金,并采取延迟结算的措施。加强交易监控,及时发现有恶意倒闭嫌疑的商户,并采取风险控制措施。4.5.4非法页面信息4.5.4.1风险描述商户在其网站页面发布或登载诸如提供套现、赌博服务等信息招徕客户
44、,经过互联网从事违法违规交易,给支付机构带来损失。4.5.4.2防范手段支付机构应加强对签约商户的日常检查,运用”网络爬虫”等相关技术,对商户的网站内容进行扫描,扫描频率不得低于每周一次。在扫描中经过对敏感字段的过滤,筛查出发布违规信息的商户,并根据商户日常管理要求进行调查处理,对存在违规经营的商户应根据情节轻重采取口头警告、暂时关闭、录入黑名单、清退等手段进行处理。对平台类商户,应要求其对下辖二级商户采取同样的风险管控措施,要求其将所辖商户页面内容定期进行检查,并向支付机构反馈检查结果。4.5.5网络钓鱼4.5.5.1风险描述网络钓鱼指不法分子利用公共网络环境的漏洞,经过伪造交易链接将客户引
45、导到虚假的支付页面;或向客户支付交易终端植入木马病毒等恶意程序,诱使客户将交易订单款项支付至指定账户或盗用其账户资金。4.5.5.2防范手段加强对互联网支付用户安全意识的教育,提示常见的欺诈手段,并在交易过程中提示客户注意不明链接及文件的接收,如发现异常情况应及时与银行或支付机构联系;要求商户注意交易环境的安全维护,防止网站被攻击或恶意利用,在网站安装安全控件、杀毒软件,并定期对虚假链接进行安全扫描。在客户支付订单之前,及时向客户发起订单确认,确认信息包括但不限于:发起人、发起时间、收款人、支付金额、商户名称、购买商品类型等;对虚拟充值、游戏通讯类商户设置特殊的单日、单笔交易限额;针对商户被钓鱼网站利用引发的订单替换,可在站内及站间采用具备防钓鱼功能的技术接口进行防范。加强交易监控,关注短时间内发起订单和订单支付不在同一终端的连续多笔交易、发起订
浙ICP备2021020529号-1 | 浙B2-20240490 
