银联卡业务运作规章第五卷风险控制与安全管理 二○○五年十二月 目录 序 (307)
第一章成员机构风险管理的基本要求 (308) 1风险评价及分级管理 (308) 1.1风险评价的适用情况 (308) 1.2风险评价的内容 (308) 1.3风险等级的运用 (309) 1.4风险控制措施 (309) 2成员机构内部风险管理 (309) 2.1人员及岗位设置要求 (309) 2.2建立银行卡交易风险监控体系 (309) 3 账户信息与交易数据安全管理 (310) 3.1权利与义务 (310) 3.2安全管理体制 (310) 3.3访问控制 (310)
3.4数据的保护、使用和销毁 (310) 3.5数据保存与传输 (310) 3.6事故处理 (310)
3.7对第三方服务机构和特约商户的数据安全管理 (311) 3.8赔偿及处罚 (311)
4磁条卡密钥生命周期安全管理 (311) 4.1基本要求 (311)
4.2密钥生命周期安全管理规定 (311) 5磁条卡的卡片验证码(CVN)校验 (312) 5.1对发卡行的要求 (313) 5.2对收单机构的要求 (313)
6反洗钱要求 (313) 7调查 (313) 7.1调查 (313) 7.2调查对象 (313) 7.3调查方式 (314) 8处罚 (314)
第二章发卡机构的风险管理 (315) 1银联卡安全管理的基本要求 (315) 1.1 发卡中心的物理安全 (315) 1.2订单管理 (315) 1.3安全生产 (315) 1.4安全运输 (315) 1.5接收与保管 (316)
1.6卡片个人化的安全管理 (316) 1.7发行 (316) 1.8销毁 (317)
2《领用合约》必备的风险条款 (317) 3个人密码(PIN)的管理 (317) 4卡片挂失管理 (317) 5吞没卡及止付卡管理 (318)
6发卡专业化服务机构的风险管理 (318) 7安全及风险调查 (318) 7.1调查内容 (318) 7.2违规处理 (319)
第三章收单机构的风险管理 (320) 1商户准入 (320) 1.1禁入商户类型 (320) 1.2谨慎发展商户类型 (320) 2目标商户审查 (320) 3商户签约 (321)
3.1协议必备风险条款 (321) 3.2机具布放 (321) 3.3资料保管 (321)
4特约商户日常风险管理 (321) 5特约商户强制解约 (321) 5.1强制解约的情况 (321) 5.2解约信息报送 (322) 6可疑商户信息共享 (322) 6.1可疑商户信息报送标准 (322) 6.2报送要项 (322)
6.3可疑商户信息的有效期 (323) 6.4 违规处理 (323)
7收单专业化服务机构的风险管理 (323) 7.1对专业化机构的管理 (323) 7.2协议必备风险条款 (323) 7.3强制解约 (324)
8对收单机构的风险指标监控 (324) 8.1收单欺诈率 (324)
8.2商户的月退单笔数和月退单金额比例 (324) 8.3对“高风险商户”的认定 (325) 9对金融自助终端的监控要求 (325) 10调查和申诉 (325) 10.1调查 (325) 10.2申诉 (325)
第四章清算风险管理 (326) 1原则 (326)
1.1全过程监控原则 (326) 1.2分级管理原则 (326) 2基本要求 (326)
3清算风险备付金管理 (326)
3.1缴纳 (326) 3.2使用 (327) 3.3调整 (327) 3.4解除 (327)
4清算风险监控和预警 (327) 4.1清算风险监控 (327) 4.2清算风险预警 (327) 5清算风险控制 (328) 5.1当日清算未完成 (328) 5.2清算连续未完成 (328) 5.3重大风险事件 (328) 6清算损失的补偿 (328) 7对清算银行的要求 (328) 7.1境内业务清算银行 (328) 7.2境外清算银行 (328)
第五章欺诈交易及风险事件的报告与处理 (329) 1基本要求 (329) 2欺诈交易报告 (329)
2.1发卡机构应报告的欺诈交易 (329) 2.2收单机构应报告的欺诈交易 (329) 2.3报告时间 (329) 2.4报送要项 (330) 2.5权利与责任 (330) 3 风险事件报送 (330) 3.1报送范围 (330) 3.2报送时间 (330) 3.3报送内容 (331) 4调查与处理 (332) 4.1基本规定 (332) 4.2协助调查 (332)
4.3资料保管 (332)
5欺诈交易的损失责任承担原则 (332) 5.1 自助设备发起交易的责任承担 (333) 5.2 面对面商户发起交易的责任承担 (333) 5.3 其他情况下的责任承担 (333) 6费用及处罚 (333) 6.1费用 (333) 6.2处罚 (334)
第六章风险管理服务 (335) 1风险信息共享服务 (335) 1.1内容 (335)
1.2服务的申请与使用 (335) 2商户风险监控 (335) 2.1监控对象 (335) 2.2监控规则 (335) 2.3报告风险等级 (336) 2.4风险报告传递 (336) 2.5收单机构的职责 (336) 3银行卡交易监控 (336) 3.1监控对象 (336) 3.2监控规则 (336) 3.3服务的使用 (337) 4欺诈交易报告 (337) 4.1成员机构职责 (337) 4.2服务的使用 (337) 5风险提示 (337) 5.1内容 (337) 5.2服务的使用 (338) 5.3其他 (338)
6涉案卡交易跟踪服务 (338)
6.1中国银联职责 (338) 6.2 发卡机构职责 (338) 序
为保障中国银联银行卡跨行交易体系的安全稳定运行,维护银联品牌及全体
成员机构的合法权益,为银联卡国际化战略提供风险管理支持,本卷对各成员机
构开展银联卡业务必须实施的风险控制与安全管理作了基本规定,并对中国银联
向成员机构提供的风险管理服务作了简要介绍。
2003 年以来,中国银联风险管理委员会通过并实施了一系列风险管理规则
及指南,包括:《银联卡密钥安全管理规则》、《银联卡收单机构商户风险管理规则》、《银联卡风险事件报送及协助调查规则》、《银联卡欺诈报送规则》、《银联卡账户信息与交易数据安全管理规则》、《银联卡密钥安全管理指南》、《银联卡收单机构商户风险管理指南》、《银联卡发卡机构欺诈风险管理指南》、《银联卡账户信息与交易数据安全管理指南》。今后,风险管理委员会还会继续通过实施有关的
规则。
本卷是整个风险管理规范体系的原则和纲领,是所有风险管理规则的基础。
因此,上述单个规则的原则性规定在本卷中都有体现。同时,本卷也将根据各项
规则的修订及新颁布的规则作相应的调整。
本卷按照成员机构风险管理基本要求、发卡机构风险管理、收单机构风险管
理、清算风险管理、欺诈交易及风险事件的报告与处理以及风险管理服务划分,
共六章。
加入银联网络的发卡机构和收单机构(含分支机构,下同)在开展银联卡业
务时均应遵守本规则。
第一章成员机构风险管理的基本要求
本章对中国银联在各成员机构加入银联开展业务各阶段风险评价的内容和
内部风险管理作出基本规定。 1风险评价及分级管理
风险评价及分级管理,指成员机构在接受中国银联或中国银联认可的第三方评估机构风险评价的基础上,按不同的风险等级享受一定权利的同时,承担与其
风险等级相应的义务。 1.1风险评价的适用情况
风险评价根据成员机构业务不同发展阶段,分别在成员资格准入阶段、开通业务阶段和已开展业务阶段进行相应的评价。
1.2风险评价的内容 1.2.1成员资格准入阶段
信用风险。中国银联通过采信监管机构或第三方评估机构对成员机构的资本充足率、资产安全、管理水平、盈利状况、流动性等的评估结果,转换成中国银联成员机构的信用风险等级。若不具有第三方评估机构评价结果的,可申请由中国银联组织进行评估。
国家风险,仅适用于境外机构。以国际著名评级机构的国家风险评级为参考,按一定标准转换为中国银联的国家风险评级。
1.2.2成员开通业务阶段
·密钥安全管理评价。参见本章第4节内容。
·业务风险管理评价。成员机构在开展银联卡业务前,应在中国银联指导下,进行包括但不限于以下内容的风险评估:发卡或收单业务风险管理、账户及交易数据安全管理、反洗钱管理等。成员机构业务风险评价的结果作为中国银联是否允许其开通业务的重要依据。
1.2.3已开展业务阶段
清算风险评价。参见本卷第五章相关内容。
年度风险评估。银联每年度将重点对相关风险较大或指标异常的成员机构进
行年度风险评估,以追踪该类机构的风险变化情况,并提出相应的风险管理措施和服务。
1.3风险等级的运用
中国银联通过风险评价确定成员机构的各类风险等级,并以此作为成员机构能否加入银联网络、是否缴纳清算备付金、是否需要提供担保或抵押、能否开通部分或全部银联卡业务的依据之一。
1.4风险控制措施
如果成员机构未能达到风险评价内容的标准,中国银联在董事会或风险管理委员会授权下将对其采取适当的风险控制措施,敦促其加强银行卡业务管理、提高风险管理水平。
风险控制措施包括但不限于以下内容: 启动风险管理培训和辅导计划; 缴纳清算风险备付金; 提供质押担保; 暂停一项或多项业务; 启动应急计划。 2成员机构内部风险管理 2.1人员及岗位设置要求
成员机构应设置专门的部门、人员或岗位,负责银行卡业务的风险管理工作,包括但不限于以下内容:
制定并执行本机构的风险管理政策及制度; 确保银联卡相关处理系统及机具的安全;
采取安全保密措施,保证银联卡资金、账户信息及交易数据的安全;
对银联卡产品的安全生产、储存、运输、分发进行有效监督管理; 开展持卡人安全用卡宣传,对商户进行防范欺诈培训;
对与银联品牌和银联卡相关的欺诈行为进行监控、调查、分析和
报告;
协助司法机关、其他成员机构及中国银联进行欺诈及风险事件的调查处理。
2.2建立银行卡交易风险监控体系
成员机构应建立完善的交易统计体系,并积极利用技术手段对银行卡交易进
行监控,及时识别、报告及处理银行卡业务中的各类风险。 3账户信息与交易数据安全管理
中国银联及成员机构必须按照《银联卡账户信息与交易数据安全管理规则》中的有关规定,保证自身及其特约商户、第三方服务机构达到规则中的各项安全要求。
3.1权利与义务
中国银联及成员机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况。一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可申请损失赔偿。
各机构应定期就账户信息及交易数据安全状况进行自查,并提供自查结果等书面报告。
3.2安全管理体制
建立完善的信息安全管理体制,并制订账户信息与交易数据安全相关的制度及检查程序。
3.3访问控制
根据“业务需要”的原则,通过身份验证、权限管理、密码管理等手段,严格控制访问和使用账户信息和交易数据,防止未经授权擅自对数据进行查看、篡改和破坏。
3.4数据的保护、使用和销毁
严格保护以任何形式出现的账户信息及交易数据。
未经发卡机构的书面许可,其他机构均不得将该发卡机构的原始账户信息及交易数据提供给任何其他第三方机构。
不得将真实的账户信息及交易数据用于软件开发及模拟测试。 各机构应及时销毁超出保存期限的账户信息及交易数据。
3.5数据保存与传输
账户信息及交易数据必须在具有安全保护措施的系统中存储、传输。
3.6事故处理
专门制订针对账户信息及交易数据安全事故处理的应急处理方案,一旦出现账户信息与交易数据遭到篡改、泄漏和破坏的安全事故,必须立即对事故进行处
理并展开事故原因调查工作。
3.7对第三方服务机构和特约商户的数据安全管理
成员机构应有效地发挥其监督职能,并对其第三方服务机构及特约商户进行定期或不定期的检查,确保这些机构严格遵守规则中对第三方服务机构及特约商户的要求。
成员机构在与第三方机构和商户签订的协议或合同中,应当明确规定第三方机构和商户必须达到中国银联制定的《银联卡账户与交易数据安全管理规则》中规定的各项要求。第三方机构和商户只能存储交易中所必需的账户信息和交易数据。
3.8赔偿及处罚
经中国银联风险管理委员会裁定,违反《银联卡账户与交易数据安全管理规则》造成数据泄漏的成员机构、成员机构的第三方服务机构及商户需要对受害方进行赔偿并受到相应的处罚。赔偿及处罚视情节严重程度而定,措施包括赔偿、罚款、限期整改或中止协议等。
相关具体规定参见《银联卡账户信息与交易数据安全管理规则(修订)》
4磁条卡密钥生命周期安全管理 4.1基本要求
成员机构及其代理机构必须遵循《银联卡密钥安全管理规则(磁条卡部分
V1.0)》的相关规定,达到以下基本要求:
必须使用硬件加密设备生成和存储密钥、对个人密码(PIN)加解密以及鉴别报文;
密钥和个人密码的完整明文只允许存储在硬件加密设备中,不得在硬件加密设备外出现。
对密钥及其组件的任何操作必须遵循分人分段、双重控制、信息拆分的原则。
4.2密钥生命周期安全管理规定 4.2.1生成
密钥必须随机或伪随机产生。 4.2.2注入与存储
密钥注入必须采用双重控制和信息拆分方式,在隔离状态下注入; 主密钥必须存储在硬件加密设备中;成员主密钥(或终端主密钥)可存储在硬件加密设备中,或经主密钥加密后存储在主机中;工作密钥在主机中存储时必须经成员主密钥加密,在终端必须存储在硬件加密模块内。
4.2.3传输
密钥明文传输时必须拆分为两个或两个以上组件,通过多种渠道且不在同一天传输;
密钥可以密钥组件的硬拷贝、内含密钥组件的安全芯片等方式传输,不得以内含完整密钥的硬拷贝或内含完整密钥的芯片方式传输。
4.2.4接收
仔细检验密钥组件传输介质的封存状态,并记录接收情况,存档保管。4.2.5泄漏与重置
若发生泄漏,应立即重置被怀疑或确认泄漏的密钥及由该密钥保护的密钥,确定所涉及的功能领域,并且向管理部门报告。
重置密钥时,由相应的保管员从保险容器中取出密钥各组件进行重置。重置过程记录在案,并存档保管。
4.2.6删除与销毁
失效、作废或被损坏的密钥,应在双人控制下,采用执行和检验相结合的方法及时删除和销毁,确保无法恢复、无法辨认,不被泄露。
销毁过程必须由专人监控,并记录在案。 4.2.7保管
密钥资料应指派专人负责保管,所有密钥资料应存放在保险容器内;
密钥在硬件加密设备外部以明文形式存在时,必须拆分成两个或两个以上的组件。各密钥组件应由不同的保管员封入信封,加盖名章(或骑缝签名)后置入保险容器妥善保管。各密钥保管员应来自本机构不同部门。
相关具体规定参见《银联卡密钥安全管理规则(磁条卡部分V1.0)》。
5磁条卡的卡片验证码(CVN)校验
成员机构发行或受理磁条卡,必须实施卡片验证码校验。 5.1对发卡行的要求
成员机构发行磁条卡,必须按照《银行卡磁条信息格式和使用规范》的相关要求附带卡片验证码(CVN),联机实施校验。
发卡机构可自行校验,也可选择由中国银联代其校验卡片验证码。 卡片验证码校验错误达到三次时,应暂时冻结该卡账户,持卡人应持有效身份证件到发卡机构办理换卡或者重新写磁手续。
对于上传磁道信息中未含卡片验证码的交易,发卡机构一律予以拒绝。5.2对收单机构的要求
收单机构必须确保布放的受理终端能完整、准确读取并传输卡片验证码。如收单机构未能正确传送CVN,应承担相应的损失责任。
6反洗钱要求
成员机构应按照所在国家或地区的法律和相关规章制度要求,制订相应的反洗钱制度,对银联卡交易进行监控,并配备足够的人员和采取有效措施,预防和打击洗钱活动。
中国银联可根据反洗钱的相关法规及反洗钱管理机关的要求,在遵循当地法律条件下,强制要求成员机构及其代理机构,实施有关措施阻止可能的反洗钱活动或恐怖主义财务活动。这些措施包括但不限于以下内容:
实施更有力的政策、程序或控制措施; 终止与商户或持卡人的合约;
终止与代理机构的合约; 终止成员机构资格; 罚款。 7调查 7.1调查
在董事会或风险管理委员会的授权下,为维护中国银联全体成员机构的共同利益,中国银联有权对成员机构及其相关机构就银联卡业务风险管理的状况进行调查,成员机构应当予以积极配合。本卷所述的各项调查,均同此义。
7.2调查对象
中国银联风险调查的对象包括成员机构、成员资格申请机构、特约商户、以
及经中国银联认证的提供银联卡相关产品或服务的第三方厂商。 7.3调查方式
中国银联风险调查采用非现场调查和现场调查相结合的方式。 非现场调查是指中国银联通过对调查对象按相关规则要求报送的风险调查问卷、报送的材料进行查阅、分析,并进行风险评价与判断的过程。
现场调查是指中国银联对于非现场调查无法全面了解,需前往成员机构实地进行查阅、评估的方式。
8处罚
成员机构违反本卷相关规定,中国银联可以采取发布风险通告、限期改正等形式协助其加强管理;对其他成员机构合法权益和银联品牌造成损害的,中国银联在董事会或风险管理委员会的授权下,对其采取相应的处罚。处罚措施包括但不限于以下内容:
通报; 罚款; 暂停业务; 终止成员资格。
第二章发卡机构的风险管理
本章对发卡机构发行银联卡应遵循的风险控制标准及要求做出基本规定。1银联卡安全管理的基本要求
1.1发卡中心的物理安全
为确保发卡中心的物理安全,必须对以下区域或业务环节进行监视或监控:发卡中心的出口和入口通道;
主机机房; 凸印及写磁环节; 其他高安全区域。
对于高安全区域须安装闭路监控和入侵报警系统,进出均实行登记制度。同时应采取措施确保发卡中心防火、防暴、防核、防爆等意外灾害。
1.2订单管理
定购银行与通过中国银联资格认证的银联卡生产企业均应按照《<“银联”标识卡产品企业资格认证实施细则>补充规定》中关于订单管理的有关要求,向中国银联申报审批后,再交付银联卡生产企业进行生产。
1.3安全生产
发卡机构必须选择通过中国银联资格认证的银联卡生产企业作为本机构的卡片提供商。
发卡机构有协助中国银联监督银联卡生产企业的责任。如发现银联卡生产企业有违规行为,应立即向中国银联报告。
1.4安全运输 1.4.1运输方式
银联卡的运输工具必须符合下列要求: 全封闭、适宜运输的车辆;
运输工具上应配备至少两部通讯器材;
如果选择航空运输,应选择从起运地到目的地的直达航班;如无直达航班可选择,航班只能中转一次,并严格控制中转货运公司的数量。
如采用其他具有同等安全措施的运输方式,必须事先书面报备中
国银联。
运输空白卡必须封存在材质坚固或带锁的箱子里,并妥善保管钥匙或密码;
必须执行双人押运,必要时采取武装押运。 1.4.2卡片遗失、被盗或损坏的处理
发生下列情况时,发卡机构应立即通知中国银联及本机构内部的安全部门,并向警方报案:
在航班正常的情况下,空白卡未按照预计时间表到达; 装运空白卡的箱子有迹象表明遗失、损坏或被擅自开启; 未收到空白卡。 1.5接收与保管
应确保未发行卡片在任何时候都受到双人双管控制。 在双人监督下,清点验收。
接收后,应将银联卡存储于高安全区域保管,按种类设立台帐,对未发行卡片执行严密的数字管理。
1.6卡片个人化的安全管理
发卡机构应按照《“银联”标识卡个人化企业安全和质量管理指南》的制度规定和本卷第二章关于信息安全管理的相关要求,对人员管理、数字档案、交接手续等做出严密规定,确保银联卡生产过程中个人密码(PIN)和其他关键信息的安全。
制定并严格执行机房管理制度,实行严格的人员出入控制;要严格对涉密机具的管理,应对打卡机具进行监控,并要求人离上锁。
除发卡机构及发卡机构授权机构外,其他任何人和机构不得修改和复制卡面及磁条信息。
个人化生产企业必须经中国银联认证。如果发卡机构委托生产企业完成个人化的,必须与其签订保密协议。如第三方个人化服务商有违规行为,发卡机构应将有关情况报告中国银联。
1.7发行
各发卡机构应建立并执行严格的资信审查制度,有条件的发卡机构可采用信用评分系统降低信用风险。
对于不符合发卡机构信用卡审批政策或相关法律规定的申领者,应禁止发卡。
按照发行渠道不同,发行方式可分为柜面发卡和邮寄发卡。 柜面发卡时,已经完成个人化处理的卡片和密码应该分开管理。 邮寄发卡必须采用“卡片开启”程序,在卡片申领人身份被证实前,暂时冻结卡账户。经申领人通知并完成身份辨识手续后,启用卡片功能。
在邮寄过程中,发生卡片批量丢失的情况应立即报告中国银联与司法部门。
1.8销毁
对于回收的没收卡、过期卡、机打作废卡,与登记簿核对无误后,可定期集中进行销毁。
2《领用合约》必备的风险条款
发卡机构要在《领用合约》中明确规定:
持卡人不能将银联卡用于任何非法场所,包括购买当地法律禁止的商品和服务,持卡人自行承担在非法场所使用导致的风险。
持卡人不得将银联卡及其账户出租或转借给他人使用,持卡人将自行承担出租或转借他人使用导致的风险。
发卡方有权将申领人的不良用卡记录提供给中国银联风险信息共享系统。
3 个人密码(PIN)的管理
个人密码的长度不得少于六位字符。初始个人密码必须随机生成或由持卡人自行设置,发卡行不得设置统一的初始密码。
打印密码函出错时,应及时销毁错误密码函,重新生成有效密码函。
个人密码在联机交易传送和处理过程必须加密处理,禁止明文出现在硬件加密设备之外。
无论何种情况下,都不得要求持卡人泄露个人密码。
对于同一银行卡,交易密码或查询密码连续三次校验错时,应实时冻结该卡片,但有明确付款方的交易除外。持卡人本人须持有效身
份证明到发卡机构柜面或者通过其他的身份认证渠道办理解除冻结手续,重新开通账户。
4 卡片挂失管理
发卡机构应在接到持卡人挂失请求并核实身份合法性后,立即冻结挂失的卡
片。
5 吞没卡及止付卡管理
成员机构应按照《银联卡业务运作规章》第二卷的有关规定做好吞没卡处理。
委托中国银联代授权的发卡机构应按照规定及时报送止付名单。 6 发卡专业化服务机构的风险管理
发卡机构在选择发卡专业化服务机构时,除应遵照《银联卡业务运作规章》第一卷之规定外,另须遵守如下规定:
发卡机构应谨慎选择合作机构。
发卡机构应与专业化服务机构签订安全保密协议,确保专业化服务机构遵守《银联卡账户与交易数据安全管理规则》等安全规定。
明确外包业务种类、范围、程序和操作时限,禁止擅自转包行为。 发卡机构有对发卡专业化服务机构进行监督的责任。
发卡专业化服务机构应承担因管理不善或违规经营给中国银联及成员机构
带来的损失。情节特别恶劣、损失特别巨大的,对于已经获得认证资格的,中国银联将取消其认证资格;对于无须认证的机构,将通报各成员机构。
卡片生产厂商和第三方个人化服务厂商必须经中国银联资格认证。对于违反规定的厂商,中国银联将采取暂停资格、取消资格并罚款等处罚措施,并通知各成员机构。
7安全及风险调查
中国银联可对发卡机构及银联卡生产企业、个人化企业、委外营销商等专业化服务机构进行必要的安全及风险调查。
7.1调查内容
空白卡生产申报制度的执行情况;
银联卡生产企业安全管理制度执行状况和产品质量状况; 发卡机构空白卡定购、储存及数字档案管理状况; 卡片发行管理状况;
回收的过期卡、作废卡、已打未发卡和吞没卡的保管和销毁记录状况;
密钥安全管理状况;
账户及交易数据的安全管理状况;
与银联卡相关的欺诈交易报告以及处理情况; 其他需要知情的内容。 7.2违规处理
发卡机构发生下列情形,已经或可能给银联卡持卡人、成员机构与中国银联带来损失的,中国银联将视情节轻重,建议董事会或风险管理委员会给予该发卡机构相应处罚。
规章制度执行不力,安全管理状况松懈;
空白卡发生遗失或被盗,未及时向中国银联等相关单位报告或故意隐瞒不报;
发卡机构内部人员操作不当或作弊引致银行卡敏感信息泄漏; 拖欠清算资金;
对密码输入错误超过规定次数未冻结账户; 未实施磁条卡卡片校验; 未及时提供不良信息; 未及时上报欺诈交易信息;
密钥安全管理粗放、手续不全、资料缺失,存在泄漏或被攻破的可能性;
相关的专业化服务机构管理不善或违规经营; 其他违反规定的做法或经营行为。 第三章收单机构的风险管理
本章对受理银联卡的收单机构、特约商户和收单专业化服务机构应遵循的风险控制标准作出基本规定。
1 商户准入 1.1禁入商户类型
收单机构禁止发展下列商户: 非法设立的经营组织;
特殊行业商户:包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等其他与本国法律、法规相抵触的商户;
可疑商户:商户或商户负责人(或法人代表)已被列入中国银联的风险信息共享系统;
注册地及经营场所不在收单机构所在国的商户。
收单机构违反上述规定与禁入类商户签约的,需承担自签约日起相关欺诈交易的退单损失。同时,中国银联将暂停该商户的银联卡交易,并书面通知收单机构立即与商户强制解约,将商户相关资料报送至中国银联风险信息共享系统。
1.2谨慎发展商户类型
收单机构对于下列类型的商户,应谨慎签约,并采取更为严格的调查措施和审批程序:
机票代售点或手机专卖店;
各类娱乐场所如夜总会、卡拉OK、酒廊等; 电购、邮购及网购商户; 提供中介、咨询类服务的商户; 持卡人需预付款的商户。 2 目标商户审查
收单机构应对目标商户进行签约前的风险审查和实地调查,并根据审查和调查结果对目标商户进行风险等级划分,不同的风险等级应采取不同的风险管理措施。
3 商户签约
3.1协议必备风险条款
收单机构与商户签约时,应使用统一格式的商户受理协议书文本,协议或协议附件中至少应包括下列必备风险条款:
商户不得将相关机具、设备、凭证等用于受理协议许可范围以外的用途,也不可以提供给第三者使用。
除非经过收单机构书面允许,否则商户不得将受理银联卡的业务委托或转让给第三方。
收单机构只接受本商户的交易签单,商户不得代清算其他商户的签单。
保密条款。商户应对帐户及交易数据安全进行保密。 明确界定商户违规操作及相关责任。
收单机构及中国银联对商户终止银联卡交易的有关规定。
收单机构及中国银联对商户基本信息及风险信息的无偿使用条款。 交易查询及追索规定。合约终止后 24 个月内,收单机构对合约终止前的交易仍有查询及追索权。
3.2机具布放
收单机构应先完成商户协议书的签署,再布放POS等相关机具。 3.3资料保管
收单机构应妥善保存签约的相关资料备查。收单机构与商户解约的,从协议终止日起,相关资料至少还应保存两年以上。
4 特约商户日常风险管理
收单机构在正式开展收单业务前,应首先对商户进行业务培训,之后再根据业务发展和风险控制需要,进行有针对性的培训。
为加强日常风险管理,收单机构还应建立商户交易监控制度和不定期抽查制度,一旦发现异常情况,应及时进行实地调查,并检查相关交易单据,以核实是否存在欺诈风险。同时,收单机构还应积极收集与商户有关的各类信息,以便及时掌握商户经营状况的变化,并采取相应的风险防范措施。
5 特约商户强制解约 5.1强制解约的情况
因篇幅问题不能全部显示,请点此查看更多更全内容