第一篇:POS风险培训
一、商户信用风险
定义:商户因经营不善破产或在收到大笔清算款项后立即关门,销声匿迹,使收单机构承担此后的退单损失。
特征:
1.以预付款类商户居多
2.往往是新成立的企业,销售规模为中小型
3.申请时可能冒用其他具有良好声誉或已有正常记录的商户信息 4.一定时限内突然出现异常大额交易,之后销售金额立即下降或为零
二、商户套现风险
定义:指信用卡用户不通过正常手续(ATM/柜台)提取现金,而是通过与商户协商以虚构交易,刷卡取现。具体做法就是由商户刷卡后将所得金额退还给持卡人,以达到消费信用额度到现钞的转换。
特征:
1、商户多为低费率或封顶费率
2、公开招揽套现、提供养卡等服务,商户自刷套现
三、洗单风险
定义:洗单是指与收单机构签署了有效商户协议的商户,将其它未签约商户的交易在本商户的POS机或压印机上刷卡或压卡,假冒本店交易与收单机构清算。
特征:
1、委托洗单的多为出于某些原因不能或不愿意签署受理协议的商户,如高风险的电话营销商、邮购商户等,也有可能是专门受理伪卡、进行伪冒交易的非法商户等
四、账户信息泄露
类型:在POS终端:侧录、POS储存信息 特征:
1、犯罪份子在伪卡盗刷前,一般会频繁、多次查询持卡人账户余额,一旦发现持卡人账户有大额资金入账,便立即实施伪卡盗刷行为。
2、因ATM取款单笔、单日额度限制,大额伪卡盗刷多发生在珠宝首饰类等单笔交易金额大、易变现商户,犯罪份子持伪卡盗刷时一般会有卡面卡号与POS读取卡号不一致、多次输密错误、多次超过账户余额、持卡人不关心商品只求尽快完成交易等异常情形。
3、犯罪份子在知晓持卡人有单笔刷卡限额或在实施较大金额伪卡盗刷时,一般会串通同伙,分头在多个商户处,同一集中时间段内一连续实施多笔伪卡盗刷行为,让持卡人及发卡银行措手不及。
4、单笔伪冒交易金额大,借、贷记卡均有集中。不法分子不满足于小额盗刷,伪冒交易动辄几十万。而根据当前关于伪冒交易的司法判例,发卡银行往往很被动,持卡人账户一旦被伪冒,对发卡银行都是笔不小的损失。
五、POS终端移机风险
多以虚假申请获取机具,或经由他人代办申领,最终机具被转卖或租赁给实际专业套现的商户
六、伪冒交易合谋
定义:商户与不法分子合谋,在商户集中使用伪卡或失窃、被盗卡,或购买易变现商品,或享受相关服务
风险点:
1、伪冒交易往往单据不全或单据没有签名,使得收单机构承担退单损失
2、收单机构也可能因为欺诈交易比率或退单比率超标而承担退单损失,或承担违规处罚
特征:
1、一定期限内交易量突增,与其经营规模和经营业务不匹配
2、大量出现同一序列的卡号或相同BIN号的交易
3、在非正常营业时间,出现多笔大额交易
七、违规操作
指商户在受理卡交易过程中由于商户操作失误或违反有关规定等原因,例如挪用机具、分单、签购单不合规或丢失等,使商户或收单机构蒙受损失的风险可能性。
察言观色
• • • • • • • •
持卡人刷卡时神情紧张急欲成交; 持卡人来店刷卡次数频繁; 持卡人以多张卡片轮流试刷;
持卡人签名时还须参考卡片签名,签名速度慢;
持卡人购买物之金额及数量过大,不分大小,,品质及价格等; 持卡人的卡片非从钱包取出而由口袋掏出; 持卡人特别熟悉卡片受理程序。卡片卡号与POS读取卡号是否一致
第二篇:pos流程风险
【风险点一】收单商户审核与审批
风险因素:
1、营业执照、税务登记证申请期间年检期限。
2、调查、审批特约商户认真审核特约商户的资料真实性,完整性。
3、确定商户的费率、编码、准入类型等 防范措施:
1、查看收单商户营业执照、税务登记证原件的年检期限。
2、各支行开展收单业务时,确保特约商户的资料真实性,完整性。
4、依据中国银联和我行的收单业务准则确定,换人复核。【风险点二】收单商户资料录入与机具安装 风险因素:
1、资料录入清算行号、结算账号、商户名称错误。
2、密钥重复灌装,机具安装串户等。
3、机具安装地址和录入资料地址不符等。
防范措施:
1、资料录入前后,换人复核。
2、密钥和机具安装后,测试打印单据。
3、我行收单业务管理人员,上门安装机具,不允许收单商户自行安装。【风险点三】收单商户
风险因素:
1、商户经营失败而对于我行造成的风险。
2、商户自身或与不法分子勾结,利用其经营场所和经营设施进行银行卡欺诈交易,使我行蒙受损失。防范措施:
1、支行专管员做好日常巡检工作。
2、通过(1)交易监控。针对不同商户类型及行业选择监控规则,并根据商户风险等级进行参数的区别设定。
(2)商户培训。根据商户风险级别制订商户培训计划,不同风险等级的商户,其培训内容、培训层次、培训频度应有所区分。
(3)商户检查。根据商户不同的风险级别,调整商户检查的频度与力度等。
第三篇:pos风险控制方案
第一部分 总则
1.1编写目的
为引导成员单位提高互联网支付业务风险防范意识,有效识别、防范互联网支付业务风险,保护成员单位及消费者的合法权益,促进互联网支付业务的健康发展,根据国家法律法规及相关规定,制定本指引。
1.2适用范围
支付机构互联网支付业务经营活动中的风险识别、防范及处置,应遵循本指引。支付机构是指根据中国人民银行《非金融机构支付服务管理办法》规定,取得《支付业务许可证》,获准办理互联网支付业务的非金融机构。互联网支付业务是指客户通过计算机等设备,依托互联网发起支付指令,实现货币资金转移的行为。
1.3基本要求
支付机构开展互联网支付业务活动时,应遵循平等竞争、诚实守信、安全可靠、风险可控的原则。
支付机构应建立与本机构支付业务规模、模式相适应的风险防范管理体系。在业务开展过程中,应根据风险状况不断完善防范措施,有效防范用户端与商户端风险。同时应依照有关法律、法规和监管部门规章、规范性文件的规定加强对资金和客户信息安全的管理,严格履行反洗钱、反恐怖融资义务,规范外包业务管理,实现行业内风险信息共享,确保有效识别、评估、监测、控制和处置互联网支付业务风险。
第二部分 风险管理体系
2.1组织架构
支付机构应建立与本机构支付业务性质、规模和复杂程度相适应的风险管理组织架构,以有效识别、评估、监测、控制风险。风险管理组织架构至少应包括以下基本要素:
a.董事会及其职责;
b.高级管理层及其职责;
c.风险管理部门及其职责;
d.其它相关部门职责等。
2.1.1董事会职责
董事会对本机构互联网支付业务风险的管理负最终责任,主要职责包括:
a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策;
b.通过审批及检查高级管理层的风险管理职责、权限及报告制度,确保本机构风险管理决策体系的有效性,尽可能确保将本机构各项业务面临的风险控制在可以承受的范围内;
c.定期审阅高级管理层提交的风险报告,充分了解本机构风险管理的总体情况、高级管理层处理重大风险事件的有效性以及监控和评价日常风险管理的有效性;
d.确保高级管理层采取必要的措施有效地识别、评估、监测和控制风险;
e.批准内部审计部门提交的风险管理体系运行效果的审计报告,确保本机构风险管理体系接受内审部门的有效审查与监督;
f.制定适当的奖惩制度,有效推动本机构风险管理体系的建立完善。
g.风险管理其他重大事项。
未设董事会的支付机构由执行董事或高级管理层履行相关职责。
2.1.2高级管理层职责
高级管理层负责执行董事会批准的风险管理战略及政策。主要职责包括:
a.在风险的日常管理方面,对董事会负责;
b.负责制定、定期审查和监督执行风险管理的政策、程序和操作规程,并定期向董事会提交风险总体情况的报告;
c.审阅风险管理职能部门提交的风险管理报告,充分了解机构风险管理的总体情况,重大风险事件处理机制及日常风险监控、评价的有效性;
d.界定各部门风险管理职责及风险管理报告的路径、频率、内容,督促各部门切实履行风险管理职责,以确保风险管理体系的正常运行;
e.为风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等;
f.及时对风险管理体系进行检查和修订,以便有效地应对因内部程序、产品、业务活动、信息技术系统、员工及外部事件和其他因素发生变化造成的风险损失事件。
高级管理人员,包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。
2.1.3风险管理部门职责
支付机构应设立或指定专门部门负责风险管理体系的建立和实施,及风控措施的审批和执行。专职部门应直接对高级管理层负责并与其他部门保持相对独立,以保证风险管理的一致性和有效性。主要职责包括:
a.具体指导和协调本机构的风险管理工作;
b.拟定本机构风险管理制度、程序和操作规程,提交高级管理层审批;
c.建立风险识别、评估、监测、控制方法及报告程序,并组织实施;
d.建立跨部门联合工作机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练工作;
e.定期检查、分析相关部门风险管理情况,确保风险管理制度和措施得到有效落实;
f.定期向高级管理层提交风险管理报告;
g.为各相关部门提供风险管理培训,协助其履行风险管理职责、提高风险管理水平。
2.1.4其他相关部门职责
风险管理相关部门包括:业务部门、信息科技部门、内审部门、合规部门、客服部门等。
上述部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括:
a.执行风险管理的政策、程序和操作规程;
b.依据本机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急预案,确保与风险管理总体政策的一致性;
c.监测重点风险,定期向风险管理职能部门通报本部门风险管理的总体状况,并及时报告风险事件。
内审部门不直接负责或参与其他部门的风险管理,但应定期审计本机构的风险管理体系运作情况,监督检查风险管理政策的执行情况,对新出台的风险管理政策、程序和具体的操作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效果的审计报告,跟踪、督导审计发现问题的整改工作。
2.2风险管理制度与内部控制
支付机构应依据国家相关法律法规,按照审慎经营的原则,建立健全风险管理制度和内部控制机制。
2.2.1风险管理制度
支付机构风险管理制度应满足全面性、有效性原则,包括但不限于以下方面:
a.业务管理;
b.用户管理;
c.商户管理;
d.资金安全管理;
e.系统信息安全管理;
f.反洗钱和反恐怖融资管理;
g.风险事件及应急管理。
2.2.2内部控制
2.2.2.1内部控制应当体现全面、审慎、有效、独立的原则,主要内容包括:
a.内部控制应当贯穿本机构互联网支付业务全过程和全部操作环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或操作均应有案可查。
b.内部控制应以防范风险、审慎经营为出发点,本机构业务经营管理中应体现“内控优先”的要求。
c.内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应能够得到及时反馈和纠正。
d.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
2.2.2.2支付机构内部控制应当包括以下要素:
a.内部控制环境。
b.风险识别与评估。
c.内部控制措施。
d.信息交流与反馈。
e.监督评价与纠正。2.3风险管理方法
支付机构应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处置,对风险事件进行分析、评估和报告。包括:制定有效的风险防范措施,监测关键风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,聘请外部中介机构对风险管理体系进行审计和评价等。
支付机构应建立风险预警机制,以降低风险事件的发生频率;及时采取有效控制措施,减少风险事件损失;制定适当的程序报告风险状况和重大风险事件,重大风险事件应及时向董事会和高级管理层报告。
2.4风险管理系统
支付机构应当建立完善风险管理系统,以有效识别、评估、监测、控制和报告风险。该系统应记录和存储与风险损失相关的数据和风险事件信息,支持风险防范和控制措施,监测关键风险指标,并可提供风险报告的有关内容。
具备条件的支付机构应建立实时监测系统,用以控制交易风险。
业务类型复杂、经营规模较大的支付机构,应建立功能更加全面的风险管理系统,针对各项业务的风险特点实施有效管理。
第三部分 用户风险及防范
3.1用户注册审查
3.1.1实名制要求
支付机构应根据审慎原则,实名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。
支付机构应加强对用户支付账户的管理,为同一用户建立唯一的用户身份识别号,对该用户开立的所有支付账户进行关联、统一管理;对同一用户在同一支付机构开立多个支付账户的,应采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。
3.1.2用户身份信息审核
支付机构在为用户开立账户时,根据账户开立主体不同,分为个人支付账户和单位支付账户。
个人用户申请开立支付账户时,支付机构应登记其姓名、性别、国籍、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限等身份信息,并对用户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行有效审核。个人用户存在以下情形的,支付机构应核对其有效身份证件,并留存有效身份证件的复印件或者影印件。
a.个人用户办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的;
b.个人用户全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的;
c.个人用户全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的;
d.通过取得网上金融产品销售资质的支付机构买卖金融产品的;
e.中国人民银行规定的其他情形。
单位用户申请开立支付账户时,支付机构应登记以下基本信息:
a.单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外);
b.可证明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;
c.法定代表人(负责人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。
支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。
有效身份证件是指能够证明用户身份的相关证件。个人用户的有效身份证件,包括:居住在境内的中国公民,为居民身份证或者临时居民身份证;居住在境内的16周岁以下的中国公民,为户口簿;中国人民解放军军人,为军人身份证件或居民身份证;中国人民武装警察,为武装警察身份证件或居民身份证;香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;外国公民,为护照;政府有权机关出具的能够证明其真实身份的证明文件。
法人和其他组织用户的有效身份证件,是指政府有权机关颁发的能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件,包括营业执照、经营者或授权经办人员的有效身份证件。
支付机构可通过与公安机关、工商机关及税务机关等机构的合作,对个人用户及单位用户基本身份信息的真实性进行有效审核。3.1.3用户申请资料保存
支付机构应加强对用户身份信息等资料的管理与保存,建立用户身份信息资料的分类、保管、查阅和销毁等管理制度,保证其妥善保管、有序存放、方便查阅,严防灭失、损毁和泄露。支付机构不得以任何形式对外提供用户身份信息等资料,法律法规另有规定或与用户另有约定的除外。
用户身份信息等资料,应当由支付机构按照归档要求,以纸质或电子方式妥善保存,保管期限自业务关系结束当年至少保存5年。纸质资料应整理立卷,装订成册,编制会计档案保管清册,电子方式的资料应进行备份,按照系统信息安全管理相关制度的要求妥善保管。
对于司法部门正在调查的可疑交易或违法犯罪行为活动涉及用户身份信息等资料,且相关调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应当将其保存至相关调查工作结束。
3.2用户服务协议
3.2.1服务协议基本内容
支付机构为用户开立支付账户的,应在用户申请开立支付账户时签订服务协议。协议内容包括但不限于:
a.支付账户的开立、使用、挂失、止付和撤销的条件;
b.身份验证和支付授权方式;
c.用户对支付机构核验其银行账户信息和身份信息真实性的授权;
d.支付账户使用规则,以及违规使用的处置和责任;
e.支付账户资金变动的通知方式;
f.发现支付账户被盗用后的通知、处置方式和责任划分;
g.用户身份信息和交易信息的保密责任;
h.支付机构所提供的支付服务,包括具体的服务种类及产品功能等,及其支付服务的使用限制;
i.交易风险提示,包括提示用户注意交易过程中可能存在的风险及风险发生后的相关处理措施;
j.知识产权的保护,说明支付机构所享有的知识产权及相关
侵权责任;
k.业务争议解决方式及免责条款;
l.双方的其他权利和义务。
3.2.2风险防范内容
支付机构与用户签订服务协议时,应告知用户可能存在的风险及相关的注意事项。
协议的风险条款应包含但不限于以下内容:
a.支付机构提供的各项支付服务中可能存在的风险,以及用户的注意事项;
b.用户注册支付账户时可能存在的风险,如未及时更新身份资料可能引发的风险等,以及用户的注意事项;
c.用户使用支付账户时,如账号登录、密码设置、交易操作等,可能存在的风险,以及用户的注意事项;
d.用户停止使用支付账户时可能存在的风险,以及用户的注意事项;
e.其他风险防范内容。
3.2.3法律责任条款
支付机构与用户签订服务协议时,应明确与用户之间的权利与义务,并对各自承担的法律后果及法律责任进行约定。协议的法律责任条款应包含但不限于以下内容:
a.注册支付账户时,双方所承担的权利义务与责任;
b.使用支付账户服务时,双方所承担的权利义务与责任;
c.暂停、拒绝或终止支付账户服务时,双方所承担的权利义务与责任;
d.支付系统服务中断或故障时,双方所承担的权利义务与责任;
e.用户使用支付账户及交易过程中产生风险损失时,双方所承担的权利义务与责任;
f.用户隐私权的法律责任条款;
g.支付机构知识产权的法律责任条款;
h.其他法律责任条款。
3.2.4协议变更告知
支付机构拟变更支付服务协议格式条款、收费项目、收费标准等主要内容的,应当在变更前30日告知用户,并提示需要变更的内容,未向用户履行告知义务的,变更后的条款对该用户不具有约束力。变更协议涉及新增收费项目、提高收费标准、降低优惠条件等不利于原客户权益内容的,未经原用户同意,仍应当按照原协议执行。3.3用户交易身份认证
3.3.1基本要求
为保障用户身份信息及交易信息的安全,保证用户支付指令的完整性、一致性和不可抵赖性,支付机构应为支付账户提供安全可靠的身份验证和支付授权方式,并采取有效措施,在用户发出支付指令前,提示用户对支付指令的准确性进行确认。
3.3.2技术手段
支付机构可通过密码、令牌、动态口令、安全证书、手机校验码等技术手段对用户交易身份进行认证,确保用户的交易指令由用户本人发出。
支付机构可根据用户使用的不同身份认证方式设置支付限额,以保护用户的资金安全。用户提交的身份认证信息经多次验证或在限定时间内仍未通过的,支付机构应暂停其部分或全部业务的处理,并以适当方式通知用户。
支付机构应持续更新交易身份认证技术手段,保证用户交易安全。
3.4用户账户与交易监控
3.4.1基本要求
支付机构应建立账户与交易监控系统,制定账户及交易安全监控、风险处置与报告制度,并指定专门部门、设置专职岗位或人员对用户账户及交易安全进行监控。
3.4.2监控范围
支付机构应当对用户签约、登录、交易、付款、查询、退款以及涉及账户变动的全过程实施7X24小时监控,以及时发现账户盗用、欺诈交易等风险,保障用户资金及信息安全。
3.4.3监控指标
为强化对账户及交易的监控效果,提升监控效率,支付机构应对以下指标实施重点监控:
a.订单信息,包括交易双方名称或账号、商户编号、交易内容、交易金额、订单编号、交易日期和时间等;
b.交易频率;
c.交易额度及限额;
d.商户交易集中度;
e.其他。
3.4.4异常交易识别、调查与处置异常交易是指用户在办理互联网支付业务或支付机构在提供互联网支付服务过程中因自身或外来原因产生的非正常交易。
异常交易包含但不限于以下情形:
a.用户利用互联网支付服务从事套现、诈骗、洗钱等违法犯罪活动而产生的非正常交易;
b.不法分子通过采取恶意程序、网络钓鱼等欺诈手段,盗用用户账户或银行卡而产生的非正常交易;
c.因支付业务系统及设施遭到自然或人为因素破坏,支付机构无法准确、及时地传送业务信息,或因网络攻击、网络犯罪活动导致互联网支付服务异常而产生的非正常交易。
支付机构应在其网站上公布异常交易投诉渠道及调查处理流程,结合交易监控系统及投诉信息,对异常交易进行比对分析,并启动调查程序。
支付机构应根据异常交易调查结果,采取暂停或继续交易、账户恢复原状、限制账户使用、冻结账户操作等措施。同时,根据异常交易种类、数量、后果及影响范围依照相关规定向业务监管部门进行报告。异常交易调查结果符合可疑交易报告标准的,支付机构应按相关要求向中国反洗钱监测分析中心履行报告义务。
支付机构应建立用户黑名单数据库,依据异常交易监测和调查结果,将确认存在违法或严重违规行为的用户列入该名单,并终止继续向其提供互联网支付服务。
3.5用户账户及交易信息安全
3.5.1用户信息安全管理
支付机构应设立或指定专门部门负责用户信息保护工作,并与所有接触用户账户信息及交易数据等敏感信息的员工签署保密协议,明确员工需要承担的保密责任以及员工离职时的脱密期。
支付机构应严格控制员工对用户账户信息及交易数据等敏感信息的访问权限,访问权限的分配应遵循分级授权的原则,访问记录应当留存备查,避免单个员工对用户账户信息及交易数据等敏感信息的完全控制。
未经用户授权,支付机构不得为任何单位或个人查询用户身份信息及交易信息资料,不得将用户身份信息及交易信息向任何第三方提供,法律法规另有规定的除外。
3.5.2信息变更管理
支付机构应制定用户信息变更操作制度及流程,用户申请变更身份信息的,支付机构应在核实用户身份后予以更新。在用户业务关系存续期内,支付机构应当及时提示用户更新身份信息。
对于有效身份证件将超过有效期的用户,支付机构应当在失效前60天通知其及时更新,并予以有效核验。单位用户应按相关规定留存其有效身份证件的复印件或者影印件;个人用户存在3.1.2有关要求情形的,应留存其有效身份证件的复印件或者影印件。
对于有效身份证件已过有效期的用户,支付机构为其办理首笔业务时,应要求重新提供有效身份证件信息,并予以有效核验。单位用户应按相关规定留存其有效身份证件的复印件或者影印件;个人用户存在3.1.2有关要求情形的,应留存其有效身份证件的复印件或者影印件。
3.5.3账户挂失管理
支付机构应当制定并公布用户账户挂失操作制度及流程,用户因密码丢失或遗忘申请账户挂失的,支付机构应首先引导其通过自助或人工方式找回密码;用户因账户盗用等异常情况申请账户挂失的,支付机构应根据用户申请,在核实用户身份后对挂失账户进行限制账户使用、冻结账户操作等处理。3.6用户安全教育服务
3.6.1用户安全提示
支付机构对用户的安全提示应覆盖其使用互联网支付产品完成支付活动的全过程和所有环节,提示用户注意账户、银行卡使用及个人信息安全,并提供相应的安全防范措施。
支付机构还应当以适当的方式,包括但不限于公告、邮件、短信、站内信等向用户提示当前主要支付安全风险。
3.6.2日常安全教育
支付机构应当建立用户日常安全教育制度及流程,设立专门客服渠道解答用户安全问题,在网站页面应当设置安全教育板块。
支付机构在设计相关产品时应包含对用户进行安全提示或安全教育的内容,培育用户良好的支付安全习惯。
支付机构可定期或不定期开展互联网支付安全宣传培训活动,对用户进行安全教育。
3.7业务投诉、差错及争议管理
支付机构应当建立业务争议、投诉处理机制,在网站公布争议受理渠道及流程,成立或指定经专业培训的争议、投诉处理部门,设置专岗,提供至少5x8小时的服务。支付机构应在5个工作日内处理相关争议或投诉,并及时将处理结果告知用户。
第四部分 商户风险及防范
4.1商户拓展
4.1.1禁止发展的商户
a.非法设立的经营组织;
b.特殊行业商户,包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等以及其他与本国法律、法规相抵触的商户;
c.以返利为名招徕客户实现传销或非法集资目的的商户或经营组织。
4.1.2谨慎发展的商户
a.虚拟商品销售(包括充值卡、游戏点卡)等易发生套现、伪冒交易的商户;
b.提供中介咨询服务类商户;
c.接受用户预付款的商户;
d.以个人账户作为结算账户、注册资本低或成立时间短、无实体店面的商户;
e.注册地或经营场所在境外的商户;
f.代购类商户;
g.从事民间融资、贷款等类型业务的商户;
h.商户或其法定代表人、负责人已被列入中国人民银行指定的不良信息系统的商户。
4.2商户资质审核
4.2.1基本要求
支付机构应对商户的基本信息、资信记录、经营状况等进行全面审核与调查,以核实商户基本信息的真实性,并判断其是否满足商户准入的基本条件。
商户资质审核应由专人负责,不得与商户拓展等岗位兼岗,审核渠道包括但不限于电话调查、现场调查和间接调查等。
4.2.2审核内容
支付机构与商户签约前,为防范风险可对以下内容进行审核:
a.营业执照、税务登记证、组织机构代码证,法人代表或商户负责人身份证等;
b.商户网站域名是否可以正常访问,网站信息是否定时更新;
c.是否取得ICP证或有ICP备案;
d.系统数据安全和人员配置是否有保障,业务制度体系是否完备;
e.商户提供的商品及服务内容是否合法合规;
f.服务条款、客户隐私声明、安全管理声明是否完整,有关退货、退款、送货和交易取消政策是否齐全;
g.客户服务体系是否健全;
h.网站内容。
对平台类商户应增加以下审核内容:
a.二级商户实名制落实情况;
b.平台类商户的信用评价体系和风险控制措施;
c.平台类商户对二级商户交易信息上送和保管能力。
4.2.3风险评级与分类管理
支付机构在审核商户基本情况的基础上,应对其进行风险等级划分。通过对商户的信用风险、欺诈风险和合规风险等各项基本要素进行评分,形成反映商户整体风险水平的评价分值,作为与商户签约的决策依据,并根据分值不同对商户采取差异化的风险管理措施。对风险等级较高的商户,应采取的交易风险管理措施包括但不限于:设置商户单笔或当日交易限额、交易监测、物流审查、现场检查、缴存风险准备金、延迟清算等。
商户签约后,支付机构应结合商户的日常交易行为和风险管理状况,动态调整商户风险等级和相关管理措施。
4.2.4未通过审批商户的记录
对于未能通过审批的商户,支付机构应建立内部的登记留存制度,对商户基本信息和拒绝原因进行详细记录,并及时进行更新汇总,为后续新商户的审批查询提供参考,防止不良商户多次提交欺诈申请。
4.2.5申请资料保存管理
支付机构应妥善保存下列资料的影印件或扫描件备查:
a.商户营业执照
b.税务登记证
c.组织机构代码证
d.法定代表人或商户负责人有效身份证件
e.商户ICP证
f.商户信息调查表
g.商户受理协议书
h.对商户日常风险管理的相关表格,如商户日常检查表、《特约商户风险管理自查问卷》等。
支付机构与商户解约时,从协议终止日起,商户相关资料至少应保存五年以上。4.3服务协议
4.3.1基本要求
支付机构应与商户签订标准的受理协议书,明确双方权利与义务。
4.3.2风险防范条款
支付机构在与商户签订的协议文本中,应明确包含以下风险条款:
禁止性规定:
a.商户不得将相关网关接口、标识等用于受理协议许可范围以外的用途,也不得供受理协议许可范围以外的第三方进行交易的使用。对于违反该条款的,支付机构保留向商户追索损失及要求额外罚款的权利。
b.未经支付机构书面允许,商户不得将受理业务委托或转让给第三方。
经营义务:
a.商户应对所提供资料的真实性负责,保证其经营活动和范围的合法性;
b.信息资料、业务状况或商户基本情况发生变更时,商户应及时通知支付机构:
i.信息资料变更包括:商户注册信息、服务器及网站地址(URL及IP)、网站名称、联系方式、开户银行及收款账户等发生变更;
ii.业务状况变更包括:经营变化(如中断或终止)、商品和服务以及提供方式(如主营业务范围,送、退货方式)等发生变更;
iii.商户基本情况变更包括:商户资本及所有权变更(如注册资本的增减、重大的债务变化)。
c.商户需确保有关商品和服务描述完整,有关退货、退款、送货和交易取消政策齐全,有关客户服务体系健全。
d.商户要妥善、及时处理互联网支付业务产生的差错和争议,维护消费者合法权益。
e.商户应加强对相关网站、支付设备及软件的日常维护和管理,保证系统的安全稳定性,并遵守国家有关互联网支付安全的法律法规规定,确保交易以及账户信息的安全,否则支付机构有权限定商户的支付金额或中止合作,并要求商户承担相应的违约责任。
f.商户存在篡改交易数据、未按要求上送交易验证信息、为洗钱、套现提供便利等违规操作,应承担相应责任。
g.在发生欺诈交易后,商户应履行配合相关机构进行风险事件协查的义务,包括但不限于提供商户或二级商户签约时留存的
基本信息、支付交易信息、客户信用记录、持卡人基本信息等。
h.平台类商户应配备相应的系统、人员和完善的制度,对其二级商户的交易实施有效识别、追溯及在必要时暂停业务的管理。同时,须承担因二级商户发展和管理不善造成的风险损失,下设的二级商户不得再发展下一级商户。
i.交易订单保存条款。商户应对交易订单保存至少1年。因保存不当或遗失订单而造成的经济损失由商户承担。
保密条款:
a.商户不得存储除基本的交易信息以外的其它数据(如网上支付密码、卡片有效期、CVN2等)。
b.除了交易需要或法律要求,商户不得将账户及交易数据信息披露给第三方。
c.商户必须将包含账户及交易数据信息的所有载体保存在安全区域,并确保只有被授权人员才能接触;包含账户及交易数据信息的所有载体在失效后应立即销毁,不得留存。
d.业务处理流程应当确保信息安全。
风险控制措施条款:
a.经风险状况评估确认为高风险商户的,支付机构有权调整商户交易款结算时限和方式。若商户违反协议,或从事欺诈交易的,支付机构可延迟对商户款项的结算。
b.根据商户风险属性或风险评级,支付机构可要求商户缴纳一定额度的保证金,用于对商户违约造成的损失进行赔付。
c.因商户违规操作、出现风险事件、违反协议规定等情况,支付机构可立即终止商户服务协议。
d.调查商户疑似欺诈交易期间,支付机构可暂时扣留有关交易的结算资金,并须及时告知商户。
e.商户出现以下情况且经通知、协商未做出改进的,支付机构有权终止对该商户的服务:
i.在正式运行3个月内无交易;
ii.因商品质量、配送问题而遭客户多次投诉;
iii.商户因经营不善,已破产或停业的;
iv.被监管机构和司法机关认定为需要关闭的;
v.违反保密义务的;
vi.有其他严重影响双方合作行为的。
其他条款:
a.商户风险信息使用条款。在正常业务范围内,商户同意支付机构使用其风险信息(包含但不限于商户基本信息、商户经营及其风险情况等)。
b.交易查询及追索规定。协议终止后,支付机构对协议终止前的交易仍有查询及追索权。
c.支付机构的债权保证。在商户宣布破产时,应保证支付机构的债权人地位。4.4商户日常管理与监控
4.4.1商户日常风险教育
支付机构与商户建立业务关系前,应对商户进行至少一次包括风险防范要求及技能的培训。业务存续期间内,支付机构应根据业务发展和风险控制需要,对商户进行定期或不定期的培训,可采用现场或远程方式,原则上一年内不得少于一次,并保留培训记录,以备查核。
4.4.2商户风险检查与管理
支付机构应根据业务发展和风险控制的需要,定期对商户风险情况进行检查,并保留回访和培训的记录。检查的方式可以采用商户自查、支付机构检查以及委托专门机构代查相结合的方式,检查内容包括业务检查及技术安全检查。
发现异常或违规情况,应要求商户及时整改并提出有效的风险防范措施,必要时按照相关规定及时中止与商户的协议。
支付机构应采取必要的技术手段保证商户账户资金安全,具体手段包括但不限于:Usbkey、Token、数字证书、手机短信验证码等。
支付机构应以电话或网络方式为商户提供业务及风险咨询服务,并明确告知商户。
4.4.3日常交易监控
支付机构应建立对互联网支付业务的交易监控机制,配备专门人员,对商户日常交易进行监控,并对可疑交易进行调查处理。
依托风险管理系统,运用信息化手段来加强商户的风险监控和管理。
支付机构应根据自身风险策略,在风险管理系统中对互联网支付业务设置相应的商户风险监控指标。支付机构可根据商户的风险等级,建立动态的商户交易限额控制机制,细化针对不同类型商户的交易限额标准。
4.4.4交易信息上送及保管
支付机构应要求商户上送完整的交易信息,确保支付机构保存详细的交易记录数据,应包括如下信息:
a.交易发起方IP地址;
b.商品或服务内容描述、物流配送信息;
c.二级商户名称、商户服务类别码等。
支付机构应对上送交易数据至少保存五年,以便追溯。
4.4.5商户调查与处置
日常交易监控与商户检查中,发现商户存在违规迹象时,支付机构应立即进行调查。调查疑似套现等商户欺诈时,应综合采取如下措施进行处理,以及时发现风险,阻止商户欺诈行为,避免更大损失:
a.向商户索取单据及相关凭证;
b.向银行等有关机构证实交易;
c.暂时扣留结算资金;
d.前往商户实施现场调查;
e.对有嫌疑商户实施后续监控和调查。
当确认商户存在违法、违规、欺诈行为且情节严重,或对商户采取警告、整改、暂停交易等处罚措施无效的,应立即终止商户协议、及时清退,并于协议终止后十个工作日内,将商户信息录入人民银行指定的不良信息系统。
支付机构应积极协助公安司法机关、相关主管单位及合作银行对商户违规违法事件进行调查,配合采取相应措施。
4.5商户风险类型及防范
4.5.1信息泄露
4.5.1.1风险描述
商户违反保密条款,违规保存或将交易中采集的银行账户信息、支付账户信息和交易数据等信息,泄露给无关第三方,被泄露的信息具体包括:
银行账户信息:涉及银行卡号、有效期、CVN2、与支付相关的各类密码等;涉及持卡人姓名、身份证号、联系方式、其他证件号码等身份信息;
支付账户信息:涉及支付账户用户、密码和联系方式等;
交易数据信息:涉及交易金额、交易商品等。
4.5.1.2防范手段
在合作协议中明确支付机构与商户的责任与义务。要求商户遵循本指引的信息安全管理要求,切实了解商户对于信息泄露等风险的防范措施,加强对商户相关人员的风险培训与日常管理。
采用各类安全支付手段,防止信息泄露,提升支付的安全性。
4.5.2套现
4.5.2.1风险描述
商户与消费者或其他第三方勾结,或商户自身开立买卖双方的账户,进行无商品交付的虚假交易以此套取现金的行为。
4.5.2.2防范手段
严格执行实名审核制度,充分利用联网核查身份信息系统、公安部户籍查询系统,并多方了解特约商户的经营背景、营业场所、经营范围、财务状况等信息。
在商户入网协议中明确商户有防范套现风险的义务,一旦发生套现行为,应采取暂停该商户交易或关闭商户等措施,并由商户承担可能出现的损失;在商户协议中,明确规范退货渠道,不得进行现金退货或采用预付费卡等易引发套现的形式退返现金;将疑似有套现嫌疑的商户负责人信息、营业执照等相关证件信息加入黑名单或灰名单,作为入网审核时的参考依据。
按照商户服务类型制定单笔、当日累计交易限额,并根据互联网欺诈形势对限额进行动态调整。
建立商户交易监控机制,针对套现商户交易特征制定相应的侦测规则。4.5.3恶意倒闭
4.5.3.1风险描述
以欺诈为目的,发生商户负责人卷款潜逃、商户倒闭等风险事件,引发缴纳预付款的用户投诉,给支付机构带来退款损失的情形。
4.5.3.2防范手段
为商户提供互联网支付服务前应首先查询人民银行指定的不良信息系统,防止恶意倒闭商户在被某一支付机构发现后转移重复申请;对易发生恶意倒闭商户要求其缴纳风险保证金,并采取延迟结算的措施。加强交易监控,及时发现有恶意倒闭嫌疑的商户,并采取风险控制措施。
4.5.4非法页面信息
4.5.4.1风险描述
商户在其网站页面发布或登载诸如提供套现、赌博服务等信息招徕客户,通过互联网从事违法违规交易,给支付机构带来损失。
4.5.4.2防范手段
支付机构应加强对签约商户的日常检查,运用“网络爬虫”等相关技术,对商户的网站内容进行扫描,扫描频率不得低于每周一次。在扫描中通过对敏感字段的过滤,筛查出发布违规信息的商户,并根据商户日常管理要求进行调查处置,对存在违规经营的商户应根据情节轻重采取口头警告、暂时关闭、录入黑名单、清退等手段进行处置。
对平台类商户,应要求其对下辖二级商户采取同样的风险管控措施,要求其将所辖商户页面内容定期进行检查,并向支付机构反馈检查结果。
4.5.5网络钓鱼
4.5.5.1风险描述
网络钓鱼指不法分子利用公共网络环境的漏洞,通过伪造交易链接将客户引导到虚假的支付页面;或向客户支付交易终端植入木马病毒等恶意程序,诱使客户将交易订单款项支付至指定账户或盗用其账户资金。
4.5.5.2防范手段
加强对互联网支付用户安全意识的教育,提示常用的欺诈手段,并在交易过程中提示客户注意不明链接及文件的接收,如发现异常情况应及时与银行或支付机构联系;要求商户注意交易环境的安全维护,防止网站被攻击或恶意利用,在网站安装安全控件、杀毒软件,并定期对虚假链接进行安全扫描。
在客户支付订单之前,及时向客户发起订单确认,确认信息包括但不限于:发起人、发起时间、收款人、支付金额、商户名称、购买商品类型等;对虚拟充值、游戏通讯类商户设置特殊的单日、单笔交易限额;针对商户被钓鱼网站利用引发的订单替换,可在站内及站间采用具备防钓鱼功能的技术接口进行防范。
加强交易监控,关注短时间内发起订单和订单支付不在同一终端的连续多笔交易、发起订单和订单支付时间间隔过长、同一终端短时间内连续发起多笔订单等异常交易行为。
4.5.6其他欺诈
除上述主要风险类型以外,商户存在经营情况与注册信息不符,从事违反国家法律、法规和政策规定的业务(如赌博或者其他非法活动)等,给支付机构和客户造成损失的情形。支付机构应通过加强交易监控、加大商户检查力度或严格商户协议约定等方式约束商户违法违规行为。
第五部分 资金安全管理
支付机构应严格按照业务监管部门相关支付结算管理制度和规定,依据与客户签订的服务协议,办理资金的结算业务,确保客户资金及时、准确划转及核算。
支付机构应遵循《支付机构客户备付金存管暂行办法》相关规定,确定备付金存管银行,签订备付金存管协议,加强备付金管理,保障客户备付金资金安全。
5.1备付金银行账户
5.1.1账户的开立和撤销
支付机构应设立或指定资金结算部门,或实际履行资金结算职能的部门负责备付金银行账户的开立、变更、撤销,网上银行等功能的开通、变更、关闭以及相应操作权限的配置管理工作。
支付机构对备付金银行账户的开立、使用情况、账户权限建立审核和监督机制,对账户密码泄露、账户盗用以及越级操作等异常情况应及时通报风险管理部门并采取相应处理措施。
支付机构开立备付金银行账户时,资金结算部门应对拟开立的备付金银行账户名称、性质以及数量的合规性进行审核,并及时与开户行核实账户开立信息。
备付金银行账户撤销前,资金结算部门应核实以下事项:
a.待销账户已无任何交易、退款等业务发生,无结余资金;
b.账户内存在余额的,已将余额划转至承接账户。承接账户应符合《支付机构客户备付金存管暂行办法》要求;
c.已有确定的方法或途径保障该账户销户后不会影响原支付订单的退款。
备付金银行账户开立或销户后,资金结算部门应确保将开户或销户信息及时通知财务等相关部门。开户信息包括账户名称、开户行、账号、开户日期、账户性质(汇缴账户、收付账户)等。销户信息包括账户名称、开户行、账号、销户日期等。
5.1.2网银安全管理
开通备付金银行账户网银功能时,资金结算部门应及时设置、登记并转交网银USBKey数字证书管理、使用权限。关闭网银功能时,应收回该账户的网银USBKey数字证书,并及时登记、统一保管。
资金结算部门应按照逐级授权、职责分离的原则设置、修改、取消网银操作权限。网银权限名单应定期清理,确保授权合理。网银证书应按照分级授权由专人保管,不得带离操作岗位。营业终了,应将操作证书放入保险柜保管,并做好出入记录。
网银密码应定期更换,当有密码使用者离职或者换岗后,应立即更改密码;资金结算部门应不定期检查网银证书或密码的出入库记录和交接记录。
支付机构应定期对使用USBKey数字证书的计算机进行杀毒,防止病毒或者木马非法获取USBKey数字证书信息、损坏USBKey数字证书硬件。
5.2岗位设置与权限
支付机构应遵循职责分离、相互制约的原则,合理设置资金结算、资金管理及财务稽核等岗位,严格分离资金支付的审批与执行、资金的保管、记录与盘点清查、资金的会计记录与审计监督等职能;严禁一人兼任非相容的岗位或独自完成结算全过程的业务操作,做到结算操作与结算对账、业务经办与会计账务处理、业务操作与风险监控、经办与复核及授权相分离。
支付机构应遵循“最小授权”及“按需使用”的原则,设置结算业务操作权限。对提取、修改资金结算及会计核算数据等操作应建立严格的审批、审计和监督检查机制。
对涉及交易资金、客户账户资金变动的操作,包括但不限于商户结算、支付账户提现、商户退款、调账等行为,应至少实行双人、双权限操作。5.3商户资金结算
支付机构应确保备付金账户可用、余额充足;头寸不足的,支付机构应按相关规定,及时调整备付金专用存款账户间头寸。
支付机构应准确核算商户待结算资金,并依据与商户签订的支付服务协议,将款项直接结算至协议约定账户。支付机构不得委托他人代理结算。
商户结算规则、结算银行账户发生变更的,支付机构应取得商户的变更申请函件,并确认商户身份后予以及时办理。
支付机构结算时发现存在可能导致资金差错的情况时,应立即终止相关的付款操作,并及时查询、核实,确认无误后再安排付款。
支付机构在监控中发现异常交易或存在争议交易时,应及时采取暂扣、延迟结算等措施加以防范,或通过收取保证金等方式规避风险。
支付机构应按业务监管部门相关规定保留重要凭证、操作记录和操作日志,以便审计和查验。
5.4资金退回及交易退款
支付机构为客户办理充值资金退回、退款业务,或支付机构办理差错资金退回,应遵循原路退回的原则,退回至原支付账户或银行账户,不得截留或退至其他账户;原账户已销户的,支付机构应主动联系客户或发卡机构,确保将相关款项退回客户本人账户。
5.5手续费
支付机构与商户、合作方(如银行)应签订协议约定收费标准;如需变更,应办理书面变更手续。
支付机构发现计费数据处理异常或疑似异常的,应及时审核确认;计费数据存在差错的,应及时进行调整、修正。
支付机构应指定专门部门负责手续费核算、制表、收付款、开票等工作,按期收取、结转费用;当期未收、未付款应累计至下一结算期结算。
5.6资金对账
支付机构应每日对其业务系统的交易记录及相关账表进行对账,对账应包括以下内容:
a.系统日切时汇总交易账户流水,将交易账户的明细账与总账进行核对;
b.系统日切时将各银行电子对账单与系统中的交易明细进行核对。
与银行对账周期另有约定的,按照约定周期对账。
资金结算部门应设立专岗定期对所有备付金银行账户收付款情况及交易流水、结存余额进行核对,核对的内容应包括:
a.该备付金银行应入账金额与实际入账金额是否一致;
b.该备付金银行手续费收取方式和实际收取的手续费用是否与系统中的计费信息或与银行协议约定的一致;
c.实际退款、回提金额与系统中的退款、回提金额是否一致;
d.资金调拨是否及时足额到账;
e.其他应核对账务。
5.7资金差错处理
支付机构完成资金结算后,应及时检查支付指令是否有效、交易状态是否相符。当银行反馈付款或退款资金的状态可疑时,支付机构应遵循谨慎性原则,在查明原因后,再进行相关处理。业务系统显示扣款成功,银行显示未扣款的,应根据银行对账单进行调账,并及时通知客户;银行显示扣款成功,业务系统中未划账成功的交易,应按照银行扣款记录标记扣款成功状态。
支付机构应确保账实相符,对未达账项、账款差错应尽快查明原因,清理挂账项目须经严格授权;支付机构应留存并妥善保管原始记录资料及处理结果资料。
5.8风险准备金计提
支付机构应该按照业务监管部门要求的计提比例计提风险准备金,开立风险准备金专用存款账户,并对计提比例进行及时调整。
第六部分 系统信息安全管理
6.1组织机构及管理制度
6.1.1组织机构
支付机构应设立或指定专门部门负责本机构系统信息安全管理,组织制定、发布相关制度、规范,协调处理系统信息安全管理工作中的关键事项,对涉及重大风险事宜进行决策,明确各相关部门系统安全保障职责及人员配置,组织跨部门应急演练等。
负责本机构系统信息安全管理的部门应配备专职人员,实行A、B岗制度,专职人员不可兼任其他岗位。
6.1.2管理制度
系统信息安全管理制度应贯穿业务运作、系统设计、编码、测试、集成、运行维护以及评估、应急处置全过程,包括安全制度、安全规范、安全操作规程和操作记录手册等。
安全管理制度应具有统一的格式,并进行版本控制。支付机构应定期组织相关部门和人员对安全管理制度体系的适用性和有效性进行审计,针对不足及时进行修订完善。6.2网络安全管理
6.2.1网络结构安全要求
a.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
b.应绘制、维护与当前运行情况相符的网络拓扑结构图,区分可信区域和不可信区域;
c.应保证防火墙、交换机等主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
d.应保证网络各个部分的带宽满足业务高峰期及业务发展需要;
e.应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
f.应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
g.采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
6.2.2访问控制要求
a.应在网络边界部署访问控制设备,启用访问控制功能;
b.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c.应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET等协议命令级的控制;
d.应在会话处于非活跃状态达到一定时间,或会话结束后终止网络连接;
e.应限制网络最大流量数及网络并发连接数;
f.重要网段应采取技术手段防止地址欺骗;
g.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h.应限制具有拨号访问权限的用户数量。
6.2.3安全审计要求
a.应对网络设备运行状况、网络流量、用户行为等进行日志记录,并至少保存6个月;
b.审计记录至少应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c.应能够根据记录数据进行分析,并生成审计报表;
d.应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
6.2.4入侵防范
a.应部署入侵检测/防御系统,并在网络边界处监视和记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
6.2.5恶意代码防范
a.应在网络边界处对恶意代码进行检测和清除;
b.应维护恶意代码库的升级和检测系统的更新。
6.2.6网络设备防护
a.网络设备用户的标识应唯一;
b.应对登录网络设备的用户进行身份鉴别;
c.主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
e.当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
f.应对网络设备的管理员登录地址进行限制;
g.应实现设备特权用户的权限分离;
h.应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
i.应定期检查网络设备运行状况和软件版本信息,定期对网络设备配置文件进行备份。
6.2.7身份鉴别
a.应对登录操作系统和数据库系统的用户进行身份标识和鉴别,严禁匿名登录;
b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数、锁定账户和自动退出等措施;
d.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
e.应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f.应采用两种或两种以上组合的鉴别技术对管理用户进行身份识别,并且身份鉴别信息至少有一种是不可伪造的。
6.2.8边界完整性检查
a.应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b.应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。6.3系统运维管理
6.3.1物理环境管理
a.各系统运行部门应按照国家计算机房安全管理的有关规定加强管理,并保持机房清洁、整齐、有序,制定相应的制度和规则,做好机房的安全工作。
b.禁止将易燃、易爆、易腐蚀和磁性物品等可能影响运行的危险品带入机房;禁止将食物、饮料带入机房。
c.支付各环节涉及的机器、网络设备等需专网专用,不得与其他业务的开展重合。
d.支付系统设备(包括计算机软硬件、网络、安全设备等)应实行专人管理。禁止将支付系统设备挪作他用。
e.支付系统网络设备、各直接参与者的前置机设备由网络部门统一负责安全管理。
f.任何人员进出数据中心机房需登记、涉及重要数据的区域需提前申请并由相关责任人陪同方可进入、参观人员仅可访问指定授权区域。
g.支付系统使用的存储介质,应进行严格的病毒检查,防止计算机病毒侵入。
h.未经批准,支付系统设备不得与其它设备、网络连接。
i.当遇到重大故障(如支付中断超过2小时以上时)或需停机维护时,及时将故障情况或维护申请上报给所在地中国人民银行分支机构,并书面报告故障原因、影响及补救措施。
6.3.2设备管理
a.应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
b.应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
c.应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
d.应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
e.应做好设备登记工作,制定设备管理规范,落实设备使用者的安全保护责任。
f.需要废止的设备,应由指定专门部门使用专用工具进行数据信息消除处理,如废止设备不再使用或调配到其他单位,应备案并对其数据信息存储设备进行消磁或物理粉碎等不可恢复性销毁处理,同时备案。
g.设备确需送外单位维修时,应指定专门部门彻底清除所存的工作相关信息,必要时应与设备维修厂商签订保密协议,与密码设备配套使用的设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息,并派专人在场监督。
h.制定规范化的设备故障处理流程,建立详细的故障日志(包括故障发生的时间、范围、现象、处理结果和处理人员等内容)。
i.应确保信息处理设备必须经过审批才能带离机房或办公地点。
j.应对设备进行分类和标识,建立标准化的设备配置文档。
k.新购置的设备应经过测试,测试合格后方能投入使用。
l.应做好设备登记工作,制定设备管理规范,落实设备使用者的安全保护责任。
6.3.3数据安全及备份恢复
6.3.3.1数据的存储和传输
a.支付机构应采取有效措施,保障系统数据信息的完整性和安全性。
b.支付机构应能够监测到系统管理数据、客户身份信息、支付业务信息等重要数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
c.支付机构应采用加密或其他有效措施实现系统管理数据、客户身份信息、支付业务信息、会计档案信息等的保密性。
支付机构应采取相应技术措施,在数据传输过程中确保支付指令的完整性、一致性和不可抵赖性。
6.3.4.2数据备份和恢复
a.应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b.应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;
c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
d.应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;
e.应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
6.4应急管理
支付机构应制定与其业务规模、复杂程度相适应的应急和业务连续方案,建立恢复服务和业务连续运行保障机制,并定期检查、测试,确保有效性。应急管理要求包括:
a.在统一的应急管理框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b.从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c.对系统相关的人员进行应急预案培训,应至少每年举办一次培训;
d.定期对应急预案进行演练,并根据实际情况进行修订调整。第七部分 支付机构反洗钱和反恐怖融资管理要求
非金融支付机构应切实遵守《中华人民共和国反洗钱法》、《支付机构反洗钱和反恐怖融资管理办法》等法律法规,全面履行反洗钱及反恐怖融资义务。
7.1基本要求
支付机构应建立内部的反洗钱和反恐怖融资的管理组织架构,建立和完善反洗钱和反恐怖融资的内控制度体系,制定反洗钱和反恐怖融资操作规程,全面履行反洗钱及反恐怖融资义务。
7.2组织架构及职责要求
7.2.1领导机构及职责
支付机构应设立以机构负责人为组长、职能部门负责人为副组长,各相关部门负责人为组员的反洗钱和反恐怖融资领导机构,全面负责反洗钱和反恐怖融资工作,主要职责包括:
a.反洗钱和反恐怖融资工作的整体协调、规划;
b.建立、健全反洗钱和反恐怖融资工作管理机制,组织、安排相关制度和流程的建设;
c.组织相关部门和人员履行可疑交易报告义务,配合监管机关和司法机关开展对可疑交易的调查;
d.建立与业务监管部门、司法机关的报告与沟通机制。
7.2.2职能部门及职责
支付机构应设立或指定专门部门负责具体开展反洗钱和反恐怖融资工作,督促和指导各相关部门执行各项法律、法规、制度,并设置反洗钱和反恐怖融资专门岗位,主要职责包括:
a.根据领导机构要求,建立、健全反洗钱和反恐怖融资工作机制,制定和修订有关制度、规章及操作规程,并组织实施;
b.汇总反洗钱和反恐怖融资数据及可疑交易信息报表,并报领导机构审批后,及时上报中国反洗钱分析监测中心;
c.协助业务监管部门和司法机关开展反洗钱和反恐怖融资调查;
d.组织、推动内部开展反洗钱和反恐怖融资预防、监控、协查和报告,并定期进行监督检查;建立内部报告制度,定期提交领导机构;
e.定期组织内部的反洗钱和反恐怖融资培训、宣传工作;
f.履行法律、法规规定的支付机构其它反洗钱和反恐怖融资的工作职责。
7.2.3相关部门职责
7.2.3.1相关部门负责人职责各相关部门、分支机构、外派机构负责人对本部门或本分支机构反洗钱和反恐怖融资工作负责,主要职责包括:
a.在开展业务过程中严格落实反洗钱和反恐怖融资相关规定,推动本部门内控制度的完善;
b.对可疑交易信息进行汇总分析并报告职能部门;
c.组织部门内员工的反洗钱和反恐怖融资宣传、培训,对用户或商户进行反洗钱和反恐怖融资宣传、教育;
d.配合机构反洗钱和反恐怖融资职能部门的工作,履行相关职责。
7.2.3.2联络员职责
支付机构各部门、分支机构、外派机构应指定专人作为反洗钱和反恐怖融资联络员,协助部门负责人开展反洗钱和反恐怖融资日常工作。主要职责包括:
a.及时全面地向本部门员工传递反洗钱和反恐怖融资工作信息,督促本部门完成各项反洗钱和反恐怖融资工作;
b.具体落实本部门反洗钱和反恐怖融资宣传、培训工作;
c.组织本部门的反洗钱和反恐怖融资相关制度的内部审计工作,定期检查工作开展情况,跟进整改和完善情况;
d.记录报告可疑交易信息,及时向部门负责人和职能部门报告本部门反洗钱和反恐怖融资工作中存在的问题,提出工作建议。
e.履行其他反洗钱和反恐怖融资工作职责。
各部门联络员与职能部门专门岗位人员组成反洗钱和反恐怖融资工作小组,负责反洗钱和反恐怖融资执行及研讨反洗钱工作问题。
7.3客户身份验证及资料保存
支付机构应当勤勉尽责,建立健全客户身份识别制度,遵循“了解你的客户”原则,针对具有不同洗钱和恐怖融资风险特征的客户、业务关系或者交易应采取相应合理的措施,了解客户及其交易目的和交易性质,了解实际控制客户的自然人和交易的实际受益人。
7.3.1客户身份识别要求
支付机构在开展以下业务时,应遵循用户及商户发展策略相关要求,严格落实客户身份识别制度,留存相关资料并履行保密义务:
a.支付机构为用户开立支付账户;
b.同一客户的多个支付账户建立关联;
c.商户拓展及资质审查;
d.用户及商户身份信息变更。
7.3.2重新识别客户要求
支付机构应根据规定在出现以下情形时,重新识别客户:
a.客户要求变更姓名或者名称、有效身份证件种类、身份证件号码、注册资本、经营范围、法定代表人或者负责人等的;
b.客户行为或者交易情况出现异常的;
c.先前获得的客户身份资料存在疑点的;
d.支付机构认为应重新识别客户身份的其他情形。
7.3.3客户信息留存
支付机构应按照人民银行规定内容妥善保存客户身份资料和交易记录,保证能够完整准确重现每笔交易。客户身份资料包括各种记载客户身份信息的资料、辅助证明客户身份的资料和反映支付机构据、业务凭证、账簿和其他资料:
a.交易双方名称;
b.交易金额;
c.交易时间;
d.交易双方的开户银行或支付机构名称;
e.交易双方的银行账户号码、支付账户号码、预付卡号码、特约商户编号或者其他记录资金来源和去向的号码。
支付机构在开展客户身份识别的业务时,应按照保证完整准确重现每笔交易的原则保存交易记录。
7.3.4客户身份资料和交易记录保存系统
支付机构应当建立客户身份资料和交易记录保存系统,实时记载操作记录,防止客户身份信息和交易记录的泄露、损毁和缺失,保证客户信息和交易数据不被篡改,及时发现并记录任何篡改或企图篡改的操作。
支付机构应当完善客户身份资料和交易记录保存系统的查询和分析功能,便于反洗钱和反恐怖融资的调查和监督管理。并按照监管部门规定的格式及期限保存客户身份资料和交易记录。在出现支付机构终止支付业务时,应当按照中国人民银行有关规定处理客户身份资料和交易记录。7.4可疑交易报告
a.支付机构应对本机构的全部交易开展监测和分析,及时报告可疑交易;
b.根据客户特征和交易特点,支付机构应制定和完善符合本机构业务特点的可疑交易标准,向中国人民银行、总部所在地的中国人民银行分支机构和中国反洗钱监测分析中心备案;
c.支付机构应建立完善有效的可疑交易监测分析体系,明确内部可疑交易处理程序和人员职责,并指定专门人员,负责分析判断是否报告可疑交易;
d.支付机构应结合客户身份信息和交易背景,对客户行为或交易进行识别、分析,有合理理由判断与洗钱、恐怖融资或其他犯罪活动相关的,应在发现可疑交易之日起10个工作日内,由其总部以电子方式向中国反洗钱监测分析中心提交可疑交易报告。可疑交易报告的具体格式参照中国人民银行规定。
支付机构应将已上报可疑交易报告的客户列为高风险客户,持续开展交易监测,仍不能排除洗钱、恐怖融资或其他犯罪活动嫌疑的,应在10个工作日内向中国反洗钱监测分析中心提交可疑交易报告,同时以书面方式将有关情况报告总部所在地的中国人民银行分支机构。
支付机构应完整保存对客户行为或交易进行识别、分析和判断的工作记录及是否上报的理由和证据材料;
e.支付机构在履行反洗钱和反恐怖融资义务过程中,发现涉嫌犯罪的,应立即报告当地公安机关和中国人民银行当地分支机构,并以电子方式报告中国反洗钱监测分析中心;
f.支付机构怀疑客户、资金、交易或者试图进行的交易与恐怖主义、恐怖活动犯罪以及恐怖组织、恐怖分子、从事恐怖融资活动的人相关联的,无论所涉及资金金额或者财产价值大小,都应当提交涉嫌恐怖融资的可疑交易报告;
g.支付机构发现或者有合理理由怀疑客户与国务院有关部门、中国人民银行、司法机关、联合国安理会要求或发布的信息相关的,应立即报告当地公安机关和中国人民银行当地分支机构,并以电子方式报告中国反洗钱监测分析中心;
h.支付机构各部门、各岗位均负有可疑线索的发现和分析职责。员工发现可疑情形但不能完全判断是否为可疑交易的,需及时报告反洗钱和反恐怖融资专岗及部门负责人。
i.对反洗钱和反恐怖融资可疑交易审核过程及审核结论应当进行记录,由参与审核人员确认,并进行归档;
7.5反洗钱和反恐怖融资调查
a.支付机构应当积极配合中国人民银行及其分支机构实施反洗钱和反恐怖融资调查,根据监管条例如实提供调查材料、配合执行监管部门提出的要求,不得拒绝或者阻碍;
b.支付机构应当按照中国人民银行规定提供有关文件和资料,不得拒绝、阻挠、逃避监督检查,不得谎报、隐匿、销毁相关证据材料。并对其所提供的文件和资料的真实性、准确性、完整性负责;
c.支付机构应当按照中国人民银行的规定,向所在地中国人民银行分支机构报送反洗钱和反恐怖融资统计报表、信息资料、工作报告以及内部审计报告中与反洗钱和反恐怖融资工作有关的内容,如实反映反洗钱和反恐怖融资工作情况,并配合人民银行现场检查;
d.在反洗钱和反恐怖融资调查工作调查期间,凡涉及客户身份资料和交易记录的,应遵循相关规定的最低保存期,如在保存期届满时调查仍未结束的,支付机构应将其保存至反洗钱和反恐怖融资调查工作结束;
7.6宣传培训
a.支付机构应强化本机构反洗钱和反恐怖融资宣传、培训工作力度,提升全员合规意识及业务素质;未经培训的员工,不得从事与反洗钱和反恐怖融资相关的工作。
培训内容包括但不限于:反洗钱和反恐怖融资政策、法律、法规和基本状况;本机构反洗钱和反恐怖融资制度、程序和措施;可疑交易分析、识别和报告的要求和技巧;客户尽职调查的内容和要求。
b.支付机构应对客户进行反洗钱和反恐怖融资宣传和教育。
7.7保密制度
支付机构及其工作人员对依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息应当予以保密,法律法规另有规定的除外。
7.8内部控制
7.8.1自查评估
支付机构应当根据业务监管部门的要求,定期或不定期对机构的反洗钱和反恐怖融资开展情况及风险情况进行自查。
7.8.2内部审计
支付机构审计部门应定期对本机构的反洗钱和反恐怖融资工作进行内部审计,及时发现工作缺陷,提出整改意见。
7.8.3考核制度
支付机构应设立反洗钱和反恐怖融资的考核制度,对于做出突出贡献的部门和个人,给予表彰或奖励;对于内部审计过程中发现的违规问题,以及未按照有关要求开展反洗钱和反恐怖融资工作、未按照要求保守秘密等,致使该机构遭受重大损失和重大影响的,由内部审计部门根提出处罚意见供领导机构做出处罚决定。第八部分 风险信息共享和风险事件处理
8.1基本原则
为有效防范和控制支付风险,协会建立与各成员单位之间的风险信息共享、风险事件协同调查机制,提高成员机构防控风险能力和调查处理风险事件的效率。
协会及各成员单位建立风险联系人网络,负责风险信息共享、风险事件报送和调查工作。
各成员单位在开展风险信息共享和事件报送、协助调查时,应遵守国家法律,坚持保密原则。风险共享信息和风险事件信息仅供共享单位内部使用,任何机构不得泄漏、披露有关内容,法律法规另有规定的除外。
8.2风险信息共享内容
经成员单位同意,协会作为风险信息共享平台提供方,负责建立、维护风险信息共享机制,成员单位通过向协会提供信息或提交信息查询请求,实现各成员单位之间的风险信息共享。
参与共享的各成员单位应根据统一的风险信息共享要素内容,及时提供真实、完整的风险信息并予以定期更新;风险信息使用方须承担保密义务,不得擅自向客户或社会公开。
风险信息共享要素包括但不限于:风险信息类型、具体内容、风险信息主体名称、报送理由、时间等。
对符合以下条件之一的商户及用户,各成员单位应终止向其提供互联网支付服务,并向支付清算协会报送风险信息。
8.2.1风险商户
a.属于相关法律法规明令禁入类商户,包括非法设立的经营组织、特殊行业商户等类型商户;
b.被监管部门、司法部门风险提示的涉及套现等违法违规行为的高风险商户;
c.支付机构自行侦测发现的涉及套现、洗钱、伪冒交易等欺诈行为的高风险商户。
8.2.2风险用户
a.被证实以虚假或变造的身份证明资料开设互联网支付账户的用户;
b.被监管部门、司法部门提示的涉及套现等违法违规行为的高风险用户;
c.成员单位自行侦测发现的涉及套现、洗钱、伪冒交易等欺诈行为的高风险用户。
8.3风险事件的划分
风险事件的等级划分应区分重大风险事件、普通风险事件,可参照如下标准进行划分:
重大风险事件包括:
a.账户信息泄露类:涉及200个以上账户信息发生疑似信息泄露的,或100个以上账户信息确认发生信息泄露的。
b.套现:疑似套现总额达到200万元以上的,或确认套现总额达100万元,或平台类商户组织进行大规模套现活动的。
c.由监管部门、司法机关通报的互联网支付风险案件;
d.经由媒体报道或客户投诉的影响范围较大、社会反响强烈的风险事件;
e.确认损失超过100万元以上的风险事件。
8.4风险事件的处理
各成员单位应建立风险联系人机制,负责协调开展风险事件调查等相关工作。
各成员单位应及时向监管机构和协会报送各类风险事件、响应各类风险提示,并配合监管部门、司法机关和其他成员单位,调查风险事件。
第九部分 纪律与责任
支付机构开展互联网支付业务应参照本指引构建完善的风险管理体系,落实风险管理措施,积极防范支付业务风险。协会将充分发挥自律职能,根据本指引要求协调会员单位做好风险管理工作,并将其纳入自律监督检查内容。
对因会员单位风险管理制度不完善或未有效落实本指引风险管理措施而导致发生重大风险事件,对行业造成负面影响的,将依据《网络支付行业自律公约》有关自律性惩戒措施对其进行处理。
第十部分 附则
本指引与国家法律、法规和监管部门规章不一致的,依照有关法律、法规和监管部门规章执行。
本指引自发布之日起实施。
本指引由中国支付清算协会网络支付应用工作委员会负责修订和解释。
第四篇:POS操作手册及风险防范要点
POS机操作手册及风险防范要点
目录:
1.银行卡基本知识
2.受理银行卡时的注意事项 3.POS机具操作说明 4.常见故障及处理方法 5.异常帐务调整的处理 6.特约商户风险防范
7.POS机常见异常应答码
8、POS机使用注意事项
一、银行卡基本知识
(一)银行卡的概念
广义的银行卡是指由商业银行、非银行金融机构(含保险、邮政金融机构)或专业发卡公司(统称为发卡机构)向社会发行的具有信用透支、消费结算、转帐支付、存取现金等全部或部分功能的信用凭证和支付工具。
狭义的银行卡则特指由商业银行发行的银行卡。银行卡既可由发卡机构独立发行,也可与其他机构或团体联合发行。
(二)银行卡的分类
银行卡按性质不同分为信用卡和借记卡,信用卡又分为贷记卡和准贷记卡,借记卡又分为转帐卡(储蓄卡)、专用卡、储值卡;
银行卡按币别不同分为人民币卡和外币卡;
银行卡按发行对象不同分为公司卡(商务卡)和个人卡; 银行卡按信息载体不同分为磁条卡和芯片(IC)卡。
(三)银联标识介绍
银联标识以红、绿、蓝三种不同颜色银行卡的平行排列为背景,衬托出白颜色的“银联”汉字造型,突出了银行卡连网联合的主题。三种颜色,红色象征合作、诚信;蓝色象征畅通、高效;绿色象征安全。三种不同颜色银行卡的紧密排列象征着银行卡的联合。
(四)银联标识卡的主要特征
1.银行卡正面右下角印刷了统一的“银联”标识图案;
2.贷记卡卡片正面的“银联”标识图案上方加贴有统一的全息防伪标志;
3.卡片背面使用了统一的签名条。
(五)银联标识卡的优点
方便用户-----可受理“银联”标识卡的商户,对带有“银联”标识的银行卡,无须识别发卡机构,均能直接受理;
方便持卡人---持卡人在贴有“银联”标识的ATM或POS上,都能持卡使用。
二、受理银行卡时的注意事项
(一)区分银行卡种类
1、银行卡按是否能提供信用透支功能,可分为信用卡(含贷记卡和准贷记卡)和借记卡。两者最大的区别在于信用卡可以透支,而借记卡则仅能就卡上现有活期余额内消费不允许透支消费。目前信用卡的支取方式分为凭签字支取和凭密码支取两种。所以对一些无需效验密码而凭签字支取的卡种,必须验明为持卡人本人使用并认真核对签字样本,避免产生经济纠纷。借记卡交易时必须凭密码支付,只需核对客户输入的密码即可。
2、区分信用卡与借记卡的标志:信用卡正面一般均有中国银联标识、VISA标识或MASTER标识的全息激光防伪标志;有有效期;凸印卡号,有持卡人姓名(用拼音或英文字母表示)、性别。而大部分借记卡无有效期标识。
3、信用卡与借记卡在受理环节的区别:
信用卡:只限本人使用不得出借转让。消费时必须凭密码或凭签字。
借记卡:只限本人使用不得出借转让;不允许透支消费;必须通过银行卡网络联机使用,不可采用手工压卡方式。消费时必须使用密码并核对签名。
(二)验卡
1、验明持卡人所持银行卡的颜色、图案和标识与相应发卡银行是否相符,卡面图案是否清晰,无卡号模糊或数字大小不
一、排列不整齐。
2、核对信用卡的有效期,过期卡视为无效卡应拒绝受理。
3、检查受理的银行卡是否正反面完整无缺且无涂改或刮伤,也无剪角、打孔等损毁现象,如出现以上异常情况,应拒绝受理。
4、卡片背面签名条应有签名,检查卡背面的签名栏是否有涂改痕迹及是否有签名。若签名是中文,应与卡面凸印的持卡人汉语拼音名相符,若签名是英文,应与卡面凸印的英文名相符。如果发现明显不符,应立即拒绝受理。
5、检查是否有“样卡”或“测试卡”、“VOID”、“TEST”等字样。如出现以上异常,应立即拒绝受理。
6、对于照片卡,还应核对照片与持卡人相貌相符,持卡人性别是否与卡面凸印的性别MS或MR相符。如出现不符,应立即拒绝受理。
7、检查信用卡卡号凸字前四位与印刷小字是否一致,无更改痕迹(银联标识的信用卡不一定有平面印刷的卡号前四位数字);
对不符合验卡要求的卡片应拒绝受理。有效性难以判断的,可请持卡人出示本人身份证件,核对卡片印制的姓名、持卡人预留的签名与身份证件上的姓名是否相符,并将身份证件号码抄录在签购单上,或联系收单机构。
三、POS机具操作说明 签到
操作步骤:
输入柜员号:01→【确认】→输入密码:0000→【确认】→签到成功后自动跳转至消费等待界面
消费
操作步骤:
【1消费】→请刷卡→【确认】→请输入金额→【确认】→请输入密码→【确认】→交易成功打印单据。注意事项:
刷卡后核对卡号、打印签购单后金额核对、核对签名;打印的单据商户需要保留一年以上已备查帐时使用。
消费撤销 操作步骤:
【2撤销】→输入主管密码→【确认】→输入原凭证号→【确认】→请刷卡→【确认】→请输入密码→【确认】→交易成功打印单据。
注意事项:
1、在当日当批的原交易终端上输入原交易凭证号才可完成撤销交易;
2、撤销时无须验证持卡人个人密码;
3、每笔消费交易只能撤销一次,不支持部分金额撤销;
4、签购单上打印金额为负数,并有“消费撤销”字样;
5、交易成功后打印的凭证要与原消费单据一并妥善保存;
6、不能正常进行消费撤销的,商户因在对账确认后,尽快提交差错处理。
预授权 操作步骤:
【4预授权】→【1预授权】→请刷卡或输入卡号→【确认】→请输入预授权金额→【确认】→请输入密码→交易成功打印单据。注意事项:
1、只是对持卡人授权额度进行冻结,并不进行实际扣账
2、必须注意保存预授权单据,预授权单据无法重新打印
3、预授权有效期一般为30天,超过时间资金将可能自动解冻
4、签购单不需要持卡人签字,但入住单应有持卡人签名
5、入住单持卡人签名应与卡背后签名条签名一致,6、交易凭证上打有“预授权”字样
预授权完成联机 操作步骤:
【4预授权】→【3预授权完成联机】→请刷卡或输入卡号→输入原交易日期(月月日日)→请输入原预授权码→请输入金额→请输入密码→交易成功打印单据。注意事项:
1、收银员根据保存的预授权单据内容进行操作
2、结账金额不超过预授权金额的115%,否则会被拒绝
3、每笔预授权交易,只能进行一次预授权完成交易
4、预授权完成交易必须在有效期限内(30天内)完成,否则要进行托收
5、交易凭证打有“预授权完成”字样
预授权撤销 操作步骤:
【4预授权】→【4预授权撤销】→请输入主管密码→请刷卡或输入卡号→输入原交易日期(月月日日)→请输入原授权码→请输入金额→请输入密码→交易成功打印单据。注意事项:
1、支持刷卡及手工输入卡号,签购单应妥善保管
2、不允许对“预授权撤销”进行取消
3、在预授权交易(含追加)后30日内撤销
4、不支持对部分预授权金额的单独撤销
5、预授权撤销完成后,原被冻结的额度自动解冻
6、交易凭证上打有“预授权撤销”字样
7、追加预授权的,金额、预授权号及日期应为追加后的
8、无需验证持卡人密码
9、适用于客人换用其他付款方式、取消入住或预授权操作有误时。
结算
操作步骤:
【7管理】→【6结算】→一直【确认】→成功打印单据。注意事项:
该交易将打印出当日一共交易几笔和总交易金额。
余额查询 操作步骤:
【8其它】→【1余额查询】→请刷卡→请输入密码→【确认】→终端屏幕上显示余额 注意事项:
有些信用卡和贷记卡是不支持余额查询的。
重打最后一笔 操作步骤:
【6打印】→【1重打最后一笔】→成功打印最后一笔交易 注意事项:
打印前如果已做过结算交易,该功能不可使用。
重打任意一笔 操作步骤:
【6打印】→【2重打任意一笔】→请输入原凭证号→成功打印出该交易 注意事项:
打印前如果已做过结算交易,该功能不可使用。
四、常见故障及处理方法
1、终端屏幕显示“线路忙”或“连线不通”的现象,该如何处理?
答:检查电话线是否接好,是否插在LINE或电话线插口上;检查电话线路是否正常。可将连接POS的电话插口拔下,改接电话机,检查电话机拨号是否正常(分机需试拨外线是否正常)。
2、终端屏幕显示“无拨号音”,该如何处理?
答:请检查电话线是否接在LINE口或电话线口;电话是否停机;线路拨号方式是否改变;线路是否有故障。(可将POS机使用的电话线拨出接一部电话机拨打外线电话测试)
3、终端屏幕显示“请先签到”、“MAC校验错”、“操作有误,请重试”、“效验错,请重新签到”,该如何处理?
答:请重新签到后再做交易。
4、终端屏幕显示“请重做该交易”,该如何处理?
答:请重做该交易即可,若经常出现此情况,请与我公司联系。
5、终端屏幕显示“交易超时”,该如何处理?
答:请重做该交易,若重试还是不成功,请与我公司联系。
6、终端屏幕显示“超过允许的PIN输入次数”,该如何处理?
答:持卡人累计密码输入错误次数已超过银行规定次数,请持卡人联系发卡行处理。
7、终端屏幕不显示,这是什么故障?
答:检查POS电源是否已接好;POS的电源开关是否已打开;若以上情况检查都正常,请与银联公司联系。
8、终端屏幕显示“请先结算”,该如何处理? 答:请做“结算”操作后,重新签到后再做交易。(“结算”见POS机具操作说明)
9、终端屏幕显示“打印故障”,该如何处理?
答:检查下POS机打印纸是否已使用完;打印机是否有卡纸。卡纸时应先断开电源,打开打印机盖板,取出被卡纸后再重新安装打印纸。若无法排除卡纸故障时,请与我公司联系。
10、银行卡在POS机上刷过后,POS无任何反应,该如何处理?
答:检查银行卡刷卡的方向是否正确;可能客户的银行卡被消磁了,这时需要客户去发卡行重新写磁;若出现多笔同类现象,请与银联公司联系检查POS。
11、出现“请放回座机”而机具已放回座机(实达592、瑞柏S9000I),该如何处理?
答:检查是否有纸张等异物隔离了手机和座机的充电片;如长时间显示“请放回回座机”,请与银联公司联系检查POS。
12、POS打印凭证时不完整,该如何处理?
答:出现此类提示多为机具故障,请与银联公司联系更换POS。
14、POS显示“无效终端”,该如何处理?
答:若机具超过三个月未使用,系统会提示“无效终端”,请与银联公司联系。
五、异常帐务调整的处理
1、当出现多刷金额时,该如何处理?
答:如POS机未结账,且持卡人未离开,可先做消费撤消,再重做正确交易;
如POS机已结账或持卡人已离开,由商户对需退款项手工填写调账单传真或提交到商户的开户行进行账务调整。
2、当出现少刷、漏刷金额时,该如何处理?
答:如持卡人未离开,可将少刷或漏刷金额补做一笔刷卡交易;
如持卡人已离开,请商户出具详细情况说明,交至商户的开户银行做托收。
注:因商户疏忽造成的款项少刷或漏刷,其风险由商户承担。
3、当POS机显示“交易成功”,签购单因故未能打印时,该如何处理?
答:
1、首先使用重打印功能,进行重打印该笔交易操作。
2、如无法重打印,请与银联公司联系,确认是否是机具故障;立即拨打银联电话95516查询该笔交易和请持卡人打自己银行卡的开户银行客服电话查询当天交易额。如果打95516查询交易,回复说交易成功,就明白该交易已经成功交易。如果打95516查询交易,回复说交易不成功,当持卡人反映已扣账,可确认该交易为单边账。请商户做好于客户的解释工作,并主动填写一份调账申请单交给商户的开户银行,便于持卡人开户银行及时调账。
4、当客人结账时,要使用现金结算时,原预授权交易该如何处理?
答:商户可直接在POS上做预授权撤销交易。对于部分不支持预授权撤销的银行卡,商户应填写一份预授权撤销的申请表,交给商户的开户行申请该预授权撤销。(详见“7暂不支持预授权类交易的银行卡”)
5、当客人没结帐跑单时,该如何处理?
答:商户可找出客人原入住时预授权交易凭证,在POS机上直接使用预授权完成联机手工输入卡号、预授权号的方式,来进行交易。(“预授权完成联机”见POS机具操作说明)
特别提示:
原始交易凭证的保留期限规定。商户应对各类签购单据、交易数据及与交易相关的原始凭证等保存至少1年,以便持卡人及发卡行在此期间进行查询和调单等,如因商户对单据、数据及凭证保管不当或遗失而造成的经济损失由商户承担。
六、特约商户风险防范
(一)如何识别伪造卡
1、检查凸印卡号的前四位数字是否与下方平面印刷的微型四位数字一致,如不一致,可判定为假卡或伪卡。
2、使用POS机刷卡,并检查POS上显示的磁条信息中的卡号是否与卡面凸印的卡号一致,如不一致,可判定为假卡或伪卡。
3、致电发卡行授权中心, 并将卡片BIN号(卡号的前六位数字)报给授权人员,请其尽快查询该BIN号所属的发卡行是否与卡面显示的发卡行一致,如不一致,可判定为假卡或伪卡;也可以通过与发卡行授权中心工作人员核对持卡人身份信息,如姓名、出生年月、地址、电话等,如不一致,可判定为假卡或伪卡。
(二)识别欺诈用卡行为
商户若遇到以下情况,请及时与发卡银行的24小时授权中心人员联系,若有任何麻烦,请要求商户保安人员处理,以免发生冲突。
1、购物或消费时非常随便,不加考虑与挑拣,不关注价钱,只希望尽快刷卡完成交易。
2、购买价钱昂贵的服饰,消费无节制,且均不进行试穿,急于成交。
3、对所购物件没有明显兴趣。
4、消费时持有多张银行卡,当一张卡无法刷卡获取授权后,不要求进行人工授权,而是立即换刷其他卡片。或者单笔刷卡不成功立即要求将金额降低,反复多次试刷。
5、持卡人不愿刷卡;或刷卡未能取得授权时要求分单压卡进行支付。
6、在收银员操作时不停催促,且故意分散收银员注意力。
7、在签单过程中神色慌张,左顾右盼。
8、在签字时要求看卡背面的签名或签字很慢。
9、持有外卡消费,但持卡人的穿着打扮、言行举止与其身份不符,并且无法提供护照,也不能正确说出发卡行名称和所在地等。
(三)常见违规操作行为
商户和收银员的过失或欺诈行为将承担相应的民事及刑事法律责任,主要包括以下几个方面:
1、拒绝受理银行卡:收单银行可以向商户追究违约赔偿责任。
2、向持卡人收取刷卡手续费:一方面收单银行可以向商户追究违约赔偿责任,另一方面持卡人可以不当得利为由要求返还。
3、分单操作等违反收单银行规定的行为,收单银行可以此为由退单。分单操作是指将同一笔交易使用同一张卡时,分成几笔交易处理。商户必须拒绝持卡人分刷交易金额的要求,不可故意分刷。
4、违规向持卡人提供套现:收单银行可以向商户追究违约赔偿责任;情节严重的,将构成信用卡诈骗罪。
5、收银员未核对刷卡者身份造成银行卡被他人冒用损失,持卡人将可以商户未尽到“表面审查义务”为由要求商户承担损失
6、以多刷卡、重复刷卡等方式侵占持卡人资金,将构成侵占财产罪或盗窃罪。
7、收银员捡到他人银行卡后使用,涉嫌冒用他人信用卡,数额较大的,将构成信用卡诈骗罪。
8、收银员窃取他人银行卡后使用,涉嫌盗窃并使用他人信用卡,数额较大的,将构成盗窃罪。
9、商户或收银员与伪卡团伙相勾结,盗录银行卡磁条信息,涉嫌共同犯罪,以伪造金融票证罪定罪处罚。
10、商户或收银员刷假卡或协助他人刷假卡,将构成信用卡诈骗罪。
11、商户虚假申请或恶意倒闭,涉嫌欺诈银行,将构成诈骗罪。注意:
商户不得随意泄露任何有关卡片交易的信息和资料。所有违规操作造成的损失由商户承担。
七、POS机使用注意事项
1、不要打开POS机壳。
2、不要将POS放在潮湿的地方,不要让液体流入机器内部,万一不慎进入,尽快关掉POS电源,通知POS维修人员维修。
3、不要让金属、杂物掉入打印机内部,以免引起卡纸,烧坏机器等。
4、POS做交易处理期间,请勿动用与POS相连的电话。
5、POS做交易处理期间,请勿断电。
6、打印机正在打印时也不要突然断电,以免损坏打印机。
7、当雷雨天晚上不用时,拔掉电话线插头防止雷击损坏POS。
8、避免用力敲打机器,避免使机器掉落地上造成LCD、打印机等损坏。
9、当POS出现不能拨号、不打印、不能交易等故障时,请联系维护人员,不要擅自处理,造成不必要的损失。
10、有些POS自带电池,新电池使用前三次一般应连续充电15小时以上,使用时尽量注意电池用完后再充满,防止长期处于充电状态导致电池损耗过快。
11、所有机具需要对配件部分拔插前,应先将电源关闭,以免热拔插引起机具故障或连接口
烧坏。
12、机具电源关闭时应使用电源开关,不要直接拔插。
13、不要使用非银行卡的硬卡片在POS机上刷,以免损坏读卡器磁头。
第五篇:加强POS机具操作风险管理
浅谈加强POS收单业务的管理
首先要严把特约商户准入关,切实落实特约商户实名制。严格特约商户资格审查和现场调查制度,甄别客户是否诚实守信、合法经营。在充分了解核实商户相关信息的同时,要注意核实商户法定代表人或负责人、授权经办人的个人身份、个人品德和资信状况。配好POS机专管员。该行指定业务素质高、责任心强的员工担任POS机专管员,负责本辖区特约商户的发展和维护工作。POS机专管员须做到每月对本辖区特约商户的POS和电话通运行情况进行一次巡查,并做好记录;对新发展的商户3个月内做到每月不少于3次的巡查,发现问题及时报告和处理。
其次,要严格规范特约单位的准入审核。认真审核特约商户申办资料的真实性、合法性和有效性。协议签订规范,佣金按照银联公布的行业标准收取;动员商户尽量使用对公账户进行资金清算,以减少资金清算环节,提高资金清算速度,保障清算资金安全。做好交易情况的日常监测工作。严格规定POS机专管员,对交易情况发生异常的特约商户,及时上门查明原因,发现商户有涉嫌参与刷卡套现行为的,及时予以制止;屡禁不止或性质严重的,及时收回POS机或电话通,并与该商户中止合作协议。
再次,严禁商户将POS机布放在外地使用。严禁商户将POS机布放在外地使用,凡今后发现擅自将POS机布放在外地使用的商户,将对支行POS机专管员进行严肃处理。加强对POS、电话通等机具的管理。该行加强对POS、电话通等机具的管理,机具发放造册登记,并按规定收取一定的押金,以确保工行机具设备安全。加强POS参数设置密码管理。在新安装的POS机下发之前,参数设置密码由分行专业人员设置;对已投入使用的POS机,要求POS机专管员认真学习POS参数设置密码,尽快配合分行专业人员对系统升级,重新设置参数密码并加强管理。
为防止犯罪分子利用节日期间商户销售额增加的松懈心理进行作案,对交易量、交易额较大和调单拒付多发的商户,严格执行定期走访制度,重点检查等相关工作。定期组织对涉及伪卡特征、伪卡识别技巧等风险防范培训,从而提高商户伪卡识别能力。同时注意商户利用节日期间协助客户恶意套现,切切实实防范收单业务受理风险。