pos风险控制方案.docx
第一局部总则1.1 幅写目的为引导成员单位提高互联网支付业务风险防范意识,有效识别、防范互联网支付业务风险,保护成员单位及消费者的合法权益,促进互联同支付业务的健束开展.根据国京法律法规及相关规定,制定本指弓1.1.2 适用苑图支付机沟立舞网支付业务经菅活动中的风1.识别.防范及处置,应遵循本指引.支付机构是指根据中国人民根行非金融机构支付效劳管理方法力规定,取得支付业务许可迂3,获准办理互联网支付业务的蚱金融机构.互联网支付业务是指客户通过计算机等设备,依托互联网发起支付指令,实现货币交金转移的行为.1.3 根本要求支付机为开展互联网支付业务活动时.应遵循平等竞争、老实守信、平安可靠、风险可控的原则.支付机料应速史与本机构支付业务规模、模式相适应的风险防范管理体系,在业务开展过程中,应根据风险状况不完善新苑措能,有效防范用户端与商户堵风险。同时应依照有关法律、法规和监管部门规章、标准性文件的规定加强时资金和客户信息平安的管理.严格横行反洗钱、反恐慵融笠义务,标准外包业务管理,实现行业内风殓信息共享,需保有效识别、评估、监测.控制和欠置互联同支付业务风殓.第二局部风险管理体累2.1 组织架构支付机冉应速生与本机构支付业芬性质.规模和复杂程度相适应的风险省理俎织架构,以有效识别、评估、监测.控制风险。质险管理组织架构至少应包括以下根本要素:工董事会及其职责;b.奇级管理层及其职责:C.风险管理部门及其职责;d其它相关部门职责等.1 .1.1董事会职费董事会对本机构互潴同支付业芬风险的管理负最终责任,主要职责包括:a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策:b.通过审批及检查商纹管理层的风险管理职费.权限及.报各制度,确保本机周风险管理决覆体系的有效性.尽可能确保将本机构各项业务面临的风险控制在可以承受的花国内:C.定期审阅高级管理层援交的风险报告,充分了解本机构风险管理的总体情况.高级管理层於理IE大风险事件的有效性以及监控和评价日常风险管理的有效性:d.稳保菊级管理层采取必资的措施有效地识别、评估、曲测和控制风险:e.批准内部审计部门提交的风险管理体系运行效果的审计报告,确保本机构风险管理体系接受内审部门的有效审娈与监督:f.制定适当的奖惩制民,有疑推动本机为风险管理体要的建立完善.».风险管理箕他重大事项.未设董事会的支付机构由执行置事或高级管理层覆行相关职责.2 .1.2高级管理层职责药级管理层负费执行董事会社猎的风险管理战略及政策.主要职责包括:a.在凤殓的日莒管理方面,笠事会负责:b.负责制定、定期审查和1a督执行风险管理的政策、程序和操作规程,并定期向董事会提交风险总体情笈的报告:C.审阅风建管理职能部门提交的风险管理裁告.充分了解机构风险管理的息体情况,定大风险事件处理机制及日常风1.监控.讦价的有效性:d界定各部门风的管理职责及风险管理寂告的路径、频率、内容,催促各部门切实履行风险管理职费,以确保风险管理体条的正华运行;e.为风险常理配务适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等;f及时对风险管理体系进行检查和修订,以便有效地应对国内部程序、产品、业务活动、僧患技术系统、员工及外部事件和其他因素发生变化迨成的风险损失事件.商圾管理人员,包括总经理.副总经理.财务负贵人、技术负责人或实际履行上述职责的人员.21.3风险管理部门职责支付机构应设立或指定专门部门负责风险管理体系的足立和实越,及风控措施的审批和执行.专职部门应直接对商级管理层负货井与其他部门保持相时独立,以保证风险管理的一致性和有效性。主要职责包括:a.具体指导和出调本机构的风险管理工作:b.拟定本机构风险管理制度、程序和操作规程.提交高级管理层审批:C.建立风险识别、谛估、董测、控制方法及藏告程序,并组织实施:d.建立跨部门联合工作机制.除调.解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急慎案的演炼工作:C.定期检查、分析相关部门风险管理情况.魂保风险管理制度和措施得到有效落实;f.定期向高级管理层提交风险管理报告:g.为各相关部门提供风险管理培训,协助其履行风险管理职责、提高风险管理水平。1.1. 4其他相关部门职费风险管理相关部门包括:业务部门、信息科技部门.内审部门、合规部门、客朦部门等。上述部门根据职责分工时所负责的风眩管理工作负直接责任.主妾职责包括:a.执行风险管理的政策、程序和操作规程:b.依据水机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急颈案,确保与风险管理总体政策的一致性;C.监测重点风险,定期向风险管理职能部1通报本部门风险管理的总体状况.并及时报告风险事件.内审部门不直接负责或参与其他部门的风险管理.但应定期审计本机构的风1.管理体装运作情况.½fe½风险管理政策的执行情况,对新出台的风险管理政策、程序和具体的操作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效果的审计报告,跟踪、瞥导审计发现问题的整改工作.2.2风险管理制度与内部控制支句机冉电依据国家相关法蜂法规,按阳审慎径有的原则,旋立健全风险管理制度和网部控制机制.1.2. 1风险管理制度支付机狗风险管理制度应满足全面性.有效性原则,包括但不跟于以下方面:a.业务管理:b.用户管理:c.商户管理;d.资金平安管理;e.系统信息平安管理:f.反洗线和反恐怖融资管理:g.风险事件及应急管理.2. 2.2内部控制2.1.1.1 内部控制应当表达全面.审慎、有效.独立的原则,主要内容包括:a内部控制应当贪穿本机构互联网支付业务全ii理和全部操作环节,温流所右的部门和谢住,并由全体人员参与.所有决彷或操作均应有案可查。b.内部控制应以防范风险、审慎经营为出发点,本机构业务经营管理中应表达“内控优先”的要求.C.内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力.内部控制存在的同题应能够得到及时反应和纠正。&内部控制的监督、评价部门应当独立于内部控制的速设、执行面门,并有直接向董事会.监事会和高级管理层报告的柔道。2. 2,2.2支付机为内部控制应当包括以下要素:a.内部控制环境。b.风险识别与评估.c.内部控制措施.d.信息交流与反应.e.监督评价与纠正.2.3 风险管理方法支付机为应按照风险的类型和特点采用有效的.具有针对性的方法龙风珪进行监测,分析,评估和父孟.附风险事件进行分析、评估师报告.包括:制定有效的风险防范措施,监测关桃风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,马请外部中介机构对风险管理体系进行审计和评价等.支付机为应建立风险预警机制,以降低风殓事件的发生频率:及时采取有效控制措施,减少风险事件抿失:制定适当的程序报告风险状况和重大风险事件,重大反险事件应及后向董事会和Ji级管理层报告.2.4 风险若理系统支付机用应当建立完善风险管理系统,以有效识别、评估、监测、控制和报告风险.该系统应记录和存储与风险投失相关的数据和风险事件信息,支柿风险防范和控制措施,枝和关绽风险指标,并可提供风险报告的有关内容。具备条件的支付机构应建立实时驻测系统,用以控制交易风险.业务类型复杂,经营展模较大的支付机构,应建立功能更加全面的风险管理系统,钎就各项业务的风险特点实造有效管理。第三局部用户风险及防藏3. 1用户注店率查3. 1.1实名制要求支付机为应根据审慎原或I,典名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。支付机用应加强对用户支付未户的管理,为同一用户定之唯一的用户身份识别号,对该用户开立的所有支付账户进行美联、统一营理;对同一用户在同一支付机狗开立多个支付账户的,应采取有效措施语保支付来户为同名案户且多个支付账户中登记的用户根本身份信息一致。3. 1.2用户身份信息审核支付机为在为用户开立赚户时,根据鞍户开立主体不同,分为个人支付案户和单位支付账户。个人用户中请开支支付赅户时,支付机构应登记其姓名.性别.国俯、职业、住址、联系方式以及有效身份证件的椁类、号码和有效期限等身份信息.并对用户姓名.性别.有效身份证件的和类和号码等根本身份信息的真实性进行有效本核。个人用户存在以下情形的,支付机用应核对其有效身份证件,并曾存有效身份证件的复印件或者影印件.a.个人用户办理单笔收付金额人民币1万元以上或者外币等值100O美元以上支付业务的:b.个人用户全部账户30天内资金双边收付金截累计人民币5万元以上或外币等值1万美元以上的:c.个人用户全部账户资金余额连续10天墨过人民币5000元或外币等值1000美元的:&通过取得网上金融产品销售资质的支付机为买卖金融产品的:e.中国人民粮行规定的其他情形.单位用户申请开立支付聚户时,支付机胸应登记以下根本信息:a,单位名称、地址、泾芳苑围、税务登记证号码、组织机构代码按规定无须取浮租务登记证或无法取得坦织机四代码证的除外):b.可迂明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名葬、号码和有效期限:c.法定代表人(负贵人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期支付机狗应核财单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。有效身份证件是指能移证明用户身份的相关迁件。个人用户的有效身份证件,包括:居住在境内的中国公民.为居民身份证或者临时居民身份证:居住在境内的16周岁以下的中国公民.为户口簿:中国人民解放军军人.为军人身份证件或居民身份证;中国人民武装警察,为武装警察身份证件或居民身份证:香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效施行证件:外国公民,为护照:政府有权机关出具的能缪证明其其实身份的注明文件。法人和其他组织用户的有效身份证件,是指政府有权机关颁发的能移证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、蛆织机构代码证.个体工商户的有效身份证件,包括营业执照、泾营者或授权廷办人员的有效身份迁件。支付机冉可通过与公安机关、工商机关及说务机关等机构的合作,对个人用户及单位用户根本身份信息的真实性进行有效审核。3. 1.3用户申请资料保存支付机构应加强对用户身份信息等费料的管理与保存,建立用户身份信息资料的分类、保管.登其和销篁等管理制度,保证其妥善保管.有序存放、方便查阅,严防灭失,损毁和泄露。支付机构不得以任何形式后外揩供用户身份信息等资料,法律法规另有规定或与用户另有打定的除外.用户身份信息等资抖,应当由支付机构按照归档要求,以纸质或电子方式妥善保存,保管期限电业务关系结束岩年至少保存5年。纸质资料应整理立卷,装订成册,编制会计档案保管清册,电子方式的资料应迸行备份,按.照系统信息不安管理相关制度的饕求妥善保管.对于司法部门正在调查的可疑交劭或违法犯单行为活动涉及用户身份信息等费料,且相关调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应当将其保存至相关调查工作结束.1 .2用户效劳协议3 .2.1效劳协议根本内容支付机构为用户开立支付寐户的,应在用户申请开立支付账户时若订效劳恢议。协仅内容包括但不限于:a,支付账户的开立、使用、挂失、止付和撤法的条件;b.身份验证和支付授权方式:c.用户对支付机构核驻其银行来户信息和身份信息真实性的授权:d.支付账户使用规则,以及违规使用的处置和责任;e.支付账户资金变动的通知力式:f,发现支付账户被盗用后的通知、处置方式和责任划分:g.用户身份信息和交易信息的保密责任:h.支付机构所梃供的支付效劳,包括具体的效劳种类及产品功能等,及其支付效劳的使用限制:i.交易风险提示.包括拨示用户注意交易过程中可能存在的风险及风险发生后的相关处理指菸:j知识产权的保护,说明支付机构所享有的知识产权及相关侵权费任:k.业务争议第决方式及免责条敕:1.双方的其他权利和义务.3.2.2风险防苑内容支付机典与用户暮订效劳治议时,应告知用户可能存在的风险及相关的重点事项.协议的风险条款应包含但不限于以下内容:a,支付机构提供的各项支付效劳中可能存在的风险,以及用户的点事项:b.用户注册支付账户时可能存在的风险,如未及时更新身份资料可能引发的风险等,以及用户的看点事项:c.用户使用支付账户时,如张号登录.帝码设差,交易操作等,可能存在的风1.以及用户的重点事项:d.用户停止使用支付账户*可能存在的风险,以及用户的重点事项:e.其他风险防范内容.3.2.3法律责任条款支付机再与用户签订效劳泌议时.应明德与用户之间的权利与义务,并对各自承当的法律后果及法律责任进行约定。侨议的法律费任条款应包台但不限于以下内容:a注聆支付账户时,双方所承当的权利义务与责任;b.使用支付J户效劳时,双方所承当的权利义务与贵任:C,哲停.拒绝或终止支付败户效劳时,双方所承当的权利义务与责任:d.支付系统效劳中断或故障时,双方所承当的权利义务与责任;e.用户使用支付账户及交易过程中产生风险损失时,双方所承当的权利义务马费任:f.用户脱私权的法律责任条款:g.支付机构知识产权的法律费任条款:h.其他法律责任条款.3.2.4协议变更告知支付机用拟变更支付效劳协议格式条款.收费工程、收费标准答主要内容的,应当在变更前30日告知用户,并提示常耍变更的内容,未向用户履行告知义务的,变更后的条款对祓用户不具有约束力.变更部也涉及新增收费工程、提商收费标准、降低优惠条件等不利于原各户权益内容的,未泾原用户同意,仍应当按照原油议执行。3.3用户交易身份认证1. 3.1根本要求为保住用户身份信息及交易信息的平安,保证用户支付指令的完整性、一致性和不可抵赖性,支付机构应为支付账户提供平安可隼的身份验证和支付授权方式.并采取有效措施,在用户发出支付指令前,找示用户对支付指令的腐碇性进行确认.3. 3.2技术手段支付机沟可通过语码、令弹,动态口令、平安证书、手机校.验码等技术手段对用户交易身份迸行认证,确保用户的交易指令由用户本人发出.支付机为E根据用户使用的不同身份认迂方式设置支付跟软,以保护用户的资金不安。用户提交的身份认迁信息经屡次验证或在杀定时间内仍未通过的,支付机料应暂停其局部或全部业务的处理,并以适当方式通知用户.支付机为应持续更新交易身份认证技术手段.保证用户交易平安。支付机狗财用户的平安拨示应樟生其使用互陕网支付产品完成支付活动的全过程和所有环节,提示用户注意索户、银行卡使用及个人信息平安,并提供相应的平安防范括族.文对见狗还应当以适当的方式,包括但不限于公告、邮件、坦信、站内信等向用户提示当前主要支付平安风险。3. 6.2日常平安教盲支付机构应当延立用户日常平安教0制度及流程,设立专门客服梁道将答用户平安问题,在网站页面应当设置平安教肓板块。支付机沟有设计相关产品时应包台附用户进行平安提示或平安教育的内容,培百用户良好的支付平安习惯.支付机冉可定期或不定期开展互联网支付平安宣传培削活动,对用户进行平安教育.3.7业务投诉.过得及争议管理支付机为应当咫立业务争议、投诉处理机制,在网站公布争议受理柔道及流程,成立或指定廷专业培训的争议、投诉处理部门.设置专恃,提供至少5x8小时的效劳。支付机构应在5个工作日内处理相关争议或投诉,并及时将处理结果告知用户.第IS局部鼻户风险及防藏4. 1商户拓盛4. 1.1禁止开展的商户a.非法设立的经营组织;b.特殊行业新户,包括本国法律禁止的赌博及博彩类.色情效劳类、出售渔禁药品,fi,黄色出版物,军火弹药等以及其他与本国法律、法规相及做的商户:c.以运利为名招律客户实现传销或非法集笠目的的薪户或经营组织。4. 1.2端慎开展的3户a.虚拟商品销售(包括充值卡、游戏点卡容易发生套现、伪胃交易的商户:b,提供中介咨询效劳类商户;c.接受用户预付款的商户;d.以个人账户作为结算贬户,注.册资本低或成立时向短、无实体店面的商户:C,注册地或羟言场所在境外的商户:f代婢类交户:g从事民同融资,贷款等类型业务的商户:h.商户或其法定代表人、负责人巳被列入中国人民强行指定的不良信息系统的商户.4.1 商户费质审破4.2 .1根本要求支付机内应对商户的根本信息、费信记录、经营状兄等进行全面审核与调登,以核实商户根本信息的真实住,并到新其是否满足商户准入的根本条件。商户资质审核应由专人负责.不得与商户拓展等岗位兼岗,审核渠道包括但不限于电话调查.现须调查和问接调企等.1.1.1 2.2审核内容支付机为与商户签约前.为防范风险可对以下内容迸行审核:a营业执照、税务登记证、蛆织机构代玛i£,法人代表或商户负责人身份迂等:b.商户网站域名是否可以正常访问,网站信息是否认时更新:c,是否是将ICP证或有ICP备案:d.系统数据平安和人员配置是否有保障,业务制度体系是否完备:e.窗户提供的新品及效劳内容是否合法合规:f效劳条款、客户隐私声明、平安管理声明是否完瞥,有关退货.退款、送货和交易取消政策是否齐全;g.客户效劳体系是否健全:h.网站内容。对平台类商户应增加以下审核内容:a.二圾商户实名制落实情况:b.平台类商户的信用评价体系和风险控制措施;C.平台类商户对二级商户交易信息上送和保管i力。4.2.3 风险评级与分类管理支付机狗在审核?(户根本情况的基础上,应对其迸行风险等££划分。逋过宏商户的信用风险,欺诈风险和合规风助等各项根本要素迸行评分,形成反映商户整旅风险水平的评价分值,作为与商户券约的决策依抠,并举枢分值不同对商户果取差异化的风险管理措施.对风险等级较高的商户,应来取的交易风险管理措施包括但不猥于:设置商户单笔或当日交易年颖、交易抽测.物流审置、现场检查、察存风险准备金.延迟清算等.商户转约后,支付机构应结合商户的日常交易行为和风险管理抗况,动态调整商户风险等级和相关管理措施.4.2.4 未通过审批商户的记录对于未能通过审批的商户,支付机构应在立内部除登记曲存制度,对商户根本信息和拒电原因进行详细记录,并及时进行更新汇总.为后建新商户的审批资询提供叁考,分止不良商户尾次提交欺诈申请。4.2.5 申请费料保存管理支付机构应妥善保存以下资料的影中件或与描件各登:山商户营业执照b.税务登记证c组织机构代码证d法定发表人或商户负责人有效身份迁件e.商户ICP证f.商户信息调登表g.商户受理协仅书h.对商户日常风险管理的相关表格,如商户日富检登表、4特约商户风险管理自查问卷等。支付机为与奇户解约时,从协议终止日起,商户相关费料至少应保存五年以上。4.3效劳快议1. 3.1根本要求支付机典应与商户签订标准的受理协议书,明确双方权利与义分.4. 3.2风险防苑条款支付机为在与商户绻订的评或文本中,应明俄包含以下风险条款:柒止性规定:a.商户不得将相关快关接口、标识等用于受理协状许可范围以外的用途,也不得供受理筋议许可范围以外的第三方进行交易的使用.对于违反该条款的.支付机构保存向商户追索抵失及要求额外罚款的权利.b.未投支付机构书面允许,商户不得将受理业务委托或岭让给第三方.经营义务:a.商户应对所提供资料的真实性负责,保迁其标首活动和范围的合法性:b.信息费料、业务状况或商户根本情况发生变更时,育户应及时通知支付机构:1 .信息费料变更包括:商户注册信息、效劳器及网站地址(UR1.及IP)、网站名称.联系方式.开户银行及收款贼户等发生变更:ii业务状况交更包括:经甘变化(如中断或终止)、商品和效劳以及提供方式(如主营业芬苑图.送、退货方式等发生支更:iii.商户根本情况变更包括:商户笠本及所有权变更(如注册资本的增减、重大的债务变化).c.商户需确保有关商品和效劳描述完整,有关退货.退款、送货和交易取消政策齐全,有关客户效劳体系健全.d商户要妥善.反映处理互联网支付业务产生的过错和争双,维护消费者合法权益。C.商户应加国财相关网站、支付设各反软件的日常维护和管理,然证泰垸的平安稳定性.并遵守国家有关互联网支付平安的法律法规规定,确保交易以及账户信息的平安,否则支付机为有权限定亶户的支付金额或中止合作,并要求商户承当相应的违均责任.f.商户存在篡改交易数据、未按要求上送交易验证信息、为洗钱、套现提供便利等违规接作,应承当相应责任.g.在发生欺洋交易后,商户应.整行配合相关机构进行风险事件协查的义务,包括但不累于援供商户或二级商户签为时留存的根本信息、文付交易信息、客户信用记录.带卡人根本信息等.h.平台类商户应配备相应的系统、人员和完善的制度,就其二级商户的交易实施有效识别.迫满及在必要时哲仲业务的管理。同时.须承当因二线商户开展和管理不善造成的风险损失,下设的二级薪户不得再开展下一级商户,i.交易订单保存条款.商户应莺交易订单保存至少I年.因保存不当或遗失订单而造成的经济损失由商户承当。保密条款:a.商户不得存储除根本的交易信息以外的其它数据(如网上支付密码、卡片有效期,CVK2等).b.除了交易需要或法律要求,商户不得将账户及交易数据信息披露给第三方。c.商户必须将包含贬户及交易数据佶息的所有我体保存在平安区域,并稳保只有帔授权人员才能接触:包含索户及交易数据信息的所有载体在失效后应立即销毁.不得留存.d业务处理流程应当检保信息平安.风险控制措施条款:a.泾风险状况评估确认为高风险商户的.支付机构有权调整商户交易款结算时限和方式。若商户违反林议.或从事欺诈交易的.支付机构可延迟对商户款项的结算。b.根据商户风险属性或风险评级,支付机内可要求商户Jft纳一定戳度的保迂隹,用于对商户连为迨成的援失进行赔付。c.因商户选第操作、出现风险事件、违反协议定等情况,支付机构可立即终止商户效劳协议.d.调查商户疑似欺诈交易则何.支付机狗可智时扣留有关交易的结算烫金,并须及时告知帝户.C.商户出现以下情况且是通协商未蹶出改良的.支付机构有权终止辞该商户的效劳:i.在正式运行3个月内无交易:ii因商品质量、配送:司题而遭卷户星次投诉:iii商户因姓着不善,已破产或停业的:i.被监管机构和司法机关认定为需要关闭的;V.违反保密义务的:vi.有共他严或影响双方合作行为的.其他务软:a.商户风险信息使用条款.在正常业务范围内,商户同意支付机构使用其风险信息(包含但不限于商户根本Ii息、商户投普及其风险情况等).b.交易窕询及追唳规定.协仪终止后,支付机构对岬状终止前的交易仍有查询及迨京权。C.支付机构的债权保证.在商户宣布破产时.应保证支付机构的债权人地位。4.4商户日常管理与监控4.4.1 商户日常风险教育支付机为与奇户速立业务关系前,应胪商户进行至少一次包括风险防范要求及技能的培M。业芬存续期间内.支付机为应根据业务开展如风险控制需要.就商户进行定期或不定期的瘠训,可采用现场或远程方式,原则上一年内不得少于一次,并保存培训记录,以备查核.4.4.2 商户风险核置与管理支勺机的应根据业务开展和风险控制的帝耍,定期对商户风险情况进行检交,并保存回访和培削的记录.检查的方式可以采用有户囱在、支付机构检查以及更托专门机构代表相结合的方式,检查内容包括业务校斐及技术平安检查。发现异常或违规情况,应要求商户及时整改并提出有效的风险防范措施,必要时按照相关规定及时中止与商户的协议。支付机料电采取必要的技术手段保证商户账户资金不安,具体手段包括但不限于:USbkey、Token,数字证书、手机短信骁证码等.支付机构应以电话或恒络方式为商户提供业务及风险咨询效劳,并明确告知商户.4.4.3 日常交易监控支付机狗应延立对互联网支付业务的交易监控机制,配备专门人员,对商户日常交易进行监控,并对可疑交易进行调查处理。依托风险管理系统,运用信息化手段来加强商户的风险长控和昔理.支付机我应根据自身风险策略,在风1.管理系统中对互联区支付业务设置相应的商户风险监控指标。支付机构可根据逆户的风险等级,建立动态的商户交易限额控制机制,细化针而不同类型商户的交易泯软标准.4.4.4 44交易信息上送及保管支付机为应要求商户上送完整的交易信息.保支付机构保存详细的交易记录数据,应包括如下信息:a.交曷发起方IP地址:b.商IS或效劳内容搭述.物流配送信息:c.二级商户名班、商户效劳类别码等.支付机冉应对上送交易数据至少保存五年,以便追溯。4.4.5 商户调至与处置日常交易It控与商户检查中,发现商户存在违规选象时,支付机构应立即进行调查.调查疑似套现等商户欺诈时.应标合呆眼如下括菸进行处理,以及时发现风陵.阻止商户欺诈行为.防止更大弼失:a.向商户唳取单据及,相关凭证:b.向银行等有关机构证实交易:c.暂时扣曾结算资金;d.前往商户实施现场调查:C.时有嫌疑商户实踞后续延控和调查。当稽认商户存在违法、违规、般作行为且情节严重,或对商户采琅警告、整改、暂停交易等处分措施无效的,应立即终止商户协议、及时清退,并于林议终止后十个工作日内,将商户信息录入人民纲行指定的不良信息系统.支付机均应积极砂助公安司法机关、相关主管单位及合作银行而商户违规违法事件进行调查,配合采取相应措簿.4.5商户风殓类型及防范4.5.1信息池Ir4.5.1.1风险描述商户选反保密条款,违规保存或将交易中采集的银行来户信息、支付贬户掂息和交易蛾据等信息,泄说给无关第三方.被泄露的信息具体包括:银行账户信息:涉及银行卡号.有效期.CYN2、药支付相关的各类密码等:涉及精卡人姓名,身份证号、联系力式.其他证件号码等身份信息:支付账户信息:涉及支付账户用户、率码和联系方式等:交曷致据信息:涉及交易金筱、交易商品零.4.5.1.2防范手段在合作协议中明确支付机构与商户的责住与义务.要求商户遵循本指引的信息平安管理要求,切实了解商户对于信息泄密等风险的防范指法,如强后商户相关人员的风险培训与日常管理。采用各类平安支付手段,防止信息泄露.提升支付的平安性.4.5.2套现4.5,2.1风险描述商户与消费者或其他第三方勾结,或商户自身开立买卖双方的张户,进行无商品交付的虚假交易以此套取现金的行为.4.5.2.2防范手膜严格执行宾名审核制度,充分利用联网核安身份信息系统.公安部户籍查询系统,并多方了解特约商户的羟菅背景.营业场所.i曾范围、财务状况等信息。在商户入网协议中明确商户有防范套现风险的义务,一旦发生套现行为,应采取暂停该商户交易或关闭商户等措施,并由甫户承当可能出现的损失:在商户侨议中.明瑜标准退货桀道,不得进行现金退卷或采用预付费卡等易引发套现的形式退近现金:将疑仅有套现嫌晨的商户负责人信息.营业执照等相关证件信息叁加黑名单或友名单,作为入网审核时的参考依据.按照包户效劳类型制定单笔.当日累计交易限黄,并根据互联同欺诈形势对限额进行动态调整.跳立商户交易监控机制,甘於套现商户交易特征制定相应的侦测规则。4.5.3恶意倒闭4.5.3.1风险描迷以欺洋为目的,发生商户负责人卷敕潜选、商户倒闭等风险事件,引发缴纳ffif=i款的用户投诉,给支付机构带来退款掰失的情形。4.5.3.2防花手段为宣户提供互联网支付效劳前应首先查询人民限行指定的不良信息系统,防止雪意倒闭商户在被某一支付机构发现后转移重复中请:对易发生恚意倒闭商户要求其盘纳风险保证金.并栗取延迟结算的措施,加强交易芨控,及时发现有患意倒闭嫌疑的商户,并采取风陇控制措施。4.5.4非法页面信息4.5.4.1风险描注商户在其网站页面发布或登我诸如提供套现、赌博效劳等信息招徐客户,通过互联网从事诜法违规交易,支付机构带来损失。4.5.4.2防范手段支付机内应加强对签为商户的日常检,运用“网络黑虫”等相关技术,对商户的网站内容进行扫描.频率不得低于每周一次.在扫描中通过对敏感字段的过逋.饰瓷出发布违规信息的商户,并根据商户日常管理要求进行调丧处置,对存在违规经营的商户应根据情节轻变采取口头整告.哲时关闭、录入黑名单、清退等手段进行处置。对平台提商户.应要求其对下辖二级商户采取同样的风险管控措菰,要求其将所辖商户页面内容定期进行性杳,并向支付机构反应检查结果,4.5.5网络钓鱼4.5.5.1风险描述网烙钓鱼指不法分子利用公共网络环境的漏洞,通过伪造交易徒接将客户引导到虚软的支付页面:或向客户支付交易理埔植入木马病毒等恶意程序,诱使客户将交易订单款项支付至指定账户或去用其账户资金.4.5.5.2肪苑手段加强对互联网支付用户平安意识的教育,提示常用的欺诈手段,并在交易过程中提示客户注意不明钱接及文件的接收,如发现异常情见应及时与银行或文传机构联系:要求商户注意交易环境的平安维护,防止网站祓攻击或恶意利用.荏网站安装平安控件、杀毒软件,并定期对虚假袋接迸行平安扫描。在客户支付订单之前.及时向客户发起订单确认,确认悟息包括但不跟于:发起人、发起时间、收款人、支付金额、商户名称、购孟商品类型等;对虚拟充值,港式通讯类商户设置特殊的隼日.单笔交易限额:针对商户旅钓鱼网站利用引发的订单替搂,可在站内及站间采用具备防钓鱼功能的技术接口进行防范。加强交易监控.关注短的间内发起订单和订单文付不在同一终潴的我统多他交易、发起订单和订单支付时间间隔过长.同一终端短时间内连线发起多笔订单等异常交易行为,除上述主要风度类型以外,商户存在泾营情况与注册信息不符,从事违反国家法律、法规和政策规定的业务(如赌博或者其他非法活动)等,给支付机料和客户造成损失的情形。支付机为应通过加国交易监控、加大商户检查力度或严格商户出议为定等力式的束两户违法违观行为.第五局部黄金平安管理支付机冉应产格按照业务管部门相关支付结算管理制度和规定,依据与咨户筌订的效劳协议,办理资金的结算业务.贿保客户资金及时.准喻划转及核算.支付机为应速循支付机构客户备付金存管哲行方法相关规定,确定备付金存管银行,筌订备付金存管协议,加强备付金管理,保障客户备付金费金平安.5.1 备付金假行账户5. 1.11户的开立和撤销支付机为应设立或指定资金结算部门,或实际履行资金结算职能的部门负费备付金银行账户的开立.变更、撤销,网上银行等功能的开递、变更、关闭以及相应接作权外的配置管理工作.支付机为对备付金银行贬户的开立、使用情况,账户权限建立审核和装督机制,对账户密码泄露、照户笠用以及越级操作等异营情况应及时通报风险管理部门并栗取相应於理插施,支付机为开支各停金跟行贱户时.费金结算部门应财拟开立的备付金嫩行账户名琼、性质以及数量的合规性进行审核.并及时与开户行核实聚户开立信息。各竹金银行账户撤精前,资金结算韬门应核实以下事项:a.待铺账户已无任何交易、退款等业务发生,无结余资金:b.账户内存售余额的,巳将余额划转至承接账户。承接贱户应符合支付机料客户备付金存管暂行方法要求:c,巳有残定的方法或途径保障该家户精户后不会影晌原支付订单的退款。备句金银行账户开立或销户后,奥俭结算部门应确保将开户或销户信息及时通知财务等楣关部门.开户信息包括账户名称、开户行.账号、开户日期、家户性质(汇鼠疑户、收付账户)等。精户悟息包括账户名称、开户行、账号.箱户日期等.6. 1.2网银平安管理开通各付至粮行账户回俄功能时.笠金结算部门应及时设置、登记并转交网银USBKey数字证书管理、使用权限。关闭网银功能时,应收回该麻户的网银USBKey政字证书.并及时登记,统一保管。费金结算部门应按期逐级授权、职费别离的原则设置'修改、取消网银操作权泯。网竭权限名单应定期清理.确保授权合理。网银证书应按照分线授权由专人保管.不得带离操作肉位。营业终了,应将掇作证书放入保险柜保管,并做好出入记录.网假密码应定期更换,当有庄码使用者总联或者换功后,应立即史茂有码;埼金结第部门应不定期检证网根证书或号码的出入库记录和交接记录。支付机狗应定期对使用USBKey数字证书的计算机进行杀圣,防止病等或者木马非法荻取USBKey数字证书信息、损坏USBKey数字证书现件。5.2 岗位设置与收果支付机均应遵循职责别离.相互制约的原则,合理设置资金结算、费金管理及财务稽核等国位,严格别离费金支付的审批与执行、黄金的保管,记录与盘月清查、资金的会计记录与审计驻督等职能;严家一人兼任非相容的岗位或单独完成结算全过程的业芬操作,做到结算操作与结算对账.业务是办与会计账分处理、业务操作与风险监控.经办与复核及.授权相别高。支付机狗应遵循“景小投枚”及“按需使用”的原则,设置结算业务操作权跟.对提取、脩改资金转算及会计核算数据等操作应建立严格的审批.审计和!&督检登机制.对涉及交易资金、客户账户资金变动的操作,包括但不跟于商户结算、支付Ift户提现、商户退敕.湖来等行为.应至少实行双人、双权艰操作。5.3 商户资金结算支付机构应确保各付金赚户可用、余额充足:头寸蜕乏的,支付机构应按相关规定,及时调整备付金专用存款诔户问头寸。支付机冉应准确核算商户符结算笠金,并依据与商户餐订的支付效劳浊议.将款项直接结算至协议约定账户.支付机为不得委托他人代理结算。商户结算规则.结算艰行账户发生变更的.支付机狗应取得商户的交更申请函件,井确认商户身份后予以及时办理。支付机构结算时发现存在可能导致资金过错的情况时,应立即终止相关的付款操作,并及时查询、核实,确认无误后再安排付款。支付机沟在垃控中发现异常交易或存在年议交易时,应及时采取暂扣、亮迟培算等搭拖拉以防范.或通过收取保迁金等方式躲避风险.支付机用应按亚务教管部门相关规定保存电要凭证.操作记录和操作日志.以便审计和查驻。5.4 资金退回及交易退款支付机用为客户办理充值资金退回、退款业务.或支付机可办理显错资金退回,应遵循原路退回的原现,退回至原支付账户或粮行账户,不得核窗或送至其他账户;原黑户巳销户的,支付机构应主动联系客户或发卡机构,确保将相关款项退回客户本人应户。1.2 5手埃决支付机沟与克户,合作方(如坂行应势订协议约定收费标准:如需变更.应办理书面变更手域.支付机狗发现计费数据处理异常或疑像异常的,应及时审核确认;计费敖据存在过格的.应及吃进行调整、修正。支付机构应指定专门部门负责手钱费核算.制表、收付款、开票等工作,按期收取.结转费用;当期未收、未付款应累计至下一结算期结算。1.6 资金对账支付机构应每日就其业务系统的交易记录及相关账表进行对照,对张应包括以下内容:a.系统日切时汇总交易欣户流水,将交易账户的明细账与总败进行核附:b.系统日切时将各银行电子对假单与系统中的交易明细迸行核对.与银行对账周期另有约定的,按照约定周期对账。先会结算部