《预付卡业务风险管理办法.doc》由会员分享,可在线阅读,更多相关《预付卡业务风险管理办法.doc(24页珍藏版)》请在金锄头文库上搜索。
1、预付卡业务风险管理办法 目录预付卡业务风险管理办法11 总则41.1 基本要求41.2 主要内容52 发卡机构管理52.1 发卡机构准入要求52.2 备付金管理52.4.1 开立账户62.4.2 备付金银行62.4.3备付金原则62.4.4账户变更和撤销63制卡厂商管理73.1制卡厂商准入要求73.2安全及风险调查74 受理商户管理84.1 谨慎发展的商户84.2 禁止发展的商户84.3 商户协议必备风险条款94.4 风险分级104.5 受理终端115 卡片管理115.1 基本要求115.2 主要内容116 交易管理126.1 基本要求126.2 交易加密126.3 终端加密136.4 传输加
2、密136.5 密钥管理146.6 风险交易监控146.6.1 系统侦测146.6.2 人工筛选156.6.3 现场核查157 数据安全管理157.1 基本要求157.2 数据备份167.3 数据保管168 业务操作管理178.1 基本要求 l178.2 权限设置178.3 操作管理188.4 清结算管理188.5 差错调整188.6 档案管理199 系统运行管理199.1 基本要求 l199.2 网络安全209.2.1 网络访问控制209.2.2 网络信息加密209.2.3 网络安全策略219.3 生产设备和系统219.3.1 系统权限219.3.2 操作安全229.3.3 机房管理239.4
3、 程序管理239.5 应急故障处理241 总则 为了推动预付卡行业的健康有序发展,提高各方在业务开展和实施过程中的风险防范意识,规范操作,建立有效的风险控制和监督机制,特制定本办法。 本办法主要描述预付卡业务各方在整个业务各个环节的潜在风险点及其防范措施,适用于开展预付卡发卡、受理和收单业务的各类机构和部门。 1.1 基本要求 1、设置职能部门、岗位,负责预付卡业务的风险管理工作; 2、制定并执行本机构的风险管理政策及制度; 3、利用技术手段对预付卡交易进行监控,及时识别、报告及处理预付卡业务中的各类风险; 4、建立完善的信息安全管理体制,制订账户信息与交易数据安全相关的制度及检查程序,定期就
4、账户信息及交易数据安全状况进行自查,并提供自查结果等书面报告; 5、按照国家法律和相关规章制度要求,制订相应的反洗钱制度,对可疑交易进行报送,并配备足够的人员和采取有效措施,预防和打击洗钱活动。 6、对于未能达到风险管理基本要求的机构,应及时采取以下一种或多种风险控制措施,提高业务风险管理水平: l 启动风险管理培训和辅导计划; l 缴纳风险保证金、结算备付金; l 提供质押担保;l 暂停一项或多项业务; l 启动应急计划。1.2 主要内容 l 机构风险:发卡机构、制卡厂商、受理商户方面 l l 业务风险:卡片、交易、数据、操作方面 l l 其他风险:系统运营方面2 发卡机构管理 2.1 发卡
5、机构准入要求 1、有合法经营资格; 2、在境内有固定的营业场所; 3、工商营业执照、税务登记证(或相关纳税证明)、法人代表或负责人身份证件“三证”齐全,且真实、有效。 4、有预付卡发行的合法经营资格,其中,非金融机构应当取得人民银行颁发的支付业务许可证; 5、按时足额缴纳风险保证金和结算备付金。 2.2 备付金管理 发卡机构应根据人民银行有关预付卡的管理要求,制定完备的售卡资金管理制度,并严格执行。 2.4.1 开立账户 发卡机构根据其发卡数量和规模,针对预付卡业务在指定商业银行的开设专门的预付卡备付金专用存款账户存放备付金。与商业银行的法人机构或授权的分支机构签订备付金存管协议,明确双方的权
6、利、义务和责任。 2.4.2 备付金银行 发卡机构只能选择一家商业银行作为备付金存管银行,根据业务需求选择一家或是多家商业银行作为备付金合作银行。 备付金存管银行,是指为发卡机构集中存放客户备付金、复核客户备付金头寸调拨行为、归集报告支付机构全部客户备付金信息的商业银行。 备付金合作银行,是指为发卡机构专户存放客户备付金以方便支付机构通过行内划转方式接受客户备付金或办理客户委托的支付业务、并按规定向备付金存管银行报送客户备付金信息的商业银行。2.4.3备付金原则备付金必须专款专用,仅用于客户委托的支付业务,与发卡机构自有资金分户管理。不得将售卡资金用于本办法规定的以外的其他用途,否则应承担相应
7、责任。如果造成购买人或者特约商户资金损失的,由发卡机构承担。2.4.4账户变更和撤销对于需要增开、变更、撤销备付金专用存款账户的,应当与备付金银行法人机构变更备付金存管协议,并且通知相关部门做出信息变更。当合作项目中止或到期结束时,发卡机构缴存的备付金在足额支付合作商户受理的结算资金后,多余部分退还至发卡机构的指定银行账户。3制卡厂商管理3.1制卡厂商准入要求1、发卡机构应当谨慎挑选制卡厂商。2、与制卡厂商签订安全保密协议,确保生产、数据和运输的全部过程严格遵守安全风险管理规定。3、发卡机构具备对制卡厂商进行监督的责任。明确业务种类、范围、程序和操作时限,禁止擅自转包行为。4、制卡厂商必须取得
8、中国银联,或国际信用卡组织相关认证。5、制卡厂商负责承担因管理不善或违规经营给发卡机构带来的损失。3.2安全及风险调查发卡机构对选择的制卡厂商,每年至少进行一次必要的安全及风险调查。调查内容主要包括:空白卡生产申报制度的执行情况;预付卡生产企业安全管理制度执行状况和产品质量状况;密钥安全管理状况;账户及交易数据的安全管理状况;网络、机房和系统状况;人员和售后服务管理状况以及其他需要知情的内容。 在安全及风险调查过程中,若发现合作厂商存在规章制度执行不力、安全管理状况松懈等问题的,或在合作中出现多次质量问题的,应视问题严重程度,要求其整改或终止合作关系。4 受理商户管理 4.1 谨慎发展的商户
9、对于以下类型的商户,应谨慎签约,并采取更为严格的调查措施和审批程序。 1、 易发生风险的商户类型 1) 机票代售点或手机专卖店; 2) 各类娱乐场所,如夜总会、卡拉OK、酒廊等; 3) 电话购物、邮购及网购商户; 4) 提供中介、咨询类服务的商户; 5) 批发类商户,包括专业化批发市场、小商品市场等; 6) 实际销售的商品或提供的服务不明确的商户,如小型贸易公司、经贸公司等。 2、 商户、商户法人代表或其主要负责人的资料已作为风险信息,被列入其 他社会征信系统。 3、 被行业内其它机构拒绝签约或撤销的商户。 4.2 禁止发展的商户 1、 不符合国家法律法规的: 1) 非法设立的经营组织; 2)
10、 特殊行业商户:包括本国法律禁止的赌博及博彩类、色情服务类,出售违禁药品、毒品、黄色出版物、军火弹药,以及其它与本国法律、法规相抵触的商户; 3) 已被列入中国银联风险信息共享系统“可疑商户信息”的商户; 4) 注册地及经营场所不在本国的商户。 2、 商户、商户法人代表或其主要负责人涉及重大民事纠纷或涉嫌经济、刑 事犯罪。 3、 停业整顿、濒临破产或已破产的商户。4、 被其他收单机构拒绝签约或撤销的高风险商户。4.3 商户协议必备风险条款 商户协议应包括但不限于以下风险必备条款: 1、商户不得将相关机具、设备、凭证等用于受理协议许可范围以外的用途,也不可以提供给第三者使用。 2、除非经过收单机
11、构书面允许,否则商户不得将受理预付卡的业务委托或转让给第三方。 3、收单机构只接受本商户的交易签购单,商户不得将非本店发生的预付卡交易并入本店的结算数据。 4、保密条款: 账户信息和交易数据只用于辅助完成预付卡交易,商户不得将账户信息和交易数据用于除此之外的任何其他用途; 未经相关机构同意,不得将账户信息以及交易数据信息披露给第三方; 商户不得以任何方式保存预付卡磁道信息、个人密码; 商户应将签购单等存有账号信息的介质保存在安全领域,并只允许经授权人员接触,严禁泄漏给第三方。 商户需承担因自身管理不善,导致发生账户信息安全问题而造成的损失。 5、明确界定商户违规操作行为及相关责任。 6、收单机
12、构对终止商户预付卡交易的有关规定。 7、收单机构对商户基本信息及风险信息的无偿使用条款。 8、商户对交易凭证的保管责任条款。商户应妥善保管好交易签购单及与交易相关的原始凭证,并自交易日起至少保留24个月。明确由于对交易单据保管不当或遗失而造成的经济损失应由受理商户承担。 9、交易查询及追索条款。合约终止后12个月内,收单机构对合约终止前的交易仍有查询及追索权;明确规定商户配合收单机构对有关交易进行查询和调单的义务。 10、商户违反协议规定时,收单机构有权单方面无条件终止与其的合作,并追究其法律责任。11、商户违反协议规定或出现商户受理协议规定的风险情况时,收单机构有权关闭终端交易功能,暂缓商户
13、预付卡交易资金的结算,直至风险事件调查处理完毕,风险状况消除。4.4 风险分级 对目标商户进行签约前的风险审查和实地调查,并根据审查和调查结果对目标商户进行风险等级划分,针对不同的风险等级应采取不同的风险管理措施。 4.5 受理终端 严格受理终端功能的对外开放,不在预付卡受理终端机具上受理社会企业发行的非银联标准及PBOC2.0标准的预付卡。5 卡片管理 卡片是预付卡业务中的重要环节,主要涉及制卡和发卡二个过程。制卡过程主要做好卡号规则、磁条和使用规范,以及制卡厂商的管理方面的风险防范,发卡过程主要做好发卡机构准入、销售管理和资金监管制度方面的风险防范。 5.1 基本要求 1、卡号规则及其长度
14、能够满足日常业务增长的需要 2、卡片的存储信息具有不可推导性 3、单张卡片的数据及交易密码的唯一性 4、防止卡档传输和卡片制作过程中的信息外泄 5.2 主要内容 1、卡号规则和信息内容 卡号长度一般为16位-19位,应包括BIN号、发卡区域或门店代码、卡序号和校验码。卡档信息的最后一位为卡号校验码,是根据卡号信息计算的出来的数字,可以有效防止卡号被连续复制。 2、具有密码和CVV(Card Verification Value ) 使用有密码的卡片更安全,制卡时通过覆膜保证密码的安全。CVV是由卡号、有效期、服务代码、机构编码及密钥通过DEA(Data Encryption Algorithm)算法生成的一个3位数值,保存在卡片的磁条中,可以防止被批量复制。 3、加密算法发卡,卡档信息加密 制卡档,采用具有硬件加密的发卡系统产生卡档,建立复核机制和权限管理,避免非权限人员接触卡档数据。该数据包括卡号、有效期、密码等信息,按卡厂的设备要求进行数据加密和传递,可以防范卡档在传递过程的风险。 4、卡片生产风险控制(制卡厂商管理)6 交易管理 6.1 基本要求 1、保证所有交易信息均进行安全加密 2、保证敏感数据传输过程采用密文传输 3、交易及远程管理终端采用加密认证 4、对风险交易进行防范 6.2 交易加密 对联机交易,在每台终端上
