(中支协函〔2016〕67号)
各会员单位:
为有效防范电信网络新型违法犯罪,切实保护人民群众财产安全和合法权益,推进落实中国人民银行《关于加强支付结算管理、防范电信网络新型违法犯罪有关事项的通知》(银发[2016]261号)相关要求,现就近期银行卡收单业务风险管理工作做出以下提示:
一、规范受理终端管理,杜绝网上买卖受理终端
会员单位不得在网上售卖POS机(包括MPOS)、手机刷卡器等业务受理终端。会员单位应严格落实相关监度及自律规范要求,建立相关管理制度和工作机制,采取入网终端签名、唯一性标识等技术措施,加强受理终端入网管理,自觉防范不符合技术标准要求、被非法改装过的受理终端、通过网上购买的以及其他来源不明的受理终端进入业务平台,以有效隔离客户信息泄露、资金被盗等风险。
会员单位对于存量终端应建立定期检查机制,确保自身布放的以及专业化服务机构提供的业务受理终端持续符合国家、金融行业技术标准和相关信息安全管理要求,确保布放的终端与合格样品的一致性,并在2016年11月30日前对全部实体特约商户进行现场检查,核对全部受理终端的使用地点,形成检查报告备查。对于违规移机使用、无法确认实际使用地点的受理终端一律停止业务功能,防止受理终端被不法分子利用从事非法活动。
二、严格审核特约商户资质,贯彻落实客户实名制要求
会员单位应严格落实银行卡收单、网络支付相关监管制度规定,切实履行商户资质审核、风险管理、受理终端和网络支付接口管理等责任,确保商户为依法设立且经营活动合法合规,严防虚假商户申领受理终端或开通网络支付接口、违规移机使用受理终端、违规布放移动受理终端等问题。
会员单位应当对特约商户实行实名制管理,严格审核特约商户的营业执照等证明文件,以及法定代表人或负责人有效身份证件等申请材料。特约商户为自然人的,收单机构应当审核其有效身份证件。商户及其法定代表人或负责人在中国人民银行指定的风险信息管理系统中存在不良信息的,收单机构应当谨慎或拒绝为该商户提供银行卡收单服务。
三、确保交易信息真实性,提高风险监测力度
会员单位应严格执行《银行卡收单业务管理办法》(中国人民银行令〔2013〕第9号发布)、《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号公布)等制度规定,确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息,交易信息应当至少保存5年。加强支付交易风险监控,提升交易信息数据在风险监测和防范欺诈方面的应用价值,利用大数据分析、用户行为建模等手段,建立交易风险监控模型和系统,及时预警异常交易,并及时采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等风险控制措施。
四、积极参与行业风险信息共享,共同提升行业风险联防水平
协会已上线运行的银行卡收单外包机构登记及风险信息共享系统、行业风险信息共享系统以及风险事件协查管理系统,可为会员单位提供收单外包服务机构、个人、商户等各类型风险信息的报送、查询和协查服务。会员单位应充分利用风险信息共享平台,按要求及时报送业务风险信息,加强风险事件协查互动,强化业务事前、事中、事后风险预警防范能力,共同提升行业风险联防联控水平。
中国支付清算协会
2016年10月24日
发表评论