中国银联最新发布《银联二维码支付业务风险规则》
2017-09-01 16:42:25POS圈支付网讯,中国银联风险管理委员会向成员机构7月27日发布了《银联二维码支付业务风险规则》(银联风管委[2017]3号),本规则适用于参与银联二维码消费业务的中国境内发卡机构、收单机构、应用服务方及中国境内的二维码消费业务。详细内容如下文:
附件:银联二维码支付业务风险规则
第一章 总 则
第二章 发卡机构风险防范
2.1 业务加入
2.2 信息验证
2.3 限额管理
发卡机构可根据自身风险控制相关要求,设置卡片单笔交易及单日交易限额。对交易金额超过限额的,发卡机构应拒绝交易。
发卡机构发行II、III类银行账户支持二维码消费业务的,参照监管机构相关要求开展限额管理。
2.4 交易监控与调查
2.5 交易控制
2.6 持卡人服务
第三章 收单机构风险防范
3.1 业务加入
3.2 商户准入规定
收单机构禁止发展下列商户:
3.2.1 非法设立的经营组织;
3.2.2 特殊行业商户:包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药及其他与商户所在地法律、法规相抵触的商户;
3.2.3 可疑商户:商户或商户负责人(或法人代表)已被列入中国银联风险信息共享系统“可疑商户”信息库;
3.2.4 注册地及经营场所不在收单机构所在国的商户。
3.3 目标商户审查
3.3.1 普通商户审查
普通商户是指依据相关法律法规以及国家工商行政管理机关有关规定,以营业执照等证明文件入网,并与收单机构签订银联卡受理协议,按约定受理银联卡并委托收单机构完成交易资金结算的企事业单位、个体工商户或其他组织。收单机构签约普通商户前,应对商户进行认真审查:
3.3.1.1 审查该商户和商户负责人(或法人代表)是否已被列入中国银联风险信息共享系统、监管部门相关征信系统及其他不良信息共享系统或黑名单;
3.3.1.2 审查商户的营业执照等证明文件及法定代表人或负责人身份证件的有效性;
3.3.1.3 对实体商户,应进行实地调查并拍摄实地照片;
3.3.1.4 对网络商户,应检查商户ICP证书或ICP备案证明及域名证书,并参照《银联卡互联网跨行支付业务风险管理规则(试行)》“3.2目标商户审查”要求,对商户网站内容及商户账户信息安全保护情况进行审查。
3.3.2 小微商户审查
以个人身份申请作为小微商户入网的,应符合相关法律法规以及国家工商行政管理机关免予办理工商登记的条件,并与收单机构签订银联卡受理协议,按约定受理银联卡并委托收单机构为其完成交易资金结算。收单机构签约该类商户前,应对商户进行认真审查:
3.3.2.1 审查商户负责人的有效身份证件及收款银行卡。
3.3.2.2 审查商户负责人是否已被列入中国银联风险信息共享系统、监管部门相关征信系统及其他不良信息共享系统或黑名单。
3.3.2.3 通过合法有效的渠道,验证商户收款银行卡的持卡人身份信息,并确保与商户负责人身份信息的一致性。
3.3.2.4 条件允许的情况下,应要求商户负责人提供在营业场所手持身份证照片及对该营业场所的权属证明或租赁协议。
3.4 商户签约
3.4.1 协议格式
收单机构应制定统一格式的商户受理协议书文本,用于收单机构内部各分支机构与商户的签约。
3.4.2 必备风险条款
收单机构的商户受理协议或协议附件中,至少应包括下列必备风险条款:
3.4.2.1 商户不得将收单机构或转接机构接口、收款二维码用于受理协议许可范围以外的用途,也不得给受理协议许可范围以外的第三方使用。
3.4.2.2 商户不得将银联二维码支付受理业务委托或转让给第三方。
3.4.2.3 收单机构只接受签约商户自身发生的交易,签约商户不得将其他商户的交易假冒本商户交易与收单机构清算。
3.4.2.4 账户信息安全及保密条款。商户应严格遵守银联卡账户信息及交易数据安全管理相关规定,不得泄漏账户信息及交易数据;不得留存银行卡卡片验证码、个人标识码和卡片有效期等敏感账户信息。违反要求的商户需承担相应风险损失责任。
3.4.2.5 商户违规操作及责任承担。商户有下列行为的,属于违规操作,应承担相应责任:篡改交易数据、套现、分单操作、以现金方式退货,利用预授权、消费撤销及冲正等交易套取发卡机构信用资金等。
3.4.2.6 商户应与收单机构建立货物拦截等损失化解机制,在进行欺诈交易调查时,应协助收单机构拦截相关物流在途货物,挽回欺诈风险损失,如因商户未配合进行货物拦截导致出现欺诈风险损失,收单机构及银联有权根据商户风险情况,采取降低商户交易限额、暂停商户交易等风险防控措施。
3.4.2.7 交易单据保存条款。商户应对交易数据或签购单等交易原始凭证等保存至少1年。如因商户对交易数据及凭证保管不当或遗失造成的经济损失由商户承担。
3.4.2.8 商户风险处置。收单机构有权根据商户违规情形及风险状况,采取延迟资金结算、降低商户交易限额、暂停商户交易等风险防控措施。
3.4.2.9 商户及其法定代表人信息使用条款。在商户入网审核、日常管理及其他正常业务范围内,商户同意收单机构及中国银联查询使用商户及其法定代表人的征信及风险信息。
3.4.2.10 商户变更其经营范围或新增经营虚拟类产品时,应及时将变更经营内容向收单机构报备。
3.4.2.11 交易查询及追索规定。合约终止后24个月内,收单机构对合约终止前的交易仍有查询及追索权。
3.4.2.12 商户不得从事资金结算服务,不得向二级商户或其下游商户开展资金结算。
3.4.3 商户参数设置
收单机构应根据商户的服务类别及经营范围正确编制商户代码及设置商户服务类别码。
针对小微商户,收单机构应在完成审核签约后,按银联相关要求在中国银联商户信息注册公告服务系统或小微商户入网服务平台中进行注册。
收单机构应根据相应技术规范在授权及清算报文数据字段中对二维码支付、主/被扫方式及小微商户进行特定标识并准确上送。
3.4.4 二维码及终端管理
主扫业务中,收单机构应要求商户妥善保管二维码,不得将二维码布放至商户经营场所之外或提供其他商户使用。
被扫业务中,相关交易终端应符合《中国银联受理终端应用规范》等技术标准,相关受理系统及业务处理流程应符合《银联卡账户信息及交易数据安全管理规则》,并通过银联卡账户信息安全合规评估。
3.4.5 资料保管
收单机构应按《银联卡收单机构商户风险管理规则》及《银联卡互联网跨行支付业务风险管理规则(试行)》规定的资料保管要求,妥善保存相关资料备查。收单机构与商户解约的,从协议终止日起,相关资料至少应保存五年以上。
3.5 商户日常风险管理
3.5.1 商户培训
3.5.2 限额管理
3.5.2.1 收单机构应综合考虑商户类型及业务需要,对商户设置合理的单卡单笔、单卡单日交易限额及商户月累计收款限额。其中,对于经营虚拟充值及易变现类商品的商户,收单机构应采取更为审慎的限额管控策略,最高限额不超过单卡单笔500元,单卡单日2000元;对于使用静态码收款的商户,收单机构应审慎设置单卡单日交易限额及商户收款限额。
3.5.2.2 对小微商户应根据其入网时所提交资料的完备性进行差异化的限额管理。对新入网的小微商户,应审慎设置初始限额,并在商户正式入网且连续交易至少满30天后,方可依据商户业务需要及风险情况酌情提高商户交易及收款限额。
3.5.3 商户巡检
3.5.3.1 收单机构应建立对实体商户的巡检机制,对二维码布放、终端机具管理及二维码支付业务受理的合规性进行定期或不定期检查。
3.5.3.2 收单机构应定期对网络商户的网站进行检查,确保商户经营内容与商户经营范围、商户服务类别码的一致性,并通过发起测试交易等方式,排查商户是否存在篡改交易数据、分单操作或现金退货等违规行为。
3.5.3.3 针对小微商户,收单机构可根据商户具体业务及风险情况,制定相应巡检机制。对业务量较小、风险较低的商户,收单机构可通过随机抽查等方式,对小微商户进行现场检查。
3.5.3.4 对使用静态码收款的商户,收单机构应根据商户业务类型及风险情况,审慎制定商户巡检要求,提示商户二维码布放及日常管理要求并重点检查。
3.5.3.5 收单机构应要求商户定期检查经营场所内是否出现非本商户的可疑二维码,并及时报告可疑情况。
3.5.4 交易监控
收单机构应建立针对商户的交易监控机制,结合商户结算周期及限额管理,对夜间凌晨交易突增、连续信用卡大额交易、交易金额与商户业务类型不符等可疑情况开展监控。对发现风险的商户,收单机构应及时调查确认,并采取相关处理措施。
3.5.5 商户T+0结算
3.5.5.1 收单机构应根据商户的资信情况、业务需要、入网时间及风险情况等因素综合考虑,审慎提供商户T+0资金结算服务。不得为入网不满90日或入网后连续正常交易不满30日的商户提供T+0资金结算服务。
3.5.5.2 针对小微商户、使用静态码收款商户及经营虚拟类商品、易变现商品的商户,收单机构应结合商户业务需求、交易情况及风险情况,采取更为审慎的策略提供T+0资金结算服务。
3.5.6 商户交易终止
3.5.6.1 交易终止的情况
商户出现《银联卡收单机构商户风险管理规则》中所列需终止交易的情况(具体情况详见附件),收单机构应立即书面通知商户终止银联卡交易,并在交易终止日起3个工作日内将商户相关信息报送至中国银联风险信息共享系统,并视情况向执法、监管部门通报。
3.5.6.2 商户违规处理
商户出现附件一所列需终止交易的情况,而收单机构未及时终止交易的,一经调查确认,中国银联将暂停该商户的二维码支付交易转接,并发出书面通知,提示收单机构终止商户的二维码支付交易,并将相关信息报送至中国银联风险信息共享系统。
3.5.6.3 自书面通知发出日起10个工作日内,收单机构未提交任何理由,且仍未终止商户二维码支付交易的,中国银联将终止该商户的二维码支付交易转接,并将该商户及负责人的相关信息列入中国银联风险信息共享系统。
3.5.7 风险商户认定及处理
中国银联风险管理委员会秘书处将根据《银联卡收单机构商户风险管理规则》第39章节及《银联卡互联网跨行支付业务风险管理规则(试行)》3.7.4中关于风险商户的认定标准,定期统计并发布风险商户名单及退单责任期。收单机构应按相关规则要求,对风险商户启动整改计划并及时反馈秘书处。
第四章 应用服务方风险防范
4.1 业务加入
4.2 注册账户验证与管理
4.2.1 注册账户实名制
4.2.2 银行卡验证与绑定
4.2.2.1 验证要素。
4.2.2.2 绑卡管理。
4.2.2.3 账户信息保护。
4.2.3 注册账户管理
4.2.3.1 用户身份验证。
4.2.3.2 安全提示。
4.2.3.3 安全策略。
4.2.3.4 安全环境检测。
4.2.3.5 业务关闭。
4.3 二维码申请及管理
4.4 风险监控要素采集上送
应用服务方应在绑卡环节及交易环节准确采集并完整上送风险监控要素。
4.4.1 风险监控关键要素
(1)终端设备信息:设备标识、终端类型、用户终端IP信息、设备GPS位置、设备SIM卡号码。
(2)注册账户信息:注册账户ID、账户注册日期。
(3)其他信息:绑卡方式、银行预留手机号。
4.4.2 选送风险监控要素
选送风险监控要素包括设备类型、设备SIM卡数量、持卡人账单地址、设备评级等。具体选送要素及要素上送要求详见《中国银联二维码支付系统指南 第2部分 报文接口规范》
4.5 交易限额管理
应用服务方应根据用户身份信息验证方式及自身风控能力,针对同一注册账户及同一银行卡分别设置合理的单笔及单日交易限额。
应用服务方提供免密支付服务的,单笔免密限额最高应不超过2000元,且应允许持卡人根据自身需要调降免密限额或关闭免密服务。
4.6 交易监控
应用服务方应建立针对注册账户及银行卡的交易监控机制,重点针对单个注册账户及单张银行卡的交易金额、交易笔数及交易频率进行监控。对出现明显异常交易行为的注册账户,应及时调查并采取临时关闭交易权限等措施,并履行大额和可疑交易报告义务。
4.7 业务退出
应用服务方出现下列风险情况之一,中国银联有权暂停其交易或终止业务合作:
4.7.1 未落实注册账户实名制管理,导致欺诈风险持续高发,连续两个月超过银联欺诈率控制指标的;
4.7.2 因内部系统或内控机制漏洞,引发信息泄露事件,造成其他业务参与方重大财产或声誉损失的;
4.7.3 违反相关业务风险规则要求,引发重大风险事件并被公安司法机关立案调查或被国家监管部门处罚的。
第五章 风险事件处置
发生风险事件时,各参与方应及时向中国银联报告风险事件和欺诈交易。中国银联将协助成员机构进行欺诈风险分析,并开展风险事件调查。
5.1 发卡机构处置措施
5.1.1 卡片账户处置
发卡机构应对欺诈涉及的银行卡及时采取止付、冻结、挂失等措施,并拒绝相关措施生效后的授权交易请求。
5.1.2 报送风险事件
发卡机构发现风险事件或收到持卡人否认交易时,应及时向持卡人调查了解风险事件情况,排查确认本机构是否存在风险问题及持卡人是否为恶意否认或主动泄露验证信息,并在2个工作日内向中国银联报送。
5.1.3 报送欺诈交易
发卡机构报告风险事件同时,应按照《银联卡欺诈交易报送规则》的规定,向中国银联报送欺诈交易。
5.2 收单机构处置措施
5.2.1 风险事件调查
5.2.1.1 收单机构发现商户风险事件时,应及时对商户开展调查,并在2个工作日内向中国银联报告。
5.2.1.2 收单机构应及时配合发卡机构、银联及应用服务方开展风险事件协查,并及时提供交易商户与交易详情等信息。
5.2.2 商户交易暂停
对调查确认存在风险或违规情形或存在明显异常情况的商户,收单机构应临时暂停商户交易。
5.2.3 开展风险整改
收单机构应对风险事件中暴露出的商户管理问题及隐患,及时进行风险整改,优化完善相关风控设施及风控制度。
5.3 应用服务方处置措施
5.3.1 注册账户管控
应用服务方发现风险事件或收到用户否认交易投诉后,应及时对相关注册账户采取冻结、止付等措施,并对该注册账户下绑定新的银行卡等可疑操作进行限制。
5.3.2 持卡人提示
应用服务方发现风险事件或收到用户否认交易投诉后,应提示用户及时联系发卡机构并对银行卡进行挂失。
5.3.3 风险事件协查
应用服务方应积极配合发卡机构及银联开展交易协查,并及时提供交易终端设备、注册账户等信息。
5.3.4 风险事件报送
应用服务方发现风险事件后,应及时开展风险事件调查,并在2个工作日内向中国银联报告。
5.3.5 优化风险监控措施
应用服务方应根据风险事件中暴露的问题,及时优化实名认证、银行卡绑定、用户登录等环节的风控策略,并调整、优化风险监控措施。
第六章 风险责任划分
6.1 发卡机构风险责任
6.1.1 承担因银行卡账户管理不善,导致持卡人银行预留手机号等信息被非持卡人本人变更或导致银行卡信息泄露引发的风险。
6.1.2 承担未准确、完整验证应用服务方上送的银行卡验证信息导致的风险。
6.1.3 承担持卡人卡片挂失后,发卡机构仍然承兑二维码支付交易引发的风险。
6.1.4 承担发卡环节未有效核实持卡人身份,导致虚假申请引发的风险。
6.2 收单机构风险责任
6.2.1 承担因违规拓展禁入类商户、虚假商户、合谋欺诈商户及上送商户信息不真实,或未及时关停违规商户导致的风险。
6.2.2 承担因商户违规布放二维码导致的风险。
6.2.3 承担因商户风险高发或存在套现行为,触发风险责任转移机制导致的风险。
6.2.4 承担因收单端信息泄露导致的风险。
6.3 应用服务方风险责任
6.3.1 承担绑卡环节未经持卡人授权情况下,银行卡被伪冒绑定导致的风险。
6.3.2 承担注册账户未经本人授权情况下被盗用导致的风险。
6.3.3 承担因应用服务方端信息泄露导致的风险。
6.4 银联风险责任
6.4.1 承担因银联转接清算系统出现故障或信息泄露导致的风险。
6.5 责任承担原则
涉及多个业务参与方同时具有相应风险责任的,应按以下原则实施应用服务方风险责任处置:
6.5.1 排除发卡机构和收单机构的风险责任,仅存在应用服务方风险责任时,相关风险损失由应用服务方承担。
6.5.2 发卡机构要求应用服务方承担风险损失前,须尽职调查风险发生情况,并排除持卡人道德风险的可能。
6.5.3 针对同一笔交易,发卡机构已通过差错争议向收单机构转移损失的,不得发起申请要求应用服务方承担风险损失;发卡机构发起申请要求应用服务方承担风险损失后,不得再通过差错争议途径向收单机构转移损失。
6.6 责任承担机制
发卡机构、收单机构及应用服务方应根据本规则所定风险责任划分原则,按照相应差错争议机制进行责任承担。具体责任承担流程及相关证明材料要求详见《银联卡二维码消费跨行绑卡业务指南》第六章“应用服务方风险责任处置”及差错争议相关规则制度。
第七章 附 则
7.1 本规则由中国银联风险管理委员会负责制订、修改和解释。
7.2 本规则自发布之日起实施。
附件:商户交易终止情况
1.虚假申请:以虚假资料或盗用其他商户资料向收单机构申请为特约商户;
2.泄露账户及交易信息:商户违反保密条款,将银行卡账户及交易数据信息泄露给不法分子使用;
3.套现:商户与不良持卡人或其他第三方勾结,或商户自身以虚拟交易套取现金;
4.洗单:商户将其他未签约商户的交易通过使用本商户的受理终端或收款二维码进行收款,假冒本店交易与收单机构清算;
5.恶意倒闭:商户接受二维码支付的预付款后故意破产,使收单机构承担退单损失;
6.虚假交易:在持卡人不知情的情况下利用其账户编造虚假交易或恶意多次扫描持卡人的付款二维码,冒充持卡人进行虚假交易;
7.欺诈交易超过一定比率:商户一定时期内的欺诈交易超过收单机构规定的比率;
8.名义经营范围与实际情况不符:商户名义上经营范围正常,或以正常名义申请成为特约商户后,实际从事禁入商户类型的经营活动;
9.违规布放二维码:商户未经收单机构许可,擅自将收款所用二维码从登记的经营场所转移至其他地址;
10.商户合谋欺诈:指商户在业务受理过程中,存在违规操作、蓄意进行欺诈交易或纵容、包庇、协助进行欺诈交易等行为;
11.因银行卡欺诈交易已被司法机关立案或介入调查;
12.中国银联已书面通知收单机构强制解约;
13.已被其他卡组织认定为“高风险商户”;
14.经营不善,已破产或停业;
15.其他风险原因。
经收单机构或司法机关调查核实,以上风险状况仅由商户雇员的个人行为引起,收单机构应落实对商户的培训及内控制度检查,并要求商户在规定期限内进行整改。整改后,收单机构仍可继续保留商户的银联二维码支付业务受理资格。
回顶部
特帝网络POS刷卡器服务商 版权所有
技术支持:友点软件