预付卡业务风险管理办法.docx

1、预付卡业务风险管理办法 目录预付卡业务风险管理办法11 总则41.1 基本要求41.2 主要内容52 发卡机构管理52.1 发卡机构准入要求52.2 备付金管理52.4.1 开立账户62.4.2 备付金银行62.4.3备付金原则62.4.4账户变更和撤销63制卡厂商管理73.1制卡厂商准入要求73.2安全及风险调查74 受理商户管理84.1 谨慎发展的商户84.2 禁止发展的商户84.3 商户协议必备风险条款94.4 风险分级104.5 受理终端115 卡片管理115.1 基本要求115.2 主要内容116 交易管理126.1 基本要求126.2 交易加密126.3 终端加密136.4 传输加

2、密136.5 密钥管理146.6 风险交易监控146.6.1 系统侦测146.6.2 人工筛选156.6.3 现场核查157 数据安全管理157.1 基本要求157.2 数据备份167.3 数据保管168 业务操作管理178.1 基本要求 l178.2 权限设置178.3 操作管理188.4 清结算管理188.5 差错调整188.6 档案管理199 系统运行管理199.1 基本要求 l199.2 网络安全209.2.1 网络访问控制209.2.2 网络信息加密209.2.3 网络安全策略219.3 生产设备和系统219.3.1 系统权限219.3.2 操作安全229.3.3 机房管理239.4

3、 程序管理239.5 应急故障处理241 总则 为了推动预付卡行业的健康有序发展，提高各方在业务开展和实施过程中的风险防范意识，规范操作，建立有效的风险控制和监督机制，特制定本办法。 本办法主要描述预付卡业务各方在整个业务各个环节的潜在风险点及其防范措施，适用于开展预付卡发卡、受理和收单业务的各类机构和部门。 1.1 基本要求 1、设置职能部门、岗位，负责预付卡业务的风险管理工作； 2、制定并执行本机构的风险管理政策及制度； 3、利用技术手段对预付卡交易进行监控，及时识别、报告及处理预付卡业务中的各类风险； 4、建立完善的信息安全管理体制，制订账户信息与交易数据安全相关的制度及检查程序，定期就

4、账户信息及交易数据安全状况进行自查，并提供自查结果等书面报告； 5、按照国家法律和相关规章制度要求，制订相应的反洗钱制度，对可疑交易进行报送，并配备足够的人员和采取有效措施，预防和打击洗钱活动。 6、对于未能达到风险管理基本要求的机构，应及时采取以下一种或多种风险控制措施，提高业务风险管理水平： l 启动风险管理培训和辅导计划； l 缴纳风险保证金、结算备付金； l 提供质押担保；l 暂停一项或多项业务； l 启动应急计划。1.2 主要内容 l 机构风险：发卡机构、制卡厂商、受理商户方面 l l 业务风险：卡片、交易、数据、操作方面 l l 其他风险：系统运营方面2 发卡机构管理 2.1 发卡

5、机构准入要求 1、有合法经营资格； 2、在境内有固定的营业场所； 3、工商营业执照、税务登记证（或相关纳税证明）、法人代表或负责人身份证件“三证”齐全，且真实、有效。 4、有预付卡发行的合法经营资格，其中，非金融机构应当取得人民银行颁发的支付业务许可证； 5、按时足额缴纳风险保证金和结算备付金。 2.2 备付金管理 发卡机构应根据人民银行有关预付卡的管理要求，制定完备的售卡资金管理制度，并严格执行。 2.4.1 开立账户 发卡机构根据其发卡数量和规模，针对预付卡业务在指定商业银行的开设专门的预付卡备付金专用存款账户存放备付金。与商业银行的法人机构或授权的分支机构签订备付金存管协议，明确双方的权

6、利、义务和责任。 2.4.2 备付金银行 发卡机构只能选择一家商业银行作为备付金存管银行，根据业务需求选择一家或是多家商业银行作为备付金合作银行。 备付金存管银行，是指为发卡机构集中存放客户备付金、复核客户备付金头寸调拨行为、归集报告支付机构全部客户备付金信息的商业银行。 备付金合作银行，是指为发卡机构专户存放客户备付金以方便支付机构通过行内划转方式接受客户备付金或办理客户委托的支付业务、并按规定向备付金存管银行报送客户备付金信息的商业银行。2.4.3备付金原则备付金必须专款专用，仅用于客户委托的支付业务，与发卡机构自有资金分户管理。不得将售卡资金用于本办法规定的以外的其他用途，否则应承担相应

7、责任。如果造成购买人或者特约商户资金损失的，由发卡机构承担。2.4.4账户变更和撤销对于需要增开、变更、撤销备付金专用存款账户的，应当与备付金银行法人机构变更备付金存管协议，并且通知相关部门做出信息变更。当合作项目中止或到期结束时，发卡机构缴存的备付金在足额支付合作商户受理的结算资金后，多余部分退还至发卡机构的指定银行账户。3制卡厂商管理3.1制卡厂商准入要求1、发卡机构应当谨慎挑选制卡厂商。2、与制卡厂商签订安全保密协议，确保生产、数据和运输的全部过程严格遵守安全风险管理规定。3、发卡机构具备对制卡厂商进行监督的责任。明确业务种类、范围、程序和操作时限，禁止擅自转包行为。4、制卡厂商必须取得

8、中国银联，或国际信用卡组织相关认证。5、制卡厂商负责承担因管理不善或违规经营给发卡机构带来的损失。3.2安全及风险调查发卡机构对选择的制卡厂商，每年至少进行一次必要的安全及风险调查。调查内容主要包括：空白卡生产申报制度的执行情况；预付卡生产企业安全管理制度执行状况和产品质量状况；密钥安全管理状况；账户及交易数据的安全管理状况；网络、机房和系统状况；人员和售后服务管理状况以及其他需要知情的内容。 在安全及风险调查过程中，若发现合作厂商存在规章制度执行不力、安全管理状况松懈等问题的，或在合作中出现多次质量问题的，应视问题严重程度，要求其整改或终止合作关系。4 受理商户管理 4.1 谨慎发展的商户

9、对于以下类型的商户，应谨慎签约，并采取更为严格的调查措施和审批程序。 1、 易发生风险的商户类型 1) 机票代售点或手机专卖店； 2) 各类娱乐场所，如夜总会、卡拉OK、酒廊等； 3) 电话购物、邮购及网购商户； 4) 提供中介、咨询类服务的商户； 5) 批发类商户，包括专业化批发市场、小商品市场等； 6) 实际销售的商品或提供的服务不明确的商户，如小型贸易公司、经贸公司等。 2、 商户、商户法人代表或其主要负责人的资料已作为风险信息，被列入其 他社会征信系统。 3、 被行业内其它机构拒绝签约或撤销的商户。 4.2 禁止发展的商户 1、 不符合国家法律法规的： 1) 非法设立的经营组织； 2)

10、 特殊行业商户：包括本国法律禁止的赌博及博彩类、色情服务类，出售违禁药品、毒品、黄色出版物、军火弹药，以及其它与本国法律、法规相抵触的商户； 3) 已被列入中国银联风险信息共享系统“可疑商户信息”的商户； 4) 注册地及经营场所不在本国的商户。 2、 商户、商户法人代表或其主要负责人涉及重大民事纠纷或涉嫌经济、刑 事犯罪。 3、 停业整顿、濒临破产或已破产的商户。4、 被其他收单机构拒绝签约或撤销的高风险商户。4.3 商户协议必备风险条款 商户协议应包括但不限于以下风险必备条款： 1、商户不得将相关机具、设备、凭证等用于受理协议许可范围以外的用途，也不可以提供给第三者使用。 2、除非经过收单机

11、构书面允许，否则商户不得将受理预付卡的业务委托或转让给第三方。 3、收单机构只接受本商户的交易签购单，商户不得将非本店发生的预付卡交易并入本店的结算数据。 4、保密条款： 账户信息和交易数据只用于辅助完成预付卡交易，商户不得将账户信息和交易数据用于除此之外的任何其他用途； 未经相关机构同意，不得将账户信息以及交易数据信息披露给第三方； 商户不得以任何方式保存预付卡磁道信息、个人密码； 商户应将签购单等存有账号信息的介质保存在安全领域，并只允许经授权人员接触，严禁泄漏给第三方。 商户需承担因自身管理不善，导致发生账户信息安全问题而造成的损失。 5、明确界定商户违规操作行为及相关责任。 6、收单机

12、构对终止商户预付卡交易的有关规定。 7、收单机构对商户基本信息及风险信息的无偿使用条款。 8、商户对交易凭证的保管责任条款。商户应妥善保管好交易签购单及与交易相关的原始凭证，并自交易日起至少保留24个月。明确由于对交易单据保管不当或遗失而造成的经济损失应由受理商户承担。 9、交易查询及追索条款。合约终止后12个月内，收单机构对合约终止前的交易仍有查询及追索权；明确规定商户配合收单机构对有关交易进行查询和调单的义务。 10、商户违反协议规定时，收单机构有权单方面无条件终止与其的合作，并追究其法律责任。11、商户违反协议规定或出现商户受理协议规定的风险情况时，收单机构有权关闭终端交易功能，暂缓商户

13、预付卡交易资金的结算，直至风险事件调查处理完毕，风险状况消除。4.4 风险分级 对目标商户进行签约前的风险审查和实地调查，并根据审查和调查结果对目标商户进行风险等级划分，针对不同的风险等级应采取不同的风险管理措施。 4.5 受理终端 严格受理终端功能的对外开放，不在预付卡受理终端机具上受理社会企业发行的非银联标准及PBOC2.0标准的预付卡。5 卡片管理 卡片是预付卡业务中的重要环节，主要涉及制卡和发卡二个过程。制卡过程主要做好卡号规则、磁条和使用规范，以及制卡厂商的管理方面的风险防范，发卡过程主要做好发卡机构准入、销售管理和资金监管制度方面的风险防范。 5.1 基本要求 1、卡号规则及其长度

14、能够满足日常业务增长的需要 2、卡片的存储信息具有不可推导性 3、单张卡片的数据及交易密码的唯一性 4、防止卡档传输和卡片制作过程中的信息外泄 5.2 主要内容 1、卡号规则和信息内容 卡号长度一般为16位-19位，应包括BIN号、发卡区域或门店代码、卡序号和校验码。卡档信息的最后一位为卡号校验码，是根据卡号信息计算的出来的数字，可以有效防止卡号被连续复制。 2、具有密码和CVV（Card Verification Value ) 使用有密码的卡片更安全，制卡时通过覆膜保证密码的安全。CVV是由卡号、有效期、服务代码、机构编码及密钥通过DEA(Data Encryption Algorithm

15、)算法生成的一个3位数值，保存在卡片的磁条中，可以防止被批量复制。 3、加密算法发卡，卡档信息加密 制卡档，采用具有硬件加密的发卡系统产生卡档，建立复核机制和权限管理，避免非权限人员接触卡档数据。该数据包括卡号、有效期、密码等信息，按卡厂的设备要求进行数据加密和传递，可以防范卡档在传递过程的风险。 4、卡片生产风险控制（制卡厂商管理）6 交易管理 6.1 基本要求 1、保证所有交易信息均进行安全加密 2、保证敏感数据传输过程采用密文传输 3、交易及远程管理终端采用加密认证 4、对风险交易进行防范 6.2 交易加密 对联机交易，在每台终端上设定一个与交换平台对称的传输主密钥，并采用二级密钥体系对

16、交易报文进行加密，非法终端无法完成与主机的信息交换，所有联机交易均须取得主机授权方可进行，与主机联机作业时，交易信息均通过MAC加密，确保信息不被篡改及泄漏。 后台系统设有黑名单功能，在每笔交易被处理前都必需先检查该卡片是否在卡片黑名单中。 l l 使用密码键盘 密码键盘可以保证密码输入的安全，密码不会被其他系统所获得，交易系统的密码均加密设备加密，不可逆推，充分保证密码的安全。 l l 使用MAC 报文消息检验码，报文接收方通过MAC可以判断该报文是否被篡改。 l 数字证书及数字签名技术HTTPS协议 通过交易服务端下发数字证书给客户端，可以验证客户端合法身份，以保证交易数据来源的合法性，防

17、止虚假交易。 l l 关键信息、敏感信息加密 通过硬件加密机加密，如PIN、MAC、CVV等。卡片磁道信息加密存储，任何系统管理人员无法获得。6.3 终端加密 采用符合中国人民银行银行磁条卡销售点终端规范的标准POS机作为预付卡交易终端，采用专用加密芯片进行加密运算，从硬件上保证与预付卡交易同等的安全性。每部终端机皆设有唯一终端编号，主机会自动验证终端合法性，非法终端无法与主机联机。 6.4 传输加密 使用DDN、VPN线专线传输数据，确保数据不被其他系统截取。建立安全的SSL传输通道，对传输数据进行加密，保障传输数据安全。 6.5 密钥管理 1、密码设置应具有安全性、保密性，不能使用简单的代

18、码和标记； 2、系统主密钥经加密后需存放于安全区域内，使用时由系统自动获取并脱密； 3、控制密钥访问权限； 4、严格保管自己所掌握的生产密码，如有泄露，视同私自告知他人处理； 5、密码应定期修改，间隔时间不得超过三个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容； 6、禁止非管理员私自用他人密钥做任何操作。 6.6 风险交易监控 对磁道信息不符、CVV校验错误的交易进行监控及分析，及时发现制发卡过程中的潜在风险并跟进处理。 通过一定的指标，对大额交易金额、同一卡号短时间内不同地点的交易、同一卡号短时间内的多次交易等进行监控，及时排除可疑和风险。 风险

19、交易监控的工作包括系统侦测、人工筛选以及现场核查三个方面。6.6.1 系统侦测 根据风险监控规则，对发卡机构的销售笔数和金额、受理商户的退货和撤销交易、卡片的结构性和规律性的大额交易等，开展交易监控，查找疑似风险交易。 6.6.2 人工筛选 对经系统侦测发现的疑似风险交易进行分析，初步判断风险类型及程度。 1、根据行业类别、经营范围、主营业务、营业时间等资料，判断疑似风险交易的风险程度； 2、对一定时期的交易情况进行对比分析，对出现交易异常波动的情况，应重点核查； 3、对多次触发监控规则的情况，应重点核查； 4、其它需要关注的风险因素。 6.6.3 现场核查 对经系统侦测和人工筛选判定的疑似风

20、险交易，应按照风险事件调查处理的工作要求进行现场调查，核实风险程度，并采取相应的控制措施。7 数据安全管理 7.1 基本要求 1、通过权限控制，对原始交易数据和统计数据的数据来源、数据传送、数据安全和数据统计的各个环节进行监控和管理； 2、要求数据来源的唯一致，防止数据被篡改； 3、建立安全的数据传送渠道，保证数据传送过程中安全； 4、统一数据对外出口，加强对数据需求和使用对象的审核； 5、做好数据备份工作。 7.2 数据备份 1、制定需备份的数据的规则和程序。 2、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责。 3、测试备份，以确保备份的数据是

21、好的，能够用于灾难恢复；在线交易，必须进行实时备份。 4、标记和排列备份，包括使用有意义的名称、备份数据的日期和时间、数据的内容、谁创建的数据以及一些说明等。 5、将备份存储在安全地方，防止非法访问和防止受到火灾、洪水和地震等灾害物理破坏的地方，备份数据建议不存储在数据中心本身。 7.3 数据保管 1、重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。 2、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。3、数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按

22、照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。 4、数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。 5、需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。8 业务操作管理 业务操作涵盖业务的整个过程，包括销售操作、财务审核、卡片管理、业务变更和差错调整等业务处理。在业务操作过程中，确

23、保凭证要素齐全，操作及时准确，审核机制健全，保证业务操作的严谨合理性。 8.1 基本要求 l l 根据业务需要分配相关业务操作权限 ；l 核心业务必须有经办岗及复核岗，确保双人操作 l l 物理卡片、终端机具等产品管理必须确保实物与账务管理岗位分离 l l 按时高效地完成资金清结算相关工作 l l 定期通过业务检查，对操作日志、实物、账务和资金进行核查 8.2 权限设置 对操作员分组，设定用户访问和操作权限，保留使用者登入/注销记录，建立操作员/组管理。 系统依职务类别设定划分功能组，并订定各组作业权限，每一功能组设定其可执行的作业权限项目，诸如分别设定卡片管理组、充值售卖组、管理员组、查询组

24、等，依业务分工订定各组可执行的功能项目，如交易资料查询、额度查询、更新或报表查询、档案下载等。 8.3 操作管理 建立标准化操作流程，操作员正确录入和修改，专人负责审核操作，对核心业务必须进行二次审核。 通过技术手段发现操作环节和过程中的潜在风险，及时修改并更新。同时，按照业务发展的需要，不断优化和完善系统相关功能。8.4 清结算管理 遵循“制度防范、风险可控、紧急处置”的原则，对资金清结算的全过程进行监控和管理，最大限度地降低预付卡资金清算风险，保证资金清算的正常进行。 严格按照会计制度的要求，做好相关备付金充足率的核查，应收应付账款的管理。能够通过暂停交易等方式进行止损。 以系统产生的交易

25、数据为依据，以系统产生的报表为基础，定期按时完成受理商户结算资金的划付工作。8.5 差错调整 做到有凭有据，所有差错调整的内容必须经过核实，理由充分且处理正确。差错调整通过系统操作来实现，实现的结论会通过报表反映处理。 商户可以通过差错调整来解决客户的退货、账户疑问等问题，也可以满足对账过程中出现的差异。 8.6 档案管理 建立建全的文档登记和保管制度；文档格式要求统一；文档分类明确； 设置密级管理，根剧内容的重要性设置文档的保密级别；明确文档的访问权限； 设定商户档案（签约资料、日常管理的资料）、流程工作档案、结算业务档案、统计分析档案（报表）等。 要求按照业务档案管理办法的相关要求，做好档

26、案的分类保管、调查阅、按期销毁等工作。9 系统运行管理 系统具备高可靠性的软硬件系统，能够满足7*24小时的不间断运行；采用容错性高的系统，保障交易成功率在98%以上；系统的容量和架构支持巨量卡片和数据的处理，模块化和接口化的标准能够满足多方位业务升级的需要；系统及机房能够按照相关认证标准要求建立。 9.1 基本要求 l l 建立符合业务和安全要求的应用及账务系统 l l 建立防止攻击和可负载均衡的网络 l l 保证系统及网络的长期安全稳定的运行 l l 具有多方位业务的支撑及扩充能力 9.2 网络安全 9.2.1 网络访问控制 访问控制是网络安全防范和保护的主要策略，保证网络资源不被非法使用

27、和非常访问。是维护网络系统安全、保护网络资源的重要手段。访问控制涉及的技术范围比较广泛，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 1、入网访问控制为网络访问提供了第一层访问控制。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未通过，该用户便不能进入该网络。 2、网络的权限控制是针对网络非法操作所提出的一种安全保护措施。 用户和用户组被赋予一定的权限。用户对网络资源的访问权限可以用访问控制表来描述。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建

28、立。3、网络监测和锁定控制 网络管理员对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，网络服务器会自动记录企图进入网络的次数，如果非法访问的次数达到设定的数值，那么该账户会被自动锁定。 9.2.2 网络信息加密目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密（保护网络节点之间的链路信息安全）、端到端加密（对源端用户到目的端用户的数据提供保护）和节点加密（对源节点到目的节点之间的传输链路提供保护）。 9.2.3 网络安全策略 包括:确定安全管理等级和安全管理范围；制定有关网络操作使用规程；制定网络系统的维护制度和应急措施。 l l

29、禁止不安全协议访问生产网络主机。如：FTP、TELNET，应采用SSH、SCP等 安全协议。l 使用安全链路接入生产网络，内部Web Server与外部Web Server分离。l 使用双重防火墙区隔保护，使用抗病毒软件来防止恶意代码从网络内打开安 全漏洞。 l l 对访问网络的设备实施审计，定期检查审计日志。 l l 建立灾备系统，确保设备均有备份，排除单点隐患。 9.3 生产设备和系统 9.3.1 系统权限 1、 服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管

30、理人员存档并登记。2、遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记； 3、系统维护用户的密码应至少由两人共同设置、保管和使用； 4、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记； 5、用户管理，根据不同用户有拥有的不同权限，禁止越权操作。 9.3.2 操作安全 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置。 1、系统管理操作代码的设置与管理 系统管理操作代码必须经过开发管理者授权取得。系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护。 系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；不得使用他人操作代码进行业务操作； 系统管理员调离岗位，上级管理员（或相关负责人）应及时