银联卡风险管理规范汇编.docx

银联卡风险管理规范汇编中国银联风险管理部二00九年十月序近年来，我国以银行卡为重要载体的电子支付业务持续、快速发展，银行卡支付呈现出业务规模增长迅猛、创新活动层出不穷、参与主体多元化、产业链日趋完善等特点。然而，伴随着银行卡业务（特别是信用卡业务）的高速发展，以信用卡虚假申请、套现、账户信息盗录等为突出表现形态的各类银行卡风险日益显现，尽管与全球银行卡风险形势相比仍处于较低水平，但其快速聚集的趋势，不仅对银行卡产业的健康持续发展构成重大影响，也引起了政府有关部门和社会各界的普遍关注和重视。当前银行卡业务风险的形势，与我国银行卡产业处于发展的初级阶段紧密相关，其产生和演变是产业内外部环境多层面、多因素综合的结果。一方面，银行卡产业的外部发展环境上确实存在犯罪分子活动猖獗，持卡人安全防范意识和技巧不足，银行卡相关法律法规及信用体系建设亟待完善等客观因素。另一方面，纵观银行卡产业内部，在快速发展过程中一些参与主体对风险认识不足，风险管理制度流程缺失，风险技术手段落后，风险管理水平参差不齐等问题亦不容忽视。因此，在推动政府、社会层面不断完善和优化外部发展环境的同时，强化和提升产业内部各方风险管理意识、能力，加快利于整体风险防范能力水平提升的银行卡规范标准体系建设和风险联合防范机制建设，是有效防范和降低国内银行卡业务风险的必由之路。中国银联一直高度重视银联卡风险管理，以构建和谐的银行卡产业发展环境、促进银联业务参与机构的价值提升为出发点，积极倡导和推进风险联合防范机制建设，通过由主要的全国性商业银行、公安部、最高人民法院、最高人民检察院和中国银联指派的相关专家和负责人组成的风险管理委员会这一决策机制，共同构建和完善风险管理规范体系，并已陆续制订发布实施了一系列规范、标准和决议，内容贯穿了银联卡业务的整个生命周期，初步构建起了银联卡业务风险管理规范体系。上述规范的制订和实施，不仅充分体现了各成员银行和银联在风险管理上合作共赢的理念与成果，而且由于其符合成员银行银联卡业务风险实际情况及特点，在收单风险、账户信息安全、风险信息共享等风险管理实践过程中发挥了重要作用和显著成效。银联卡风险管理规范体系制订发布的时间跨度较大，同时内容涉及规则、标准、流程、指南等不同体例，为便于银联卡业务参与机构和人员学习、培训和查阅，应广大成员银行的要求，我们开展了本次梳理和汇编工作。根据文件体例和效力，我们将相关内容分为三卷及附录，其中：第一卷“银联卡风险管理运作规章”作为银联卡风险管理规范体系的原则纲领和基础文件，同时以“第五卷：风险控制与安全管理”形式归入了银联卡业务运作规章，是银联卡业务参与机构必须遵从的基本风险规范；第二卷“银联卡跨行业务风险管理规则”是在第一卷的原则纲领下对各项银联卡业务风险防范和管理要求的具体细化，亦是银联卡业务参与机构应了解掌握并严格遵从的重要规范文件；第三卷“银联卡跨行业务风险管理指南”是为协助银联卡业务参与方遵从和达到相应银联卡业务风险规范及要求，提高银联卡业务风险管理水平而制订的相关指引，是供各方参考使用的非约束性文件；同时，为便于大家了解和掌握政府主管部门出台的涉及银行卡风险管理的法律法规及政策，我们还对近期相关的重要法律法规和文件进行了收集汇总，作为附录供各方参考。本汇编中包含的规范、标准及制度，在制订过程中均得到了人民银行、公安司法机关等部门领导，以及中国银联公司领导、风险管理委员会各位委员的殷切关心和悉心指导，各成员银行风险管理专家给予了大力支持和帮助，在此一并表示衷心的感谢。伴随着银联卡业务的快速发展和电子支付手段、渠道及产品的日新月异，风险形态和形势都将不断变化，因此银联卡业务风险管理的规范、标准的制订和完善也必将是一个持续的过程。在规范标准制订中我们本着认真负责、严谨求实的态度，在积极学习、借鉴同业经验的同时，充分结合国内银行卡业务的实际情况和特点，但仍会因水平和条件所限，难免有谬误和不妥之处，恳请业内专家和广大读者不吝批评、指正，以帮助我们今后不断修改、补充和完善。参与银联卡业务风险管理规范的制订及本汇编的编印工作的现职人员有：袁晓寒、吴宏、杨芳、闵勇、陈锡彬、杨永太、李剑锋、孙大利、李熙、邱俊、陈晨、葛铭鸣、徐明、杨富云、王宇、张一中、陈蓉等，最后由彭桂林负责总审核工作。 中国银联风险管理部 二00九年十月十日目 录第一卷 银联卡风险管理运作规章9n 风险控制与安全管理（银联卡业务运作规章第五卷）9第二卷 银联卡跨行业务风险管理规则43n 中国银联风险管理委员会规则（修订）43n 银联卡安全服务公约48n 银联卡收单机构商户风险管理规则（修订）50n 银联卡收单机构账户信息安全管理标准67n POS终端卡号屏蔽改造工作实施要求83n 信用卡违规套现处罚试行规则85n 澳门地区银联卡收单风险管理试行规则92n 银联卡账户信息与交易数据安全管理规则（修订）117n 银联卡账户信息安全事件应急预案126n 银联卡账户信息安全事件调查处理流程132n 银联卡收单业务账户信息安全合规评估管理暂行规定139n 银联卡账户信息安全合规评估机构管理暂行办法152n 银联卡收单业务账户信息安全合规评估工作试行办法167n 关于添加卡片校验码改造工作实施要求的意见172n 关于停止转接无卡片校验码（CVN）相关BIN下卡片跨境交易的通知173n 银联卡欺诈交易报送规则175n 银行卡风险信息共享运作规则（修订）180n 银行卡风险管理指标共享规则（修订）190n 银行卡风险信息共享系统管理办法（修订）285n 银联卡跨行业务资金清算风险管理暂行办法298n 银联卡密钥安全管理规则【磁条卡部分】V1.0305n 关于双倍长密钥算法加解密迁移时间进度的要求331n 银联卡风险事件报送及协助调查规则（修订）332n 奥运期间银行卡风险事件应急处置预案348第三卷 银联卡业务风险管理指南358n 银联卡收单机构商户风险管理指南358n 马来西亚银联卡收单商户指引419n 银联卡账户信息与交易数据安全管理指南420n 银联卡发卡机构欺诈风险管理指南（v1.0）459n 借记卡业务风险点分析及防范指南541n 银联卡密钥安全管理指南【磁条卡部分】V1.0565n 银联卡业务反洗钱指南596n 信用卡呆账准备提取及呆账核销参考办法622n 关于组织开展奥运银行卡安全支付应急处置演练的函629附录：660n 中国人民银行、中国银行业监督管理委员会关于防范信用卡风险有关问题的通知660n 中华人民共和国刑法修正案（五）670n 中华人民共和国反洗钱法671n 中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知676n 中国银监会关于进一步规范信用卡业务的通知684n 中国人民银行办公厅关于贯彻落实中国人民银行 中国银行也监督管理委员会 公安部 国家工商总局 关于加强银行卡安全管理、预防和打击银行卡犯罪的通知的意见689错误！未找到目录项。第一卷 银联卡风险管理运作规章风险控制与安全管理（银联卡业务运作规章第五卷）第一章 成员机构风险管理的基本要求本章对中国银联在各成员机构加入银联开展业务各阶段风险评价的内容和内部风险管理作出基本规定。1风险评价及分级管理风险评价及分级管理，指成员机构在接受中国银联或中国银联认可的第三方评估机构风险评价的基础上，按不同的风险等级享受一定权利的同时,承担与其风险等级相应的义务。1.1风险评价的适用情况风险评价根据成员机构业务不同发展阶段，分别在成员资格准入阶段、开通业务阶段和已开展业务阶段进行相应的评价。1.2风险评价的内容1.2.1成员资格准入阶段信用风险。中国银联通过采信监管机构或第三方评估机构对成员机构的资本充足率、资产安全、管理水平、盈利状况、流动性等的评估结果，转换成中国银联成员机构的信用风险等级。若不具有第三方评估机构评价结果的，可申请由中国银联组织进行评估。国家风险，仅适用于境外机构。以国际著名评级机构的国家风险评级为参考，按一定标准转换为中国银联的国家风险评级。1.2.2成员开通业务阶段·密钥安全管理评价。参见本章第4节内容。·业务风险管理评价。成员机构在开展银联卡业务前，应在中国银联指导下，进行包括但不限于以下内容的风险评估：发卡或收单业务风险管理、账户及交易数据安全管理、反洗钱管理等。成员机构业务风险评价的结果作为中国银联是否允许其开通业务的重要依据。1.2.3已开展业务阶段清算风险评价。参见本卷第五章相关内容。年度风险评估。银联每年度将重点对相关风险较大或指标异常的成员机构进行年度风险评估，以追踪该类机构的风险变化情况，并提出相应的风险管理措施和服务。1.3风险等级的运用中国银联通过风险评价确定成员机构的各类风险等级，并以此作为成员机构能否加入银联网络、是否缴纳清算备付金、是否需要提供担保或抵押、能否开通部分或全部银联卡业务的依据之一。1.4风险控制措施如果成员机构未能达到风险评价内容的标准，中国银联在董事会或风险管理委员会授权下将对其采取适当的风险控制措施，敦促其加强银行卡业务管理、提高风险管理水平。风险控制措施包括但不限于以下内容：启动风险管理培训和辅导计划；缴纳清算风险备付金；提供质押担保；暂停一项或多项业务；启动应急计划。2成员机构内部风险管理2.1人员及岗位设置要求成员机构应设置专门的部门、人员或岗位，负责银行卡业务的风险管理工作，包括但不限于以下内容：制定并执行本机构的风险管理政策及制度；确保银联卡相关处理系统及机具的安全；采取安全保密措施，保证银联卡资金、账户信息及交易数据的安全； 对银联卡产品的安全生产、储存、运输、分发进行有效监督管理； 开展持卡人安全用卡宣传，对商户进行防范欺诈培训；对与银联品牌和银联卡相关的欺诈行为进行监控、调查、分析和报告；协助司法机关、其他成员机构及中国银联进行欺诈及风险事件的调查处理。2.2建立银行卡交易风险监控体系成员机构应建立完善的交易统计体系，并积极利用技术手段对银行卡交易进行监控，及时识别、报告及处理银行卡业务中的各类风险。3账户信息与交易数据安全管理中国银联及成员机构必须按照银联卡账户信息与交易数据安全管理规则中的有关规定，保证自身及其特约商户、第三方服务机构达到规则中的各项安全要求。3.1权利与义务中国银联及成员机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况。一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的，可申请损失赔偿。各机构应定期就账户信息及交易数据安全状况进行自查，并提供自查结果等书面报告。3.2安全管理体制建立完善的信息安全管理体制，并制订账户信息与交易数据安全相关的制度及检查程序。3.3访问控制根据“业务需要”的原则，通过身份验证、权限管理、密码管理等手段，严格控制访问和使用账户信息和交易数据，防止未经授权擅自对数据进行查看、篡改和破坏。3.4数据的保护、使用和销毁严格保护以任何形式出现的账户信息及交易数据。未经发卡机构的书面许可，其他机构均不得将该发卡机构的原始账户信息及交易数据提供给任何其他第三方机构。不得将真实的账户信息及交易数据用于软件开发及模拟测试。各机构应及时销毁超出保存期限的账户信息及交易数据。3.5数据保存与传输账户信息及交易数据必须在具有安全保护措施的系统中存储、传输。3.6事故处理专门制订针对账户信息及交易数据安全事故处理的应急处理方案，一旦出现账户信息与交易数据遭到篡改、泄漏和破坏的安全事故，必须立即对事故进行处理并展开事故原因调查工作。3.7对第三方服务机构和特约商户的数据安全管理成员机构应有效地发挥其监督职能，并对其第三方服务机构及特约商户进行定期或不定期的检查，确保这些机构严格遵守规则中对第三方服务机构及特约商户的要求。成员机构在与第三方机构和商户签订的协议或合同中，应当明确规定第三方机构和商户必须达到中国银联制定的银联卡账户与交易数据安全管理规则中规定的各项要求。第三方机构和商户只能存储交易中所必需的账户信息和交易数据。3.8赔偿及处罚经中国银联风险管理委员会裁定，违反银联卡账户与交易数据安全管理规则造成数据泄漏的成员机构、成员机构的第三方服务机构及商户需要对受害方进行赔偿并受到相应的处罚。赔偿及处罚视情节严重程度而定，措施包括赔偿、罚款、限期整改或中止协议等。相关具体规定参见银联卡账户信息与交易数据安全管理规则（修订）4磁条卡密钥生命周期安全管理4.1基本要求成员机构及其代理机构必须遵循银联卡密钥安全管理规则（磁条卡部分V1.0）的相关规定，达到以下基本要求：必须使用硬件加密设备生成和存储密钥、对个人密码（PIN）加解密以及鉴别报文；密钥和个人密码的完整明文只允许存储在硬件加密设备中，不得在硬件加密设备外出现。对密钥及其组件的任何操作必须遵循分人分段、双重控制、信息拆分的原则。4.2密钥生命周期安全管理规定4.2.1生成密钥必须随机或伪随机产生。4.2.2注入与存储密钥注入必须采用双重控制和信息拆分方式，在隔离状态下注入；主密钥必须存储在硬件加密设备中；成员主密钥（或终端主密钥）可存储在硬件加密设备中，或经主密钥加密后存储在主机中；工作密钥在主机中存储时必须经成员主密钥加密，在终端必须存储在硬件加密模块内。4.2.3传输密钥明文传输时必须拆分为两个或两个以上组件，通过多种渠道且不在同一天传输；密钥可以密钥组件的硬拷贝、内含密钥组件的安全芯片等方式传输，不得以内含完整密钥的硬拷贝或内含完整密钥的芯片方式传输。4.2.4接收仔细检验密钥组件传输介质的封存状态，并记录接收情况，存档保管。4.2.5泄漏与重置若发生泄漏，应立即重置被怀疑或确认泄漏的密钥及由该密钥保护的密钥，确定所涉及的功能领域，并且向管理部门报告。重置密钥时，由相应的保管员从保险容器中取出密钥各组件进行重置。重置过程记录在案，并存档保管。4.2.6删除与销毁失效、作废或被损坏的密钥，应在双人控制下，采用执行和检验相结合的方法及时删除和销毁，确保无法恢复、无法辨认，不被泄露。销毁过程必须由专人监控，并记录在案。4.2.7保管密钥资料应指派专人负责保管，所有密钥资料应存放在保险容器内；密钥在硬件加密设备外部以明文形式存在时，必须拆分成两个或两个以上的组件。各密钥组件应由不同的保管员封入信封，加盖名章（或骑缝签名）后置入保险容器妥善保管。各密钥保管员应来自本机构不同部门。相关具体规定参见银联卡密钥安全管理规则（磁条卡部分V1.0）。5磁条卡的卡片验证码（CVN）校验成员机构发行或受理磁条卡，必须实施卡片验证码校验。5.1对发卡行的要求成员机构发行磁条卡，必须按照银行卡磁条信息格式和使用规范的相关要求附带卡片验证码（CVN），联机实施校验。发卡机构可自行校验，也可选择由中国银联代其校验卡片验证码。卡片验证码校验错误达到三次时，应暂时冻结该卡账户，持卡人应持有效身份证件到发卡机构办理换卡或者重新写磁手续。对于上传磁道信息中未含卡片验证码的交易，发卡机构一律予以拒绝。5.2对收单机构的要求收单机构必须确保布放的受理终端能完整、准确读取并传输卡片验证码。如收单机构未能正确传送CVN，应承担相应的损失责任。6反洗钱要求成员机构应按照所在国家或地区的法律和相关规章制度要求，制订相应的反洗钱制度，对银联卡交易进行监控，并配备足够的人员和采取有效措施，预防和打击洗钱活动。中国银联可根据反洗钱的相关法规及反洗钱管理机关的要求，在遵循当地法律条件下，强制要求成员机构及其代理机构，实施有关措施阻止可能的反洗钱活动或恐怖主义财务活动。这些措施包括但不限于以下内容：实施更有力的政策、程序或控制措施；终止与商户或持卡人的合约；终止与代理机构的合约；终止成员机构资格；罚款。7调查7.1调查在董事会或风险管理委员会的授权下，为维护中国银联全体成员机构的共同利益，中国银联有权对成员机构及其相关机构就银联卡业务风险管理的状况进行调查，成员机构应当予以积极配合。本卷所述的各项调查，均同此义。7.2调查对象中国银联风险调查的对象包括成员机构、成员资格申请机构、特约商户、以及经中国银联认证的提供银联卡相关产品或服务的第三方厂商。7.3调查方式中国银联风险调查采用非现场调查和现场调查相结合的方式。非现场调查是指中国银联通过对调查对象按相关规则要求报送的风险调查问卷、报送的材料进行查阅、分析，并进行风险评价与判断的过程。现场调查是指中国银联对于非现场调查无法全面了解，需前往成员机构实地进行查阅、评估的方式。8处罚成员机构违反本卷相关规定，中国银联可以采取发布风险通告、限期改正等形式协助其加强管理；对其他成员机构合法权益和银联品牌造成损害的，中国银联在董事会或风险管理委员会的授权下，对其采取相应的处罚。处罚措施包括但不限于以下内容：通报；罚款；暂停业务；终止成员资格。第二章 发卡机构的风险管理本章对发卡机构发行银联卡应遵循的风险控制标准及要求做出基本规定。1银联卡安全管理的基本要求1.1发卡中心的物理安全为确保发卡中心的物理安全，必须对以下区域或业务环节进行监视或监控： 发卡中心的出口和入口通道；主机机房；凸印及写磁环节；其他高安全区域。对于高安全区域须安装闭路监控和入侵报警系统，进出均实行登记制度。同时应采取措施确保发卡中心防火、防暴、防核、防爆等意外灾害。1.2订单管理定购银行与通过中国银联资格认证的银联卡生产企业均应按照<“银联”标识卡产品企业资格认证实施细则>补充规定中关于订单管理的有关要求，向中国银联申报审批后，再交付银联卡生产企业进行生产。1.3安全生产发卡机构必须选择通过中国银联资格认证的银联卡生产企业作为本机构的卡片提供商。发卡机构有协助中国银联监督银联卡生产企业的责任。如发现银联卡生产企业有违规行为，应立即向中国银联报告。1.4安全运输1.4.1运输方式银联卡的运输工具必须符合下列要求：全封闭、适宜运输的车辆；运输工具上应配备至少两部通讯器材；如果选择航空运输，应选择从起运地到目的地的直达航班；如无直达航班可选择，航班只能中转一次，并严格控制中转货运公司的数量。如采用其他具有同等安全措施的运输方式，必须事先书面报备中国银联。运输空白卡必须封存在材质坚固或带锁的箱子里，并妥善保管钥匙或密码；必须执行双人押运，必要时采取武装押运。1.4.2卡片遗失、被盗或损坏的处理发生下列情况时，发卡机构应立即通知中国银联及本机构内部的安全部门，并向警方报案：在航班正常的情况下，空白卡未按照预计时间表到达；装运空白卡的箱子有迹象表明遗失、损坏或被擅自开启；未收到空白卡。1.5接收与保管应确保未发行卡片在任何时候都受到双人双管控制。在双人监督下，清点验收。接收后，应将银联卡存储于高安全区域保管，按种类设立台帐，对未发行卡片执行严密的数字管理。1.6卡片个人化的安全管理发卡机构应按照“银联”标识卡个人化企业安全和质量管理指南的制度规定和本卷第二章关于信息安全管理的相关要求，对人员管理、数字档案、交接手续等做出严密规定，确保银联卡生产过程中个人密码（PIN）和其他关键信息的安全。制定并严格执行机房管理制度，实行严格的人员出入控制；要严格对涉密机具的管理，应对打卡机具进行监控，并要求人离上锁。除发卡机构及发卡机构授权机构外，其他任何人和机构不得修改和复制卡面及磁条信息。个人化生产企业必须经中国银联认证。如果发卡机构委托生产企业完成个人化的，必须与其签订保密协议。如第三方个人化服务商有违规行为，发卡机构应将有关情况报告中国银联。1.7发行各发卡机构应建立并执行严格的资信审查制度，有条件的发卡机构可采用信用评分系统降低信用风险。对于不符合发卡机构信用卡审批政策或相关法律规定的申领者，应禁止发卡。按照发行渠道不同，发行方式可分为柜面发卡和邮寄发卡。柜面发卡时，已经完成个人化处理的卡片和密码应该分开管理。邮寄发卡必须采用“卡片开启”程序，在卡片申领人身份被证实前，暂时冻结卡账户。经申领人通知并完成身份辨识手续后，启用卡片功能。在邮寄过程中，发生卡片批量丢失的情况应立即报告中国银联与司法部门。1.8销毁对于回收的没收卡、过期卡、机打作废卡，与登记簿核对无误后，可定期集中进行销毁。2领用合约必备的风险条款发卡机构要在领用合约中明确规定：持卡人不能将银联卡用于任何非法场所，包括购买当地法律禁止的商品和服务，持卡人自行承担在非法场所使用导致的风险。持卡人不得将银联卡及其账户出租或转借给他人使用，持卡人将自行承担出租或转借他人使用导致的风险。发卡方有权将申领人的不良用卡记录提供给中国银联风险信息共享系统。3个人密码（PIN）的管理个人密码的长度不得少于六位字符。初始个人密码必须随机生成或由持卡人自行设置，发卡行不得设置统一的初始密码。打印密码函出错时，应及时销毁错误密码函，重新生成有效密码函。个人密码在联机交易传送和处理过程必须加密处理，禁止明文出现在硬件加密设备之外。无论何种情况下，都不得要求持卡人泄露个人密码。对于同一银行卡，交易密码或查询密码连续三次校验错时，应实时冻结该卡片，但有明确付款方的交易除外。持卡人本人须持有效身份证明到发卡机构柜面或者通过其他的身份认证渠道办理解除冻结手续，重新开通账户。4卡片挂失管理发卡机构应在接到持卡人挂失请求并核实身份合法性后，立即冻结挂失的卡片。5吞没卡及止付卡管理成员机构应按照银联卡业务运作规章第二卷的有关规定做好吞没卡处理。委托中国银联代授权的发卡机构应按照规定及时报送止付名单。6发卡专业化服务机构的风险管理发卡机构在选择发卡专业化服务机构时，除应遵照银联卡业务运作规章第一卷之规定外，另须遵守如下规定：发卡机构应谨慎选择合作机构。发卡机构应与专业化服务机构签订安全保密协议，确保专业化服务机构遵守银联卡账户与交易数据安全管理规则等安全规定。明确外包业务种类、范围、程序和操作时限，禁止擅自转包行为。发卡机构有对发卡专业化服务机构进行监督的责任。发卡专业化服务机构应承担因管理不善或违规经营给中国银联及成员机构带来的损失。情节特别恶劣、损失特别巨大的，对于已经获得认证资格的，中国银联将取消其认证资格；对于无须认证的机构，将通报各成员机构。卡片生产厂商和第三方个人化服务厂商必须经中国银联资格认证。对于违反规定的厂商，中国银联将采取暂停资格、取消资格并罚款等处罚措施，并通知各成员机构。7安全及风险调查中国银联可对发卡机构及银联卡生产企业、个人化企业、委外营销商等专业化服务机构进行必要的安全及风险调查。7.1调查内容空白卡生产申报制度的执行情况；银联卡生产企业安全管理制度执行状况和产品质量状况；发卡机构空白卡定购、储存及数字档案管理状况；卡片发行管理状况；回收的过期卡、作废卡、已打未发卡和吞没卡的保管和销毁记录状况；密钥安全管理状况；账户及交易数据的安全管理状况；与银联卡相关的欺诈交易报告以及处理情况；其他需要知情的内容。7.2违规处理发卡机构发生下列情形，已经或可能给银联卡持卡人、成员机构与中国银联带来损失的，中国银联将视情节轻重，建议董事会或风险管理委员会给予该发卡机构相应处罚。规章制度执行不力，安全管理状况松懈；空白卡发生遗失或被盗，未及时向中国银联等相关单位报告或故意隐瞒不报；发卡机构内部人员操作不当或作弊引致银行卡敏感信息泄漏；拖欠清算资金；对密码输入错误超过规定次数未冻结账户；未实施磁条卡卡片校验；未及时提供不良信息；未及时上报欺诈交易信息；密钥安全管理粗放、手续不全、资料缺失，存在泄漏或被攻破的可能性；相关的专业化服务机构管理不善或违规经营；其他违反规定的做法或经营行为。第三章 收单机构的风险管理本章对受理银联卡的收单机构、特约商户和收单专业化服务机构应遵循的风险控制标准作出基本规定。1商户准入1.1禁入商户类型收单机构禁止发展下列商户：非法设立的经营组织；特殊行业商户：包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等其他与本国法律、法规相抵触的商户；可疑商户：商户或商户负责人（或法人代表）已被列入中国银联的风险信息共享系统；注册地及经营场所不在收单机构所在国的商户。收单机构违反上述规定与禁入类商户签约的，需承担自签约日起相关欺诈交易的退单损失。同时,中国银联将暂停该商户的银联卡交易，并书面通知收单机构立即与商户强制解约，将商户相关资料报送至中国银联风险信息共享系统。1.2谨慎发展商户类型收单机构对于下列类型的商户，应谨慎签约，并采取更为严格的调查措施和审批程序：机票代售点或手机专卖店；各类娱乐场所如夜总会、卡拉OK、酒廊等；电购、邮购及网购商户；提供中介、咨询类服务的商户；持卡人需预付款的商户。2目标商户审查收单机构应对目标商户进行签约前的风险审查和实地调查，并根据审查和调查结果对目标商户进行风险等级划分，不同的风险等级应采取不同的风险管理措施。3商户签约3.1协议必备风险条款收单机构与商户签约时，应使用统一格式的商户受理协议书文本，协议或协议附件中至少应包括下列必备风险条款：商户不得将相关机具、设备、凭证等用于受理协议许可范围以外的用途，也不可以提供给第三者使用。除非经过收单机构书面允许，否则商户不得将受理银联卡的业务委托或转让给第三方。收单机构只接受本商户的交易签单，商户不得代清算其他商户的签单。保密条款。商户应对帐户及交易数据安全进行保密。明确界定商户违规操作及相关责任。收单机构及中国银联对商户终止银联卡交易的有关规定。收单机构及中国银联对商户基本信息及风险信息的无偿使用条款。交易查询及追索规定。合约终止后24个月内，收单机构对合约终止前的交易仍有查询及追索权。3.2机具布放收单机构应先完成商户协议书的签署，再布放POS等相关机具。3.3资料保管收单机构应妥善保存签约的相关资料备查。收单机构与商户解约的，从协议终止日起，相关资料至少还应保存两年以上。4特约商户日常风险管理收单机构在正式开展收单业务前，应首先对商户进行业务培训，之后再根据业务发展和风险控制需要，进行有针对性的培训。为加强日常风险管理，收单机构还应建立商户交易监控制度和不定期抽查制度，一旦发现异常情况，应及时进行实地调查，并检查相关交易单据，以核实是否存在欺诈风险。同时，收单机构还应积极收集与商户有关的各类信息，以便及时掌握商户经营状况的变化，并采取相应的风险防范措施。5特约商户强制解约5.1强制解约的情况收单机构发现商户出现以下风险情况，情节严重的，应立即关闭交易，及时书面通知商户终止收单协议，并尽快收回机具设备：虚假申请；侧录；泄漏帐户及交易信息；套现；洗单；恶意倒闭；冒充持卡人进行虚假交易；名义经营范围与实际情况不符；因欺诈交易或违法经营行为被司法机关立案或介入调查；中国银联已书面通知收单机构立即强制解约；已被其他卡组织认定为“高风险商户”；经营不善，已破产或停业的；其他风险情况。经收单机构或司法机关调查核实，以上风险状况仅由商户雇员的个人行为引起，收单机构仍可继续保留商户受理银联卡的资格，不必强制解约。收单机构在未提交任何理由的情况下，未在规定时限内与商户强制解约的，中国银联将终止该商户的银联卡交易，并将商户相关资料列入中国银联风险信息共享系统。5.2解约信息报送收单机构应按照“可疑商户信息共享”的规定，将被强制解约的商户及负责人（或法人代表）名单及时报送至中国银联风险信息共享系统。6可疑商户信息共享6.1可疑商户信息报送标准依据第1.1、5.1、8.3条规定被强制解约的商户，收单机构应在强制解约日起的五个工作日内将该商户的相关资料报送至中国银联风险信息共享系统。6.2报送要项收单机构提供的可疑商户信息中，应包括以下要项：商户法定名称和营业名称、装机地址、所在城市、商户营业执照登记号、商户服务类别码（MCC）、商户负责人名称和身份证号码、报送的原因代码、与收单机构的签约日期、强制解约日期。6.3可疑商户信息的有效期可疑商户信息的有效期为自进入风险信息共享系统起7年内有效。在有效期内，只有提供该信息的收单机构才有权对信息进行删除。6.4违规处理收单机构未将或未及时将符合标准的可疑商户信息报送至风险信息共享系统，或对已报送的可疑商户信息进行了错误修改或删除，导致其他收单机构与之签约开展业务，并因此发生欺诈交易损失的，其他收单机构可向中国银联风险管理委员会提出申诉，并提交相应证据供委员会审查和裁定。7收单专业化服务机构的风险管理收单专业化服务机构（以下简称专业化机构）是指接受收单机构委托,提供部分收单专业化服务的机构或组织。7.1对专业化机构的管理收单机构应对拟合作专业化机构的经营资格进行审查，并进行业务培训。之后应对其业务开展情况进行监督检查 。若因专业化机构的违规操作给其他成员机构造成损失的，收单机构需承担相应责任。7.2协议必备风险条款 专业化机构正式开展业务前，收单机构应与之签署委托协议，协议中应包括以下必备条款：明确规定专业化机构的业务代理范围、应遵循的业务规范、操作流程及相应的风险责任；专业化机构不得将收单机构的机具、设备、凭证等用于协议许可范围以外的用途，也不可以给第三方用；除非经过收单机构书面允许，否则专业化机构不得将收单机构委托的业务再转让或委托给第三方；保密条款。专业化机构应对帐户及交易数据进行保密。明确规定专业化机构的违规操作及违规操作需承担的责任;收单机构对专业化机构的强制解约规定。7.3强制解约专业化机构出现下列风险情况的，收单机构应立即与之强制解约：与不良商户勾结进行如虚假伪冒申请、违规套现、洗单、虚假交易等欺诈活动；泄漏持卡人交易帐号及交易信息；利用POS机具进行欺诈活动；经营不善，已破产、停业或倒闭；严重违反法律、法规及行业自律规定；因自身行为严重影响收单机构声誉或造成重大经济损失；提供虚假资料，骗取与收单机构的合作资格；中国银联书面通知收单机构立即与之强制解约的；其他风险情况。8对收单机构的风险指标监控8.1收单欺诈率中国银联使用“季度收单欺诈率”对收单机构的收单风险状况进行监控。季度收单欺诈率是指在单个季度内，收单机构被发卡机构确认的收单欺诈交易金额与该机构收单交易总额的比率。根据交易类型，分为“POS收单欺诈率”和“ATM收单欺诈率”。收单机构的“季度POS收单欺诈率”或“季度ATM收单欺诈率”在规定期限内连续超标的,中国银联将根据其超标期限，分别采取如书面通知、实地调查、征收违规罚款、建议董事会暂停或取消其银联卡收单业务资格等风险管理措施，直至其指标恢复正常。8.2商户的月退单笔数和月退单金额比例中国银联使用“月退单笔数”和“月退单金额比率”对商户的退单交易情况进行监控。商户的“月退单交易笔数”或“月退单金额比率”在规定期限内连续超标的,中国银联将根据其超标期限，对其收单机构分别采取如书面通知、征收违规罚款等风险管理措施，直至其指标恢复正常。8.3对“高风险商户”的认定中国银联使用商户风险监控系统对商户的可疑或欺诈等交易行为进行监控和评分。该系统将对商户交易量的异常变动、商户已被确认的欺诈交易金额、商户的可疑交易行为、商户因欺诈原因被调单及被退单的情况进行综合评分，经系统评分达到“高风险商户”标准的商户，其收单机构应在规定时限内与商户强制解约，并将相关信息报送至中国银联风险信息共享系统，否则，需承担此后被发卡机构通报的所有欺诈交易的退单损失，直至其风险状况恢复正常。此后的规定期限内，商户仍被认定为“高风险商户”的，中国银联将终止该商户受理银联卡的业务资格，并对其收单机构进行实地调查。中国银联将另行颁布“商户风险监控系统“的有关管理规则和办法，对商户风险案例的等级划分和高风险商户的标准进行详细规定和说明。9对金融自助终端的监控要求收单机构应对每台金融自助终端设置24小时不间断的监控机制，并建立巡查制度，监控录像和巡查记录应至少保存1个月。发现可疑或欺诈行为后，应及时进行调查和处理，防止风险的进一步扩大。10调查和申诉10.1调查中国银联有权对收单机构、专业化机构及特约商户的风险管理状况进行调查，以确认其是否有违规行为。调查主要包括但不限于以下内容：收单机构在发展及管理商户时，相关规章制度的执行情况；收单机构商户受理协议中风险条款的完整性及相关资料的保管状况；高风险商户强制解约和可疑商户信息报送等有关规定的执行情况；自助银行终端实施监控和巡查制度的制订及执行状况；中国银联将根据调查结果调整对收单机构的风险评级，并视情况实施不同的风险管理和处罚措施。10.2申诉成员机构有权就其他收单机构的违规行为向中国银联风险管理委员会提出申诉，委员会将根据相应处理流程对申诉案件进行调查和核实，并作出裁定。第四章 清算风险管理本章对成员机构在银行卡跨行业务资金清算过程中的风险管理，做以下基本规定：1原则1.1全过程监控原则银联卡跨行业务清算风险的管理遵循“制度防范、风险可控、紧急处置”的原则，以防范和控制为主、紧急处置为辅，对资金清算全过程进行监控和管理，最大限度地降低银联卡资金清算风险，保证资金清算的正常进行。1.2分级管理原则中国银联根据信用及清算风险等级的不同，对参加清算的成员机构的信用状况及日常清算情况进行监控和管理，其中对未达到信用及清算风险标准的成员机构实行重点监控。2基本要求成员机构在清算中应遵守但不限于以下规定：在清算银行的清算账户备有足够资金，以确保日常清算顺利完成；风险等级未达到标准的成员机构，根据银联卡跨行业务资金清算风险管理暂行办法要求，在中国银联指定的备付金账户缴存风险备付金或提供担保；在清算银行的清算账户头寸不足时，应及时通知中国银联。3清算风险备付金管理清算风险备付金是指由一定信用风险等级以下或日常清算中出现严重预警情况的成员机构，根据其日常清算量核定并向中国银联移存的资金，定向用于该机构银联卡跨行业务资金清算连续未完成时，向中国银联的清算周转金账户进行划拨。3.1缴纳经中国银