【導(dǎo)讀】銀聯(lián)卡互聯(lián)網(wǎng)商戶風險管理指南

　　

【正文】 機驗證碼，同時避免客戶收到消費確認 短信； ? 會選擇在凌晨或其他比較繁忙的時間，持卡人無法及時看到消費確認短信，迅速以多筆略低于銀行限額的交易，刷空卡片額度。 ? 通常伴隨惡意倒閉、虛假申請等欺詐行為。 防范措施 ? 加強持卡人安全意識的教育，提示欺詐的常用的欺詐手段，并在交易過程中提示客戶注意不明鏈接及文件的接收，如發(fā)現(xiàn)異常情況應(yīng)及時與發(fā)卡銀行聯(lián)系； ? 要求商戶注意交易環(huán)境的安全維護，在網(wǎng)站安裝安全控件、殺毒軟件，28 并定期對虛假鏈接進行安全掃描； ? 加強交易監(jiān)控，針對修改手機號碼后短時間內(nèi)貼限額快速消費多筆的交易進行重點關(guān)注，視情況嚴重程度采取 人工回訪或暫時凍結(jié)賬戶等處置。 ? 在交易驗證過程中，應(yīng)采用輔助認證手段防范犯罪分子發(fā)起欺詐交易，主要方式包括： ? 圖片驗證碼：將一串隨機產(chǎn)生的數(shù)字或符號，生成一幅圖片， 圖片里加上一些干擾象素（防止 OCR3），由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能支付。使用圖片驗證碼可以防止批量試錯或窮舉試錯獲取支付密碼； ? 手機短信或電話驗證：在支付交易確認過程中，通過發(fā)送數(shù)字驗證碼至持卡人預(yù)留綁定的 手機 號，并要求正確輸入，或直接電話聯(lián)系持卡人確認是否本人發(fā)起的交易，來配合驗證的一種交易確認方式， 可有效防范賬戶盜用； ? 短信、郵件、即時通訊工具反饋：提示交易成功與否，有助于及時發(fā)現(xiàn)欺詐交易； ? 用戶個人數(shù)字證書：持卡人使用用戶個人數(shù)字證書，能有效防范持卡人賬戶盜用。 其他風險 除以上所述主要風險類型以外，互聯(lián)網(wǎng)商戶還可能存在商戶經(jīng)營情況與實際不符、商戶欺詐交易達到一定比率、卡號測試，以及從事違反國家法律、法規(guī)和政策規(guī)定的業(yè)務(wù)（如，淫穢色情、賭博或者其他任何非法活動）所帶來的聲譽類風險?？赏ㄟ^交易監(jiān)控、指標監(jiān)控或商戶協(xié)議等方式約束商戶欺詐行為，具體參加本指南第四章和第七章。 第七章 商戶日常管理 與監(jiān)控 商戶日?；卦L和培訓(xùn) 收單機構(gòu)應(yīng)根據(jù)業(yè)務(wù)發(fā)展和風險控制的需要，定期對商戶進行回訪和培訓(xùn)， 3 OCR： 圖形信息校驗碼識別程序 ，可被用于識別獲取圖片驗證碼信息 29 并保留回訪和培訓(xùn)的記錄，以備核查。 商戶回訪 根據(jù)商戶風險等級和商戶類型等情況，收單機構(gòu)應(yīng)對互聯(lián)網(wǎng)商戶每隔一到三個月進行一次檢查或?qū)嵉鼗卦L，尤其應(yīng)對新開中小型商戶 、 近期無交易量商戶或新聞媒體、工商、稅務(wù)等部門披露 的異常商戶加強回訪，內(nèi)容可以包括但不限于： ? 日常經(jīng)營的合規(guī)性 ? 商戶的實際經(jīng)營范圍是否有重大變更； ? 站點提供的商品或服務(wù)內(nèi)容是否與描述一致； ? 是否違規(guī)代受理來自其他商 戶的交易； ? 商戶交易單據(jù)憑證的保管是否符合規(guī)定； ? 商戶所有人是否發(fā)生變更，商戶工作人員是否出現(xiàn)大量變動。 ? 賬戶信息安全管理 ? 商戶是否遵守賬戶信息安全的相關(guān)要求； ? 支付鏈接是否有效； ? 客戶信息存儲、傳輸是否合規(guī)； ? 服務(wù)器或機房安全管理措施是否執(zhí)行到位； ? 是否分單或?qū)⒔灰缀喜⒋虬? ? 網(wǎng)絡(luò)環(huán)境的安全性 ? 是否有類似域名的欺詐網(wǎng)站； ? 網(wǎng)絡(luò)交易環(huán)境是否有必要的安全控件配置； ? 是否定期檢查、掃描釣魚網(wǎng)站及不明程序。 ? 對二級商戶的風險管理措施 ? 平臺類商戶是否準確上送二級商戶的商戶名稱、商戶服務(wù)類別碼等信息； ? 是否準確上 送交易信息，包括交易 IP、交易明細等； ? 對欺詐商戶是否有合理的調(diào)查及處理流程； ? 是否有針對二級商戶日常交易的監(jiān)控系統(tǒng)及合理的崗位配置。 ? 對相關(guān)崗位人員的培訓(xùn)計劃和培訓(xùn)記錄。 ? 相關(guān)的風險管理流程是否合理有效等。 30 在回訪中，如發(fā)現(xiàn)商戶有違規(guī)行為或異?，F(xiàn)象，應(yīng)向商戶提出警告并要求立即整改，必要時按照本指南第九章中關(guān)于 “風險商戶退出” 的有關(guān)規(guī)定及時中止與商戶的協(xié)議。 平臺類商戶應(yīng)參照以上要求，對二級商戶進行定期和不定期的回訪。 商戶培訓(xùn) 收單機構(gòu)在業(yè)務(wù)開展前應(yīng)確保對商戶進行至少一次的風險培訓(xùn)；在業(yè)務(wù)開 展后，應(yīng)根據(jù)不同類別的商戶（ B2C、 C2C、平臺類商戶），同一商戶不同級別的員工，有針對性的進行定期或不定期的培訓(xùn)，原則上一年內(nèi)不得少于兩次，內(nèi)容可以包括但不限于： ? 銀行卡互聯(lián)網(wǎng)受理的業(yè)務(wù)流程和操作說明； ? 正確識別互聯(lián)網(wǎng)交易中各類欺詐風險及防范措施； ? 建立防范銀行卡賬戶及交易信息泄露的要求，確保卡號、交易數(shù)據(jù)等關(guān)鍵信息的所有介質(zhì)保存于安全區(qū)域； ? 建立“只有被授權(quán)人員才能接觸訪問關(guān)鍵信息”的相關(guān)制度； ? 交易單據(jù)的保管方式和時限要求； ? 建立相關(guān)賬務(wù)處理流程、差錯處理方法和要求； ? 其他與銀行卡受理業(yè)務(wù)相關(guān)事項。 平臺類商戶應(yīng)參照本指南中收單機構(gòu)對商戶的管理和培訓(xùn)要求，承擔對二級商戶的管理和風險培訓(xùn)責任。 商戶風險監(jiān)控管理 商戶退單情況監(jiān)控指標 通過關(guān)注以下商戶退單情況，可以監(jiān)控商戶風險狀況： ? 退單金額比率：商戶每月的被退單金額占交易金額的比率； ? 商戶退單筆數(shù)：商戶每月的被退單量； ? 不同 MCC 類型每月的退單筆數(shù)； ? 不同 MCC 類型每月退單金額占比。 商戶欺詐情況監(jiān)控指標 31 通過統(tǒng)計以下商戶欺詐指標，可以監(jiān)控商戶風險狀況： ? 商戶欺詐金額比率（季）：欺詐交易金額占該商戶交易金額比率； ? 商戶欺詐金額（季）：發(fā)生于該商戶的欺詐交易總額； ? 商戶欺詐交易筆數(shù)（季）：發(fā)生于該商戶的欺詐交易筆數(shù)； ? 商戶欺詐交易筆數(shù)比率（季）：發(fā)生于該商戶的欺詐交易筆數(shù)占該商戶交易金額比率； ? 商戶套現(xiàn)欺詐率（季）：套現(xiàn)交易金額占該商戶總交易金額比率； ? 商戶套現(xiàn)金額（季）：發(fā)生于該商戶的套現(xiàn)交易總額。 風險監(jiān)控指標與分級處置 中國銀聯(lián)將依據(jù)收單欺詐率 、 商戶退單率 、 月墊付金額比率等指標，對收單機構(gòu)進行監(jiān)控，收單機構(gòu)應(yīng)建立相應(yīng)的風險商戶預(yù)警與分級處置管理體系： 表 71 中國銀聯(lián)的監(jiān)控指標與處置要求 監(jiān)控指標 標準 處理要求與罰則 季度收單欺詐率 4 單一季度超標（收到中國銀聯(lián)單一季度收單欺詐率超標的書面預(yù)警通知） 應(yīng)采取以下整改措施，預(yù)防下一季度指標繼續(xù)超標： ? 分析超標原因，找出問題商戶和已被確認的欺詐交易； ? 分析欺詐交易原因，確認欺詐類型； ? 對于被動欺詐型的商戶，加強風險防范培訓(xùn)，提高其防范技巧和技能； ? 對于有主動欺詐嫌疑的商戶，進行實地調(diào)查和預(yù)警通知，要求商戶重視風險問題，并明確商戶欺詐責任，必要時進行交易終止（詳見《銀聯(lián)卡收單機構(gòu)商戶風險管理規(guī)則》第六章的相關(guān)規(guī)定），并暫扣商 戶清算款。 連續(xù)兩季度超標（收到中國銀聯(lián)的調(diào)查通知書后） 除采取上述措施外，收單機構(gòu)還應(yīng)： ? 立即暫?；蚪K止涉嫌欺詐商戶的銀聯(lián)卡交易； ? 上報高層管理人員； ? 積極配合中國銀聯(lián)的調(diào)查工作，并根據(jù)中國銀聯(lián)的調(diào)查結(jié)果適當調(diào)整收單業(yè)務(wù)和風險管理制度流程； ? 改善商戶交易風險監(jiān)控系統(tǒng)，根據(jù)欺詐類型和特征調(diào)整相 4季度收單欺詐率超標定義詳見《銀聯(lián)卡互聯(lián)網(wǎng)跨行支付業(yè)務(wù)風險管理規(guī)則》 收單欺詐率 32 關(guān)規(guī)則和參數(shù)。 連續(xù)三或四個季度超標 ? 收單機構(gòu)會受到風險管理委員會的處罰； ? 取消受理銀聯(lián)卡的資格。 商戶月退單金額比率 /商戶月退單筆數(shù) 商戶月退單金額比率連續(xù) 2個月超過 %或月退單筆數(shù)超過 50筆 ? 對超標商戶進行調(diào)查，分析退單原因，采取有針對性的防范措施； ? 對于因被動欺詐而導(dǎo)致退單超標的商戶，應(yīng)加強風險防范培訓(xùn)，提高其防范技巧和技能； ? 對于有主動欺詐嫌疑的商戶，進行實地調(diào)查和預(yù)警通知，要求商戶重視風險問題，并明確商戶欺詐責任，必要時進行交易終止（詳見《銀聯(lián)卡收單機構(gòu)商戶風險管理規(guī)則》第六章的相關(guān)規(guī)定），并暫扣商戶清算款。 月墊付金額比率 5（監(jiān)控墊付交易） 商戶連續(xù)兩個月墊付金額比率超過 ％ 收單機構(gòu)收到中國銀聯(lián)發(fā)出的書面預(yù)警通知，應(yīng)敦促超標商戶盡快采取整改措施 商戶連續(xù)三個月墊付 金額比率超過 ％ 收單機構(gòu)將受到中國銀聯(lián)的相應(yīng)處罰。 高風險商戶 被中國銀聯(lián)商戶風險監(jiān)控系統(tǒng)評定為高風險商戶 收單機構(gòu)應(yīng)立即終止其受理銀聯(lián)卡交易，并將相關(guān)信息報送至中國銀聯(lián)不良信息共享系統(tǒng)，避免其風險狀況進一步惡化 日常交易監(jiān)控 交易指標異常 除了定期關(guān)注和統(tǒng)計商戶退單和欺詐指標，還可以通過監(jiān)控以下日常交易指標隨時關(guān)注商戶風險動態(tài)： ? 交易金額、筆數(shù)與成功率異常： 總交易金額異常變化、總交易筆數(shù)異常變化、單筆交易金額異常變化； 5墊付金額比率 =持卡人在該商戶發(fā)生欺詐后發(fā)卡或其它機構(gòu)進行墊付總金額 /商戶成功交易金額 100%。 33 ? 同一或同 BIN 卡號連續(xù)交易：同一張卡金額不斷減少 的多次授權(quán)請求；同 BIN 卡號的交易量占比異常； ? 新商戶交易量與預(yù)期不符：新商戶日交易量超最高限額、新商戶日交易金額超最高限額，新商戶單筆交易金額異常； ? 發(fā)起交易 IP 地址、 MAC 地址異常：發(fā)起交易的同一 IP 地址的卡片數(shù)量異常；發(fā)起交易的同一 MAC 地址的卡片數(shù)量異常。 ? 授權(quán)活動異常： 日授權(quán) 被 拒絕比重異常； 同一卡號的多次授權(quán)或同一卡號金額不斷減少的多次授權(quán)請求；日被拒絕授權(quán)比重超過預(yù)先設(shè)定的最高限額參數(shù)； ? 退貨指標異常：日退貨總金額 、 日退貨金額比例和日退貨筆數(shù)比例異常 其他欺詐風險監(jiān)控 依據(jù)不同商戶 欺詐類型，建立日常交易監(jiān)控指標體系： 表 72 各欺詐類型的風險監(jiān)控指標體系 欺詐類型 監(jiān)控指標 異常跡象 套現(xiàn) 整數(shù)、大額交易所占比重非常高 ， 偽卡 1. 單筆交易的平均金額有劇烈上下波動； 2. 整數(shù)、大額交易所占比重非常高 洗錢 ； ，退貨率異常 、銷售額、退款率 洗單、分單 交易量和交易金額異常增長，同一張卡分單交易金額遞減 卡號測試 、 涉案卡數(shù) 量之間差異很大： 2. 同商戶多筆同一序列的卡號或相34 同 BIN號卡號的交易金額 2. 被拒絕交易的比例異常 3. 授權(quán)量與交易量 除此以外，由于互聯(lián)網(wǎng)商戶交易具有非面對面特征，當其實施各類欺詐行為后，極易迅速逃逸，引發(fā)惡意倒閉的風險，應(yīng)注意非正常時間段交易異常后交易量迅速突減，甚至降為零 的情況。 清算風險管理 一旦發(fā)生可疑或異議交易時，收單機構(gòu)應(yīng)及時采取暫扣、延遲清算等措施加以防范，或通過收取保證金方式規(guī)避風險。 ? 收單機構(gòu)對監(jiān)控中發(fā)現(xiàn)可疑交易的，應(yīng)盡快凍結(jié)商戶結(jié)算資金劃付； ? 對具有風險傾向或所出售商品或服務(wù)具有不可追溯性的商戶，收單機構(gòu)應(yīng)要求商戶繳納一定數(shù)額的保證金用于商戶發(fā)生違約或其他違規(guī)行為時的風險補償。保證金余額低于一定比例時，要求商戶及時補足； ? 發(fā)生大額的退貨、退單時，對于申請退款的商戶應(yīng)要求其在 3 個工作日內(nèi)向收單機構(gòu)提交相關(guān)申請。 商戶交易限額管理 收單機 構(gòu)應(yīng)根據(jù)商戶的經(jīng)營規(guī)模、經(jīng)營范圍劃分不同的風險等級，建立動態(tài)的商戶交易限額管理制度。 ? 對不同類型的商戶日交易額和單筆交易額設(shè)限； ? 對退單率、欺詐率等監(jiān)控指標較高的商戶調(diào)低限額； ? 對短時間內(nèi)來自同一 IP 或 MAC 地址發(fā)起的交易設(shè)限； ? 對某些特定類型商戶（如，易成為偽冒用卡目標的商戶）在一定時間內(nèi)同一張卡的交易額設(shè)限； 平臺類商戶應(yīng)參照本指南中收單機構(gòu)對商戶的交易限額管理，加強對二級商戶的限額控管。 第八章 賬戶信息與數(shù)據(jù)安全 收單機構(gòu)內(nèi)部賬戶信息安全管理規(guī)范 35 收單機構(gòu)應(yīng)遵 循 《銀聯(lián)卡賬戶信息與交易數(shù)據(jù) 安全管理規(guī)則（修訂）（銀聯(lián)風管委〔 2020〕 6 號）》、《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標準（銀聯(lián)風管委〔 2020〕 1 號）》等規(guī)范中關(guān)于賬戶信息安全管理的要求，對互聯(lián)網(wǎng)支付中涉及的銀聯(lián)卡上記錄的所有賬戶信息以及與銀聯(lián)卡交易相關(guān)的用戶身份驗證信息進行妥善保管和使用。 收單機構(gòu)建立對互聯(lián)網(wǎng)商戶的賬戶信息安全管理制度 收單機構(gòu)對互聯(lián)網(wǎng)商戶的賬戶管理，應(yīng)貫穿商戶審查、入網(wǎng)培訓(xùn)、日常檢查等多個環(huán)節(jié)，主要措施包括但不限于： ? 收單機構(gòu)應(yīng)首先遵守銀聯(lián)卡賬戶信息安全管理制度和標準，針對商戶及第三方機構(gòu)按要求開展賬戶信 息安全合規(guī)評估，具體要求參見《銀聯(lián)卡收單業(yè)務(wù)賬戶信息安全合規(guī)評估管理暫行規(guī)定》 “第二章 評估要求” 。 ? 收單機構(gòu)應(yīng)定期對商戶網(wǎng)站進行安全測試，確