业务与风险管理
第十九条 收单机构应当综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对实体特约商户、网络特约商户分别进行风险评级。
对于风险等级较高的特约商户,收单机构应当对其开通的受理卡种和交易类型进行限制,并采取强化交易监测、设置交易限额、延迟结算、增加检查频率、建立特约商户风险准备金等风险管理措施。
第二十条 收单机构应当建立特约商户检查制度,明确检查频率、检查内容、检查记录等管理要求,落实检查责任。对于实体特约商户,收单机构应当进行现场检查;对于网络特约商户,收单机构应当采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。
第二十一条 收单机构应当针对风险较高的交易类型制定专门的风险管理制度。
对无卡、无密交易,以及预授权、消费撤销、退货等交易类型,收单机构应当强化风险管理措施。
第二十二条 收单机构应当建立收单交易风险监测系统,对可疑交易及时核查并采取有效措施。
第二十三条 收单机构应当建立覆盖受理终端(网络支付接口)审批、使用、撤销等各环节的风险管理制度,明确受理终端(网络支付接口)的使用范围、交易类型、交易限额、审批权限,以及相关密钥的管理要求。
第二十四条 收单机构为特约商户提供的受理终端(网络支付接口)应当符合国家、金融行业技术标准和相关信息安全管理要求。
第二十五条 收单机构应当根据特约商户受理银行卡交易的真实场景,按照相关银行卡清算机构和发卡银行的业务规则和管理要求,正确选用交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。
特约商户和受理终端(网络支付接口)的编码应当具有唯一性。
第二十六条 收单机构将交易信息直接发送发卡银行的,应当在发卡银行遵守与相关银行卡清算机构的协议约定下,与其签订合作协议,明确交易信息和资金安全、持卡人和商户权益保护等方面的权利、义务和违约责任。
第二十七条 收单机构应当对发送的收单交易信息采用加密和数据校验措施。
第二十八条 收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息,并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
因特殊业务需要,收单机构确需存储银行卡敏感信息的,应当经持卡人本人同意、确保存储的信息仅用于持卡人指定用途,并承担相应信息安全管理责任。
第二十九条 收单机构应当建立特约商户收单银行结算账户设置和变更审核制度,严格审核设置和变更申请材料的真实性、有效性。
特约商户的收单银行结算账户应当为其同名单位银行结算账户,或其指定的、与其存在合法资金管理关系的单位银行结算账户。特约商户为个体工商户和自然人的,可使用其同名个人银行结算账户作为收单银行结算账户。
第三十条 收单机构应按协议约定及时将交易资金结算到特约商户的收单银行结算账户,资金结算时限最迟不得超过持卡人确认可直接向特约商户付款的支付指令生效之日起30个自然日,因涉嫌违法违规等风险交易需延迟结算的除外。
第三十一条 收单机构应当建立资金结算风险管理制度,不得挪用特约商户待结算资金。
第三十二条 收单机构应当根据交易发生时的原交易信息发起银行卡交易差错处理、退货交易,将资金退至持卡人原银行卡账户。若持卡人原银行卡账户已撤销的,应当退至持卡人指定的本人其他银行账户。
第三十三条 收单机构应当及时调查核实、妥善处理并如实反馈发卡银行的调单、协查要求和银行卡清算机构发出的风险提示。
第三十四条 收单机构发现特约商户发生疑似银行卡套现、洗钱、欺诈、移机、留存或泄漏持卡人账户信息等风险事件的,应当对特约商户采取延迟资金结算、暂停银行卡交易或收回受理终端(关闭网络支付接口)等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应当及时向公安机关报案。
第三十五条 收单机构应当自主完成特约商户资质审核、受理协议签订、收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理等业务活动。
第三十六条 收单机构应当在收单业务外包前制定收单业务外包管理办法,明确外包的业务范围、外包服务机构的准入标准及管理要求、外包业务风险管理和应急预案等内容。收单机构作为收单业务主体的管理责任和风险承担责任不因外包关系而转移。
第三十七条 收单机构同时提供收单外包服务的,应当对收单业务和外包服务业务分别进行管理。
第三十八条 收单机构应当制定突发事件应急预案,建立灾难备份系统,确保收单业务的连续性和收单业务系统安全运行。