银联卡移动支付业务风险规则定稿
移动支付的风险管理与控制
移动支付的风险管理与控制移动支付已成为如今数字化生活中非常重要的一部分。
随着移动互联网的普及和智能手机的普及化,人们越来越喜欢使用支付宝、微信等支付方式(“移动支付”)。
移动支付给人们带来了更加方便快捷的支付方式,但是也带来了诸多风险。
本文将深入探讨移动支付的风险管理与控制,旨在告诫大家在使用移动支付时要注意如何做好风险管理与控制,保障个人资金安全。
一、移动支付的风险1.账户被盗风险账户被盗一直是人们担心的问题,移动支付也不例外。
若账户被黑客攻击,可能导致用户的资金被盗。
例如,攻击者可能通过恶意软件和钓鱼行为获取用户的账户密码等重要信息,从而进行非法操作,盗取大量资金。
2.漏洞和系统问题支付系统存在漏洞和系统问题,可能会导致用户在移动支付中遭受损失,例如,支付系统中可能存在未修补的安全漏洞,这些漏洞被不法分子利用或泄露,可能会导致用户的资金被非法取走,给用户带来经济损失。
3.假冒应用程序和网络欺诈应用商店中存在很多借助网络欺诈的恶意应用程序,经常伪装成移动支付应用程序,用户下载安装运行,然后输入账户密码或其他个人信息,这些信息会被恶意程序盗取 (Wang B., 2016)。
用户必须要警惕类似于这种假冒应用程序的存在,注意保护自己的账户和密码安全。
二、移动支付的风险管理1.普及安全知识作为用户,应该具备安全意识和知识,知道如何保护自己的移动支付账户和安全,如使用密码、密保等安全措施,并完整清晰地了解银行和支付平台的相关安全知识和措施,增强自我保护意识。
2.开启双重认证支付宝等应用程序通常通过使用短信验证码等双重认证的方式来提高安全性。
如开启登录密码、指纹密码、图形密码和声纹密码等,可以更加有效保障用户的资金安全,降低账号被盗的风险。
3.拒绝商家扣款建议用户不要轻易授权商家进行扣款操作,任意使用自己的移动支付进行交易。
如不放心,可以不断了解商家资质,提高自己的安全意识,避免自己的资产被不法分子利用。
银联卡移动支付业务(智能卡模式)风险规则(试行)定稿
银联卡移动支付业务(智能卡模式)风险规则(试行)目录1 总则1.1 目的1.2 定义及业务场景1.3 适用范围1.4 主要业务术语1.4.1 智能卡1.4.2 移动终端支付应用软件1.4.3 可信服务管理(TSM)1.4.4 Upcard应用1.4.5 初始化和个人化1.4.6 应用管理终端2 发卡机构风险管理2.1 业务申请及开通2.1.1 开通卡种2.1.2 持卡人身份审核2.1.3 Upcard应用开通补充要求2.1.4 风险告知2.1.5 业务开通协议风险要求2.2 支付交易风险管理2.2.1 交易验证2.2.2 交易限额管理2.2.3 交易验证容错次数限制2.3 交易风险监控2.3.1 监控指标2.3.2 指标运用2.4 智能卡生命周期管理2.4.1 制卡及运输2.4.2 智能卡初始化2.4.3 智能卡金融信息加载与个人化2.4.4 智能卡配发2.4.5 智能卡挂失和解挂2.4.6 智能卡注销2.5 移动终端支付应用软件安全要求2.5.1 基本要求2.5.2 登录控制2.5.3 账户信息安全2.5.4 移动终端支付应用软件发布2.5.5 移动终端支付应用软件维护2.6 应用管理终端风险管理2.6.1 基本要求2.6.2 补充要求2.6.3 终端申领2.6.4 签署终端申领协议2.6.5 终端接入2.6.6 终端申领登记2.6.7 应用管理终端巡检与维护2.6.8 应用管理终端回收2.7 第三方服务机构风险管理2.7.1 资质要求2.7.2 合作协议必备风险条款2.7.3 要求缴纳风险保证金2.7.4 风险培训2.7.5 日常风险管理2.7.6 违规处理3 收单机构风险管理3.1 交易处理3.1.1 规范设置交易报文3.1.2 账户信息安全管理3.1.3 交易凭证对卡号屏蔽的要求3.2 商户风险管理3.2.1 禁入商户3.2.2 谨慎发展商户3.2.3 入网审查3.2.4 商户签约3.2.5 商户入网3.2.6 商户风险培训3.2.7 商户注册登记3.2.8 商户日常回访3.2.9 商户风险监控3.2.10 二级商户管理3.3 近场交易受理终端安全管理3.3.1 基本要求3.3.2 终端申领3.3.3 签署终端申领协议3.3.4 终端布放3.3.5 终端接入3.3.6 终端巡检与维护3.3.7 终端回收3.3.8 终端风险监控3.4 收单专业化服务机构风险管理3.4.1 资质准入3.4.2 风险审查3.4.3 签署协议3.4.4 风险培训3.4.5 日常监督管理3.4.6 收单专业化服务机构的风险监控3.4.7 违规处理3.4.8 业务终止4 风险事件报送及处置4.1 发卡机构风险报告及处理4.1.1 风险报告4.1.2 卡片账户处理4.1.3 协助案件调查4.1.4 优化风险监控措施4.2 收单机构风险报告及处理4.2.1 报告风险事件4.2.2 调查欺诈商户4.2.3 协助案件调查4.2.4 风险整改4.3 中国银联风险事件协查及处理4.3.1 发送风险提示4.3.2 组织开展案件调查4.3.3 督促风险整改5 风险责任划分5.1 基本原则5.2 风险责任划分6 附则1 总则1.1 目的为加强银联智能卡移动支付业务风险管理,保障银联智能卡移动支付业务持续健康发展,特制定本规则。
银行行业移动支付安全风险防范
银行行业移动支付安全风险防范随着科技的快速发展,移动支付在银行行业中已经成为一种主流的支付方式。
然而,由于移动支付的便利性,也带来了一些安全风险。
本文将探讨银行行业中移动支付的安全风险,并提出一些防范措施。
移动支付的安全风险主要体现在以下几个方面:1. 用户信息泄露:移动支付需要用户输入个人敏感信息,如银行卡号、密码等。
如果用户信息泄露,黑客可以利用这些信息进行非法操作,给用户造成财产损失。
2. 交易篡改:黑客可以通过篡改支付页面或者中间人攻击等手段,修改交易信息,使得用户支付的款项流入黑客的账户,给用户和商家带来损失。
3. 恶意软件攻击:用户在进行移动支付时,可能会因为安装恶意软件或者下载不安全的APP而受到攻击,导致个人信息泄露或者支付被篡改。
对于这些风险,银行行业需要采取一系列的防范措施,以确保用户的支付安全:1. 强化身份验证:银行应该要求用户在进行移动支付时进行双重身份验证,如短信验证码、指纹识别等方式,提高用户身份真实性。
2. 加密通信传输:银行应采用安全的加密协议,确保用户在移动支付过程中的信息传输安全,防止黑客对信息进行窃取和篡改。
3. 风险监测和预警:银行应建立完善的风险监测系统,对异常支付行为进行实时监控,并及时向用户发送风险预警,提醒用户注意安全。
4. 安全软件推广:银行可以与安全软件厂商合作,向用户推广安全软件,提供安全环境保护用户的移动支付。
5. 安全培训和意识普及:银行应加强对用户的安全教育和培训,提高用户的安全意识,教会用户如何判断和防范移动支付中的安全风险。
6. 与第三方支付平台合作:银行可以与第三方支付平台建立合作关系,共同建立安全风险防范机制,共同保障用户的移动支付安全。
总结起来,银行行业在移动支付安全风险防范方面需要采取多重措施,包括加强用户身份验证、加密通信传输、风险监测与预警、推广安全软件、加强安全培训和与第三方支付平台合作等。
只有通过这些措施的实施,银行行业才能有效地保护用户的移动支付安全,推动移动支付的健康发展。
移动支付的风险管理和风险防范
移动支付的风险管理和风险防范移动支付已经成为现代社会中不可或缺的支付方式之一,然而,与其便利性和普及性相伴随的是一系列的风险和安全问题。
为了保障用户的资金安全和个人信息的保密,移动支付平台需要采取一系列的风险管理和风险防范措施。
本文将详细介绍移动支付的风险管理和风险防范措施,以确保用户的资金和信息安全。
一、风险管理1. 风险评估和识别:移动支付平台需要对可能存在的风险进行全面的评估和识别。
这包括对支付环节、用户身份验证、交易安全等方面的风险进行分析,以确定可能存在的风险点和潜在威胁。
2. 风险监测和预警:移动支付平台应建立完善的风险监测和预警机制,实时监控交易行为和用户账户的异常情况。
通过使用先进的数据分析技术和人工智能算法,能够及时发现可疑交易和异常行为,并提前预警,以防止潜在的风险和损失。
3. 风险控制和应对:移动支付平台需要建立健全的风险控制和应对机制,及时采取措施来应对已经发生或即将发生的风险事件。
这包括冻结可疑账户、限制交易金额、加强身份验证等措施,以减少风险对用户的影响。
4. 风险溢出和转移:移动支付平台可以通过与第三方支付机构合作,将一部分风险溢出和转移给专业的风险管理机构。
这些机构拥有更丰富的经验和更强大的技术能力,可以帮助平台更好地管理和控制风险。
二、风险防范1. 用户身份验证:移动支付平台应采用多种身份验证方式,如密码、指纹识别、面部识别等,以确保用户的身份真实可靠。
同时,平台还应加强对用户身份信息的审核和验证,防止虚假身份的注册和使用。
2. 交易安全保障:移动支付平台应加强对交易环节的安全保障措施。
这包括加密传输技术的应用、安全支付通道的建立、交易过程中的实时监控等,以防止交易数据被窃取、篡改或伪造。
3. 防止欺诈行为:移动支付平台应建立完善的欺诈检测和防范机制,通过数据分析和行为模式识别等技术手段,及时发现和阻止欺诈行为。
同时,平台还应加强对商户的风险评估和监管,确保合法经营和交易的安全性。
移动支付的风险管理和风险防范
移动支付的风险管理和风险防范移动支付的风险管理和风险防范是指针对移动支付过程中可能出现的各种风险情况,采取相应的管理措施和预防措施,以保障用户的资金安全和交易安全。
移动支付作为一种便捷的支付方式,已经成为人们日常生活中不可或缺的一部分,但同时也面临着一些潜在的风险,如账户被盗、交易纠纷等。
因此,对于移动支付平台和用户而言,风险管理和风险防范显得尤为重要。
一、风险管理1. 安全技术措施:移动支付平台应采用先进的安全技术手段,如数据加密、身份验证、防火墙等,确保用户的个人信息和交易数据在传输和存储过程中得到有效保护。
同时,移动支付平台应定期对安全技术进行评估和更新,及时修补漏洞,提高系统的安全性。
2. 风险评估和监控:移动支付平台应建立完善的风险评估和监控机制,对用户的交易行为进行实时监控和分析,及时发现和预防潜在的风险。
通过使用风险评估模型和智能算法,识别异常交易和可疑活动,并及时采取相应的措施,如冻结账户、限制交易等。
3. 用户教育和意识提升:移动支付平台应加强对用户的教育和意识提升,提供相关的安全知识和操作指南,帮助用户正确使用移动支付工具,增强对风险的识别和防范能力。
平台可以通过推送安全提示、发布安全宣传资料等方式,提醒用户保护个人信息、设置强密码、定期更新软件等重要安全措施。
4. 信息保密和权限管理:移动支付平台应建立健全的信息保密和权限管理制度,确保用户的个人信息和交易数据得到严格保密。
平台应采取措施限制员工的数据访问权限,并建立相应的监控机制,防止内部人员滥用权限或泄露用户数据。
5. 与第三方合作风险管理:移动支付平台在与第三方进行合作时,应对合作方进行严格的风险评估和尽职调查,确保其具备良好的信誉和安全保障能力。
同时,建立明确的合作协议和风险分担机制,明确各方的责任和义务,减少合作风险的发生。
二、风险防范1. 多层次身份验证:移动支付平台应采用多层次的身份验证机制,如密码、指纹识别、人脸识别等,确保用户的身份信息得到有效验证。
移动支付的风险管理和风险防范
移动支付的风险管理和风险防范移动支付作为一种便捷的支付方式,已经在全球范围内得到广泛应用。
然而,随着移动支付的普及,也带来了一系列的风险和安全隐患。
为了保护用户的资金安全和个人信息,移动支付平台需要采取一系列的风险管理措施和风险防范措施。
本文将详细介绍移动支付的风险管理和风险防范措施。
一、风险管理1. 账户安全风险管理移动支付平台需要确保用户账户的安全,防止账户被盗用或遭受其他恶意攻击。
为此,平台可以采取以下措施:a. 强密码要求:要求用户设置强密码,并定期提示用户修改密码。
b. 双重认证:引入双重认证机制,例如短信验证码、指纹识别等,以确保用户的身份安全。
c. 风险评估:通过分析用户的消费习惯和交易行为,及时发现异常交易并采取相应措施。
2. 交易安全风险管理移动支付平台需要保障用户在交易过程中的安全性,防止交易被篡改或遭受欺诈。
以下是一些常见的交易安全风险管理措施:a. 加密技术:采用安全的加密技术,保护用户的交易信息不被恶意攻击者获取。
b. 实名认证:要求用户进行实名认证,确保交易的真实性和合法性。
c. 交易限额设置:根据用户的信用评估和交易历史,设置合理的交易限额,防止大额交易引发的风险。
3. 数据安全风险管理移动支付平台需要保护用户的个人信息和交易数据,防止数据泄露或被滥用。
以下是一些常见的数据安全风险管理措施:a. 数据加密:对用户的个人信息和交易数据进行加密存储和传输,确保数据的机密性和完整性。
b. 安全存储:采用安全的数据存储方案,保护用户数据不被非法获取或篡改。
c. 数据备份:定期对用户数据进行备份,以防止数据丢失或损坏。
二、风险防范1. 用户教育和宣传移动支付平台需要积极开展用户教育和宣传活动,提高用户的安全意识和防范意识。
以下是一些常见的用户教育和宣传措施:a. 安全提示:在移动支付应用中提供安全提示和操作指南,引导用户正确使用移动支付功能。
b. 安全知识普及:通过官方网站、社交媒体等渠道,向用户传递安全知识和防范技巧。
移动支付的风险与安全管理措施分析报告
移动支付的风险与安全管理措施分析报告移动支付作为一种便捷的支付方式,得到了越来越多人的青睐。
然而,与其便利性相伴随的是一系列的风险和安全隐患。
本文将对移动支付的风险进行分析,并提出相应的安全管理措施。
一、移动支付的风险分析1.1 技术风险移动支付的核心技术包括网络通信技术、数据加密技术和身份认证技术等。
技术风险主要包括网络攻击、数据泄露和恶意软件等。
网络攻击可能导致支付信息被窃取或篡改,数据泄露可能导致用户个人信息被泄露,恶意软件可能导致用户手机被远程控制。
1.2 交易风险移动支付的交易风险主要包括虚假交易、交易纠纷和支付失败等。
虚假交易指的是恶意用户冒用他人身份进行交易,交易纠纷可能由于商品质量问题或交易双方的纠纷而产生,支付失败可能由于网络故障或账户余额不足等原因。
1.3 法律风险移动支付涉及到多个法律法规,包括支付结算法、电子商务法和个人信息保护法等。
法律风险主要包括合规风险和合同纠纷。
合规风险指的是支付机构未按照相关法律法规要求进行运营,合同纠纷可能由于支付机构与用户之间的合同约定不明确或履行不到位而产生。
二、移动支付的安全管理措施2.1 技术安全管理措施为了应对技术风险,移动支付平台应采取以下安全管理措施:(1)加强网络安全防护,建立防火墙、入侵检测系统等技术手段,及时发现并阻止网络攻击。
(2)采用数据加密技术,对用户的支付信息进行加密存储和传输,确保支付信息的安全性。
(3)加强身份认证技术,采用多重身份认证方式,确保用户身份的真实性和可信度。
2.2 交易安全管理措施为了应对交易风险,移动支付平台应采取以下安全管理措施:(1)建立风险评估模型,对用户的交易行为进行实时监测和分析,及时发现异常交易。
(2)建立客服团队,及时处理用户的交易纠纷,保障用户的合法权益。
(3)建立支付失败处理机制,及时通知用户支付失败的原因,并提供解决方案。
2.3 法律安全管理措施为了应对法律风险,移动支付平台应采取以下安全管理措施:(1)建立合规管理制度,确保支付机构的合规运营,包括合规培训、合规审查等环节。
移动支付的风险管理和风险防范
移动支付的风险管理和风险防范引言概述:随着移动支付的普及,人们越来越依赖手机进行支付。
然而,移动支付的快捷和便利也带来了一些风险。
本文将探讨移动支付的风险管理和风险防范措施,以帮助用户更好地保护自己的财产安全。
一、移动支付的风险管理1.1 账户安全风险移动支付账户可能被黑客攻击或用户信息泄露,导致资金被盗。
为了管理这一风险,用户应该定期更改密码,使用强密码并启用双重身份验证。
同时,支付平台应加强账户安全措施,如使用加密技术和实时监控系统,及时发现和阻止异常交易。
1.2 技术漏洞风险移动支付系统可能存在技术漏洞,被黑客利用进行攻击。
为了管理这一风险,支付平台应定期进行安全漏洞扫描和渗透测试,及时修复漏洞。
用户也应保持移动设备的软件和应用程序更新,以防止已知漏洞被利用。
1.3 交易纠纷风险移动支付交易可能出现纠纷,如虚假交易、退款问题等。
为了管理这一风险,支付平台应建立完善的客户服务体系,及时处理用户投诉和纠纷。
用户也应仔细核对交易信息,保留交易凭证,及时与支付平台联系解决问题。
二、移动支付的风险防范措施2.1 多层次身份验证支付平台应采用多层次身份验证机制,如密码、指纹识别、面部识别等,以增加用户身份认证的难度,防止非法访问和交易。
2.2 实时监控和风险评估支付平台应实时监控用户交易行为,建立风险评估模型,及时发现和阻止可疑交易。
通过分析用户的消费习惯和交易模式,可以识别异常交易并采取相应措施。
2.3 安全教育与意识提高支付平台应定期开展安全教育活动,向用户普及移动支付的风险和防范知识。
用户也应提高安全意识,不轻易相信陌生人的请求,不随意下载不明来源的应用程序。
三、移动支付的风险应对策略3.1 及时通知和冻结账户支付平台应及时通知用户异常交易,并冻结相关账户,以防止进一步损失。
用户也应及时关注账户变动,如发现异常交易,应立即与支付平台联系。
3.2 保险保障支付平台可以与保险公司合作,为用户提供资金安全保障。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银联卡移动支付业务(智能卡模式)风险规则(试行)目录1 总则目的定义及业务场景适用范围主要业务术语智能卡移动终端支付应用软件可信服务管理(TSM)Upcard应用初始化和个人化应用管理终端2 发卡机构风险管理业务申请及开通开通卡种持卡人身份审核Upcard应用开通补充要求风险告知业务开通协议风险要求支付交易风险管理交易验证交易限额管理交易验证容错次数限制交易风险监控监控指标指标运用智能卡生命周期管理制卡及运输智能卡初始化智能卡金融信息加载与个人化智能卡配发智能卡挂失和解挂智能卡注销移动终端支付应用软件安全要求基本要求登录控制账户信息安全移动终端支付应用软件发布移动终端支付应用软件维护应用管理终端风险管理基本要求补充要求终端申领签署终端申领协议终端接入终端申领登记应用管理终端巡检与维护应用管理终端回收第三方服务机构风险管理资质要求合作协议必备风险条款要求缴纳风险保证金风险培训日常风险管理违规处理3 收单机构风险管理交易处理规范设置交易报文账户信息安全管理交易凭证对卡号屏蔽的要求商户风险管理禁入商户谨慎发展商户入网审查商户签约商户入网商户风险培训商户注册登记商户日常回访商户风险监控近场交易受理终端安全管理基本要求终端申领签署终端申领协议终端布放终端接入终端巡检与维护终端回收终端风险监控收单专业化服务机构风险管理资质准入风险审查签署协议风险培训日常监督管理收单专业化服务机构的风险监控违规处理业务终止4 风险事件报送及处置发卡机构风险报告及处理风险报告卡片账户处理协助案件调查优化风险监控措施收单机构风险报告及处理报告风险事件调查欺诈商户协助案件调查风险整改中国银联风险事件协查及处理发送风险提示组织开展案件调查督促风险整改5 风险责任划分基本原则风险责任划分6 附则1 总则目的为加强银联智能卡移动支付业务风险管理,保障银联智能卡移动支付业务持续健康发展,特制定本规则。
定义及业务场景本规则所指智能卡移动支付业务是指消费者通过移动终端(主要为手机)完成货币资金转移的支付方式。
根据交易发起方式,可分为移动近场支付和移动远程支付。
移动近场支付指通过支持近场通讯的实体受理终端(包括POS、ATM、自助终端等),在交易现场以联机或脱机方式接入收单网络完成货币资金转移的支付方式。
本规则中特指基于PBOC 规范的智能卡发起的移动近场支付。
移动远程支付指手机等移动终端,通过无线通信网络接入,直接与后台服务器进行交互,完成货币资金转移的支付方式。
适用范围本规则适用于接入银联网络开展智能卡移动支付业务的各参与方,包括银行卡发卡机构、收单机构、中国银联。
发卡机构、收单机构应通过与第三方专业化服务机构、特约商户之间的协议明确本规则规定的相关风险管理要求。
本规则适用于境内移动支付业务。
主要业务术语智能卡集成了安全芯片(安全运算和安全存储单元)的集成电路(IC)卡片,在智能卡移动支付中存储持卡人账户信息和各种支付应用。
智能卡包括SD卡、SIM卡、安全芯片内置的移动终端和外接设备等形式。
移动终端支付应用软件移动支付业务中,在移动终端上使用(通常为手机),实现金融支付功能的应用软件。
可信服务管理(TSM)即可信任的服务管理系统,在智能卡参与的移动支付场景中,TSM 系统负责智能卡多应用管理的业务、技术及安全。
Upcard应用即UnionPay card应用,将经安全加密后的磁条卡信息下载到智能卡并实现移动支付功能的应用。
初始化和个人化智能卡初始化是指向智能卡安装初始根密钥,并获取手机支付应用(PBOC或UPCARD)。
智能卡个人化是指初始化智能卡内的手机支付应用文件系统和密钥信息,收集用户的个人信息并写入智能卡。
应用管理终端智能卡移动支付Upcard应用中具备刷卡上送磁密信息功能,并对智能卡进行个人化和磁条卡信息下载的终端机具。
2 发卡机构风险管理业务申请及开通开通卡种发卡机构应仅限以个人标识代码(PIN)作为交易验证方式的银行卡(凭密交易银行卡)开通智能卡移动支付业务(除电子现金账户外)。
持卡人身份审核对于PBOC应用的借贷记帐户,发卡机构应根据自身发卡风险策略,认真审核持卡人身份及有效证件,如要求持卡人本人至发卡机构柜面申请办理,或落实其他“亲访亲签”要求。
对于Upcard应用,发卡机构应根据不同开通渠道分别验证以下要素:(1)通过发卡机构柜面办理的,应审核持卡人有效身份证件,并验证银行卡磁道信息和密码。
(2)通过第三方服务机构现场办理的,应审核持卡人有效身份证件,验证银行卡磁条信息、密码,并获得发卡机构对磁条卡信息下载操作的授权。
(3)持卡人通过刷卡自助终端办理的,发卡机构应验证银行卡磁道信息、密码和持卡人身份证号。
Upcard应用开通补充要求发卡机构或第三方服务机构在将银行卡磁条卡信息下载到智能卡时,必须在交易报文中明确标识该笔交易为磁条卡信息下载。
采用非柜面形式开通业务时,第三方服务机构及自助终端管理机构应就验证报文、磁条信息下载授权等报文的格式或内容事先取得发卡机构的认可。
发卡机构应限制同一磁条卡信息仅能下载至一张智能卡。
风险告知发卡机构应向持卡人进行业务风险告知,风险告知内容包括但不限于:(1)持卡人权利和义务;(2)开通智能卡移动支付业务可能存在的风险以及风险防范措施建议;(3)持卡人业务查询、投诉渠道和流程;(4)其他风险注意事项。
业务开通协议风险要求智能卡移动支付业务开通协议中需明确以下内容:(1)本机构与持卡人之间的权利、义务;(2)安全用卡提示及风险防范建议;(3)风险责任界定及承担原则;(4)挂失、解挂、换卡、注销等客户服务条款。
业务如有收费,必须在协议中明确收费标准,协议中没有明确收费标准的,计划开始收费前必须与客户重新签订协议。
支付交易风险管理交易验证发卡机构应在交易授权前首先验证卡片是否已开通移动支付业务功能。
未开通业务功能的,拒绝该笔交易请求。
发卡机构应验证联机交易上送的银行卡信息(磁条卡为银行卡磁道信息、芯片卡为ARQC)和交易密码。
验证不通过的,拒绝该笔交易。
对于芯片卡脱机交易,发卡机构应验证TC,验证不通过的,拒绝承兑该交易。
交易限额管理发卡机构应针对移动支付业务不同交易类型,分别设置相应交易限额、交易频率等要素的限制,并在每次交易时予以验证,验证不通过的,拒绝该笔交易。
交易验证容错次数限制(1)密码容错次数发卡机构根据监管部门及自身风险控制要求设置交易验证容错次数限制,对于超出容错次数的账号,发卡机构应及时冻结卡片,并提示持卡人联系发卡机构办理卡片解冻手续。
发卡机构验证持卡人有效身份后,方能重新开通卡片支付功能。
(2)其他要素容错次数发卡机构可比照交易密码容错次数,根据自身风险防范策略设置其他验证要素的容错次数及后续处理流程。
交易风险监控监控指标发卡机构应制定移动支付业务风险监控指标,密切跟踪各项监控指标的变动情况,发卡机构监控指标包括但不限于:(1)单笔交易金额;(2)单卡每日累计交易金额、交易次数;(3)单卡短时间内(如一个交易日内)余额不足、密码验证错误等原因被拒绝的交易次数;(4)交易与持卡人背景情况、过往消费特征等是否相符;(5)新业务开通后短时间内(如一个交易日)连续大额交易情况;(6)卡片连续多个交易日在特定商户类型发生交易的笔数和金额。
指标运用发卡机构发现持卡人触发风险监控指标时,应及时采取人工授权干预、拒绝交易授权、暂时冻结移动支付交易功能等风险处置措施。
智能卡生命周期管理制卡及运输发卡机构应在智能卡制卡环节落实以下要求:(1)使用符合《中国银联移动支付技术规范》,且经中国银联认证的智能卡。
(2)为每张智能卡分配初始根密钥,且密钥长度不得低于128位。
(3)为不同的智能卡设置不同的访问密码,访问密码应设置容错次数限制(建议为3-5次)。
对于密码验证错误达到容错次数的,应暂时冻结该张智能卡,并要求持卡人持有效身份证件至智能卡发放网点解锁。
(4)符合《银联卡业务运作规章》第五卷《风险控制与安全管理》和《中国银联移动支付产品认证规则》中的相关规定。
智能卡初始化发卡机构在初始化智能卡时应落实以下要求:(1)每张智能卡有唯一的硬件序列号。
(2)为每张卡片分配唯一一个智能卡主密钥,密钥长度至少128位,并在卡片个人化完成后用智能卡主密钥替换智能卡初始根密钥。
(3)为每张智能卡中的金融应用分配唯一一个应用密钥,加解密应使用双倍长密钥算法。
智能卡金融信息加载与个人化对于通过空中下载方式加载金融账户信息的,应落实以下要求:(1)建立端到端安全的金融账户信息传输通道。
(2)要求用户在身份验证时上送由智能卡硬件序列号,并在用户身份验证通过后,建立银行卡卡号与智能卡硬件序列号的定制关系。
(3)在用户发起金融账户信息下载请求时验证智能卡硬件序列号与卡号的定制关系。
验证不通过的,拒绝金融账户信息下载交易。
(4)金融账户信息下载完成后应进行完整性校验,校验通过后再进行数据的加载或者更新。
(5)金融账户信息下载完成后应清除暂存账户信息。
对于加载的金融账户信息为PBOC应用的,需符合《中国金融集成电路(IC)卡规范》;对于加载的金融账户信息为UPcard 磁条卡信息的,还需落实以下要求:(1)对于通过现场应用管理终端下载磁条卡信息的,应在用户申请下载磁条卡信息时要求用户刷卡上送磁道信息和密码,供发卡机构验证。
验证不通过的,拒绝后续业务流程。
(2)对于通过手机空中下载磁条卡信息的,应限制用户下载磁条卡信息有效时间(最多不超过60分钟)。
超时未下载,应及时清除智能卡标识代码与卡号所对应的磁条卡信息。
(3)对于上述现场下载和空中下载两种方式,均应使用双倍长密钥算法对磁条卡信息进行硬加密保护。
智能卡配发发卡机构应在用户开通业务并申领智能卡时审核用户有效身份证件,与用户签署申领协议,明确双方权责义务。
本阶段签署的申领协议与业务申请环节签署的智能卡移动支付业务开通协议为同一协议。
智能卡挂失和解挂发卡机构应向智能卡持卡人提供完善的挂失和解除挂失服务,并落实以下要求:(1)向持卡人提供7×24小时智能卡挂失服务;(2)验证持卡人身份真实性;(3)在接到持卡人挂失请求并验证持卡人身份后,立即冻结挂失智能卡(不包括电子现金账户);(4)要求持卡人亲至柜面解除智能卡挂失,并核查持卡人身份证件和智能卡有效性。
智能卡注销发卡机构应在用户申请销卡时,及时在系统中永久注销智能卡,并提醒用户通过有效措施销毁智能卡中所有数据信息。
移动终端支付应用软件安全要求基本要求发卡机构发布的移动终端支付应用软件应符合《中国银联移动支付技术规范》,并经中国银联认证。
登录控制移动终端支付应用软件必须符合以下登录控制要求:(1)强制要求用户登录并验证登录密码,且仅在用户登录成功后才能进行支付。