pos風(fēng)險控制方案

pos風(fēng)險控制方案1.1編寫目的為引導(dǎo)成員單位提高互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險防范意識，有效識別、防范互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險，愛護成員單位及消費者的合法權(quán)益，促進互聯(lián)網(wǎng)支付業(yè)務(wù)的健康進展，依照國家法律法規(guī)及相關(guān)規(guī)定，制定本指引。1.2適用范疇支付機構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)經(jīng)營活動中的風(fēng)險識別、防范及處置,應(yīng)遵循本指引。支付機構(gòu)是指依照中國人民銀行?非金融機構(gòu)支付服務(wù)治理方法?規(guī)定，取得?支付業(yè)務(wù)許可證?，獲準辦理互聯(lián)網(wǎng)支付業(yè)務(wù)的非金融機構(gòu)。互聯(lián)網(wǎng)支付業(yè)務(wù)是指客戶通過運算機等設(shè)備，依靠互聯(lián)網(wǎng)發(fā)起支付指令，實現(xiàn)貨幣資金轉(zhuǎn)移的行為。1.3差不多要求支付機構(gòu)開展互聯(lián)網(wǎng)支付業(yè)務(wù)活動時，應(yīng)遵循平等競爭、誠實守信、安全可靠、風(fēng)險可控的原那么。支付機構(gòu)應(yīng)建立與本機構(gòu)支付業(yè)務(wù)規(guī)模、模式相適應(yīng)的風(fēng)險防范治理體系。在業(yè)務(wù)開展過程中，應(yīng)依照風(fēng)險狀況不斷完善防范措施，有效防范用戶端與商戶端風(fēng)險。同時應(yīng)依照有關(guān)法律、法規(guī)和監(jiān)管部門規(guī)章、規(guī)范性文件的規(guī)定加強對資金和客戶信息安全的治理，嚴格履行反洗錢、反恐懼融資義務(wù)，規(guī)范外包業(yè)務(wù)治理，實現(xiàn)行業(yè)內(nèi)風(fēng)險信息共享，確保有效識別、評估、監(jiān)測、操縱和處置互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險。第二部分風(fēng)險治理體系2.1組織架構(gòu)支付機構(gòu)應(yīng)建立與本機構(gòu)支付業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度相適應(yīng)的風(fēng)險治理組織架構(gòu)，以有效識別、評估、監(jiān)測、操縱風(fēng)險。風(fēng)險治理組織架構(gòu)至少應(yīng)包括以下差不多要素：a.董事會及其職責；b.高級治理層及其職責；c.風(fēng)險治理部門及其職責；d.其它相關(guān)部門職責等。2.1.1董事會職責董事會對本機構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險的治理負最終責任，要緊職責包括：a.制定與本機構(gòu)戰(zhàn)略目標相一致且適用于本機構(gòu)的風(fēng)險治理戰(zhàn)略和總體政策；b.通過審批及檢查高級治理層的風(fēng)險治理職責、權(quán)限及報告制度，確保本機構(gòu)風(fēng)險治理決策體系的有效性，盡可能確保將本機構(gòu)各項業(yè)務(wù)面臨的風(fēng)險操縱在能夠承擔的范疇內(nèi)；c.定期批閱高級治理層提交的風(fēng)險報告，充分了解本機構(gòu)風(fēng)險治理的總體情形、高級治理層處理重大風(fēng)險事件的有效性以及監(jiān)控和評判日常風(fēng)險治理的有效性；d.確保高級治理層采取必要的措施有效地識別、評估、監(jiān)測和操縱風(fēng)險；e.批準內(nèi)部審計部門提交的風(fēng)險治理體系運行成效的審計報告，確保本機構(gòu)風(fēng)險治理體系同意內(nèi)審部門的有效審查與監(jiān)督；f.制定適當?shù)莫剳椭贫?，有效推動本機構(gòu)風(fēng)險治理體系的建立完善。g.風(fēng)險治理其他重大事項。未設(shè)董事會的支付機構(gòu)由執(zhí)行董事或高級治理層履行相關(guān)職責。2.1.2高級治理層職責高級治理層負責執(zhí)行董事會批準的風(fēng)險治理戰(zhàn)略及政策。要緊職責包括：a.在風(fēng)險的日常治理方面，對董事會負責；b.負責制定、定期審查和監(jiān)督執(zhí)行風(fēng)險治理的政策、程序和操作規(guī)程，并定期向董事會提交風(fēng)險總體情形的報告；c.批閱風(fēng)險治理職能部門提交的風(fēng)險治理報告，充分了解機構(gòu)風(fēng)險治理的總體情形，重大風(fēng)險事件處理機制及日常風(fēng)險監(jiān)控、評判的有效性；d.界定各部門風(fēng)險治理職責及風(fēng)險治理報告的路徑、頻率、內(nèi)容，督促各部門切實履行風(fēng)險治理職責，以確保風(fēng)險治理體系的正常運行；e.為風(fēng)險治理配備適當?shù)馁Y源，包括但不限于提供必要的經(jīng)費、設(shè)置必要的崗位、配備合格的人員、開展風(fēng)險治理培訓(xùn)等；f.及時對風(fēng)險治理體系進行檢查和修訂，以便有效地應(yīng)對因內(nèi)部程序、產(chǎn)品、業(yè)務(wù)活動、信息技術(shù)系統(tǒng)、職員及外部事件和其他因素發(fā)生變化造成的風(fēng)險缺失事件。高級治理人員，包括總經(jīng)理、副總經(jīng)理、財務(wù)負責人、技術(shù)負責人或?qū)嶋H履行上述職責的人員。2.1.3風(fēng)險治理部門職責支付機構(gòu)應(yīng)設(shè)立或指定專門部門負責風(fēng)險治理體系的建立和實施，及風(fēng)控措施的審批和執(zhí)行。專職部門應(yīng)直截了當對高級治理層負責并與其他部門保持相對獨立，以保證風(fēng)險治理的一致性和有效性。要緊職責包括：a.具體指導(dǎo)和和諧本機構(gòu)的風(fēng)險治理工作；b.擬定本機構(gòu)風(fēng)險治理制度、程序和操作規(guī)程，提交高級治理層審批；c.建立風(fēng)險識別、評估、監(jiān)測、操縱方法及報告程序，并組織實施；d.建立跨部門聯(lián)合工作機制，和諧、解決風(fēng)險治理工作中的重大問題，組織跨部門的應(yīng)急聯(lián)動機制和應(yīng)急預(yù)案的演練工作；e.定期檢查、分析相關(guān)部門風(fēng)險治理情形，確保風(fēng)險治理制度和措施得到有效落實；f.定期向高級治理層提交風(fēng)險治理報告；g.為各相關(guān)部門提供風(fēng)險治理培訓(xùn)，協(xié)助其履行風(fēng)險治理職責、提高風(fēng)險治理水平。2.1.4其他相關(guān)部門職責風(fēng)險治理相關(guān)部門包括：業(yè)務(wù)部門、信息科技部門、內(nèi)審部門、合規(guī)部門、客服部門等。上述部門依照職責分工對所負責的風(fēng)險治理工作負直截了當責任。要緊職責包括：a.執(zhí)行風(fēng)險治理的政策、程序和操作規(guī)程；b.依據(jù)本機構(gòu)風(fēng)險治理和內(nèi)部操縱的要求，制定本部門的業(yè)務(wù)制度、流程和應(yīng)急預(yù)案，確保與風(fēng)險治理總體政策的一致性；c.監(jiān)測重點風(fēng)險，定期向風(fēng)險治理職能部門通報本部門風(fēng)險治理的總體狀況，并及時報告風(fēng)險事件。內(nèi)審部門不直截了當負責或參與其他部門的風(fēng)險治理，但應(yīng)定期審計本機構(gòu)的風(fēng)險治理體系運作情形，監(jiān)督檢查風(fēng)險治理政策的執(zhí)行情形，對新出臺的風(fēng)險治理政策、程序和具體的操作規(guī)程進行獨立評估，并向董事會和高級治理層報告風(fēng)險治理體系運行成效的審計報告，跟蹤、督導(dǎo)審計發(fā)覺問題的整改工作。2.2風(fēng)險治理制度與內(nèi)部操縱支付機構(gòu)應(yīng)依據(jù)國家相關(guān)法律法規(guī)，按照審慎經(jīng)營的原那么，建立健全風(fēng)險治理制度和內(nèi)部操縱機制。2.2.1風(fēng)險治理制度支付機構(gòu)風(fēng)險治理制度應(yīng)滿足全面性、有效性原那么，包括但不限于以下方面：a.業(yè)務(wù)治理；b.用戶治理；c.商戶治理；d.資金安全治理；e.系統(tǒng)信息安全治理；f.反洗錢和反恐懼融資治理；g.風(fēng)險事件及應(yīng)急治理。2.2.2內(nèi)部操縱內(nèi)部操縱應(yīng)當表達全面、審慎、有效、獨立的原那么，要緊內(nèi)容包括：a.內(nèi)部操縱應(yīng)當貫穿本機構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)全過程和全部操作環(huán)節(jié)，覆蓋所有的部門和崗位，并由全體人員參與，所有決策或操作均應(yīng)有案可查。b.內(nèi)部操縱應(yīng)以防范風(fēng)險、審慎經(jīng)營為動身點，本機構(gòu)業(yè)務(wù)經(jīng)營治理中應(yīng)表達〝內(nèi)控優(yōu)先〞的要求。c.內(nèi)部操縱應(yīng)具有高度的權(quán)威性，任何人不得擁有不受內(nèi)部操縱約束的權(quán)力，內(nèi)部操縱存在的問題應(yīng)能夠得到及時反饋和糾正。d.內(nèi)部操縱的監(jiān)督、評判部門應(yīng)當獨立于內(nèi)部操縱的建設(shè)、執(zhí)行部門，并有直截了當向董事會、監(jiān)事會和高級治理層報告的渠道。支付機構(gòu)內(nèi)部操縱應(yīng)當包括以下要素：a.內(nèi)部操縱環(huán)境。b.風(fēng)險識別與評估。c.內(nèi)部操縱措施。d.信息交流與反饋。e.監(jiān)督評判與糾正。2.3風(fēng)險治理方法支付機構(gòu)應(yīng)按照風(fēng)險的類型和特點采納有效的、具有針對性的方法對風(fēng)險進行監(jiān)測、分析、評估和處置，對風(fēng)險事件進行分析、評估和報告。包括：制定有效的風(fēng)險防范措施，監(jiān)測關(guān)鍵風(fēng)險指標，測試和審查內(nèi)部操縱有效性，開展風(fēng)險評估，進行風(fēng)險報告，聘請外部中介機構(gòu)對風(fēng)險治理體系進行審計和評判等。支付機構(gòu)應(yīng)建立風(fēng)險預(yù)警機制，以降低風(fēng)險事件的發(fā)生頻率；及時采取有效操縱措施，減少風(fēng)險事件缺失；制定適當?shù)某绦驁蟾骘L(fēng)險狀況和重大風(fēng)險事件，重大風(fēng)險事件應(yīng)及時向董事會和高級治理層報告。2.4風(fēng)險治理系統(tǒng)支付機構(gòu)應(yīng)當建立完善風(fēng)險治理系統(tǒng)，以有效識別、評估、監(jiān)測、操縱和報告風(fēng)險。該系統(tǒng)應(yīng)記錄和儲備與風(fēng)險缺失相關(guān)的數(shù)據(jù)和風(fēng)險事件信息，支持風(fēng)險防范和操縱措施，監(jiān)測關(guān)鍵風(fēng)險指標，并可提供風(fēng)險報告的有關(guān)內(nèi)容。具備條件的支付機構(gòu)應(yīng)建立實時監(jiān)測系統(tǒng)，用以操縱交易風(fēng)險。業(yè)務(wù)類型復(fù)雜、經(jīng)營規(guī)模較大的支付機構(gòu)，應(yīng)建立功能更加全面的風(fēng)險治理系統(tǒng)，針對各項業(yè)務(wù)的風(fēng)險特點實施有效治理。第三部分用戶風(fēng)險及防范3.1用戶注冊審查3.1.1實名制要求支付機構(gòu)應(yīng)依照審慎原那么，實名開立用戶支付賬戶，對用戶身份信息的真實性負責，不得為用戶開立匿名、假名支付賬戶。支付機構(gòu)應(yīng)加強對用戶支付賬戶的治理，為同一用戶建立唯獨的用戶身份識別號，對該用戶開立的所有支付賬戶進行關(guān)聯(lián)、統(tǒng)一治理；對同一用戶在同一支付機構(gòu)開立多個支付賬戶的，應(yīng)采取有效措施確保支付賬戶為同名賬戶且多個支付賬戶中登記的用戶差不多身份信息一致。3.1.2用戶身份信息審核支付機構(gòu)在為用戶開立賬戶時，依照賬戶開立主體不同，分為個人支付賬戶和單位支付賬戶。個人用戶申請開立支付賬戶時，支付機構(gòu)應(yīng)登記其姓名、性別、國籍、職業(yè)、住址、聯(lián)系方式以及有效身份證件的種類、號碼和有效期限等身份信息，并對用戶姓名、性別、有效身份證件的種類和號碼等差不多身份信息的真實性進行有效審核。個人用戶存在以下情形的，支付機構(gòu)應(yīng)核對其有效身份證件，并留存有效身份證件的復(fù)印件或者影印件。a.個人用戶辦理單筆收付金額人民幣1萬元以上或者外幣等值1000美元以上支付業(yè)務(wù)的；b.個人用戶全部賬戶30天內(nèi)資金雙邊收付金額累計人民幣5萬元以上或外幣等值1萬美元以上的；c.個人用戶全部賬戶資金余額連續(xù)10天超過人民幣5000元或外幣等值1000美元的；d.通過取得網(wǎng)上金融產(chǎn)品銷售資質(zhì)的支付機構(gòu)買賣金融產(chǎn)品的；e.中國人民銀行規(guī)定的其他情形。單位用戶申請開立支付賬戶時，支付機構(gòu)應(yīng)登記以下差不多信息：a.單位名稱、地址、經(jīng)營范疇、稅務(wù)登記證號碼、組織機構(gòu)代碼〔按規(guī)定無須取得稅務(wù)登記證或無法取得組織機構(gòu)代碼證的除外〕；b.可證明該客戶依法設(shè)立或者依法開展經(jīng)營、社會活動的執(zhí)照、證件或者文件的名稱、號碼和有效期限；c.法定代表人〔負責人〕和授權(quán)辦理業(yè)務(wù)人員的姓名、有效身份證件的種類、號碼和有效期限。支付機構(gòu)應(yīng)核對單位及其法定代表人〔負責人〕和授權(quán)辦理業(yè)務(wù)人員的有效身份證件信息，并留存其復(fù)印件或者影印件。有效身份證件是指能夠證明用戶身份的相關(guān)證件。個人用戶的有效身份證件，包括：居住在境內(nèi)的中國公民，為居民身份證或者臨時居民身份證；居住在境內(nèi)的16周歲以下的中國公民，為戶口簿；中國人民解放軍軍人，為軍人身份證件或居民身份證；中國人民武裝警察，為武裝警察身份證件或居民身份證；香港、澳門居民，為港澳居民往來內(nèi)地通行證；臺灣居民，為臺灣居民來往大陸通行證或者其他有效旅行證件；外國公民，為護照；政府有權(quán)機關(guān)出具的能夠證明其真實身份的證明文件。法人和其他組織用戶的有效身份證件，是指政府有權(quán)機關(guān)頒發(fā)的能夠證明其合法真實身份的證件或文件，包括但不限于營業(yè)執(zhí)照、事業(yè)單位法人證書、稅務(wù)登記證、組織機構(gòu)代碼證。個體工商戶的有效身份證件，包括營業(yè)執(zhí)照、經(jīng)營者或授權(quán)經(jīng)辦人員的有效身份證件。支付機構(gòu)可通過與公安機關(guān)、工商機關(guān)及稅務(wù)機關(guān)等機構(gòu)的合作，對個人用戶及單位用戶差不多身份信息的真實性進行有效審核。3.1.3用戶申請資料儲存支付機構(gòu)應(yīng)加強對用戶身份信息等資料的治理與儲存，建立用戶身份信息資料的分類、保管、查閱和銷毀等治理制度，保證其妥善保管、有序存放、方便查閱，嚴防滅失、損毀和泄露。支付機構(gòu)不得以任何形式對外提供用戶身份信息等資料，法律法規(guī)另有規(guī)定或與用戶另有約定的除外。用戶身份信息等資料，應(yīng)當由支付機構(gòu)按照歸檔要求，以紙質(zhì)或電子方式妥善儲存，保管期限自業(yè)務(wù)關(guān)系終止當年至少儲存5年。紙質(zhì)資料應(yīng)整理立卷，裝訂成冊，編制會計檔案保管清冊，電子方式的資料應(yīng)進行備份，按照系統(tǒng)信息安全治理相關(guān)制度的要求妥善保管。關(guān)于司法部門正在調(diào)查的可疑交易或違法犯罪行為活動涉及用戶身份信息等資料，且相關(guān)調(diào)查工作在前款規(guī)定的最低儲存期屆滿時仍未終止的，支付機構(gòu)應(yīng)當將其儲存至相關(guān)調(diào)查工作終止。3.2用戶服務(wù)協(xié)議3.2.1服務(wù)協(xié)議差不多內(nèi)容支付機構(gòu)為用戶開立支付賬戶的，應(yīng)在用戶申請開立支付賬戶時簽訂服務(wù)協(xié)議。協(xié)議內(nèi)容包括但不限于：a.支付賬戶的開立、使用、掛失、止付和撤銷的條件；b.身份驗證和支付授權(quán)方式；c.用戶對支付機構(gòu)核驗其銀行賬戶信息和身份信息真實性的授權(quán)；d.支付賬戶使用規(guī)那么，以及違規(guī)使用的處置和責任；e.支付賬戶資金變動的通知方式；f.發(fā)覺支付賬戶被盜用后的通知、處置方式和責任劃分；g.用戶身份信息和交易信息的保密責任；h.支付機構(gòu)所提供的支付服務(wù)，包括具體的服務(wù)種類及產(chǎn)品功能等，及其支付服務(wù)的使用限制；i.交易風(fēng)險提示，包括提示用戶注意交易過程中可能存在的風(fēng)險及風(fēng)險發(fā)生后的相關(guān)處理措施；j.知識產(chǎn)權(quán)的愛護，說明支付機構(gòu)所享有的知識產(chǎn)權(quán)及相關(guān)侵權(quán)責任;k.業(yè)務(wù)爭議解決方式及免責條款；l.雙方的其他權(quán)益和義務(wù)。3.2.2風(fēng)險防范內(nèi)容支付機構(gòu)與用戶簽訂服務(wù)協(xié)議時，應(yīng)告知用戶可能存在的風(fēng)險及相關(guān)的本卷須知。協(xié)議的風(fēng)險條款應(yīng)包含但不限于以下內(nèi)容：a.支付機構(gòu)提供的各項支付服務(wù)中可能存在的風(fēng)險，以及用戶的本卷須知；b.用戶注冊支付賬戶時可能存在的風(fēng)險，如未及時更新身份資料可能引發(fā)的風(fēng)險等，以及用戶的本卷須知；c.用戶使用支付賬戶時，如賬號登錄、密碼設(shè)置、交易操作等，可能存在的風(fēng)險，以及用戶的本卷須知；d.用戶停止使用支付賬戶時可能存在的風(fēng)險，以及用戶的本卷須知；e.其他風(fēng)險防范內(nèi)容。3.2.3法律責任條款支付機構(gòu)與用戶簽訂服務(wù)協(xié)議時，應(yīng)明確與用戶之間的權(quán)益與義務(wù)，并對各自承擔的法律后果及法律責任進行約定。協(xié)議的法律責任條款應(yīng)包含但不限于以下內(nèi)容：a.注冊支付賬戶時，雙方所承擔的權(quán)益義務(wù)與責任；b.使用支付賬戶服務(wù)時，雙方所承擔的權(quán)益義務(wù)與責任；c.暫停、拒絕或終止支付賬戶服務(wù)時，雙方所承擔的權(quán)益義務(wù)與責任；d.支付系統(tǒng)服務(wù)中斷或故障時，雙方所承擔的權(quán)益義務(wù)與責任；e.用戶使用支付賬戶及交易過程中產(chǎn)生風(fēng)險缺失時，雙方所承擔的權(quán)益義務(wù)與責任；f.用戶隱私權(quán)的法律責任條款；g.支付機構(gòu)知識產(chǎn)權(quán)的法律責任條款；h.其他法律責任條款。3.2.4協(xié)議變更告知支付機構(gòu)擬變更支付服務(wù)協(xié)議格式條款、收費項目、收費標準等要緊內(nèi)容的，應(yīng)當在變更前30日告知用戶，并提示需要變更的內(nèi)容，未向用戶履行告知義務(wù)的，變更后的條款對該用戶不具有約束力。變更協(xié)議涉及新增收費項目、提高收費標準、降低優(yōu)待條件等不利于原客戶權(quán)益內(nèi)容的，未經(jīng)原用戶同意，仍應(yīng)當按照原協(xié)議執(zhí)行。3.3用戶交易身份認證3.3.1差不多要求為保證用戶身份信息及交易信息的安全，保證用戶支付指令的完整性、一致性和不可抵賴性，支付機構(gòu)應(yīng)為支付賬戶提供安全可靠的身份驗證和支付授權(quán)方式，并采取有效措施，在用戶發(fā)出支付指令前，提示用戶對支付指令的準確性進行確認。3.3.2技術(shù)手段支付機構(gòu)可通過密碼、令牌、動態(tài)口令、安全證書、手機校驗碼等技術(shù)手段對用戶交易身份進行認證，確保用戶的交易指令由用戶本人發(fā)出。支付機構(gòu)可依照用戶使用的不同身份認證方式設(shè)置支付限額，以愛護用戶的資金安全。用戶提交的身份認證信息經(jīng)多次驗證或在限定時刻內(nèi)仍未通過的，支付機構(gòu)應(yīng)暫停其部分或全部業(yè)務(wù)的處理，并以適當方式通知用戶。支付機構(gòu)應(yīng)連續(xù)更新交易身份認證技術(shù)手段，保證用戶交易安全。3.4用戶賬戶與交易監(jiān)控3.4.1差不多要求支付機構(gòu)應(yīng)建立賬戶與交易監(jiān)控系統(tǒng)，制定賬戶及交易安全監(jiān)控、風(fēng)險處置與報告制度，并指定專門部門、設(shè)置專職崗位或人員對用戶賬戶及交易安全進行監(jiān)控。3.4.2監(jiān)控范疇支付機構(gòu)應(yīng)當對用戶簽約、登錄、交易、付款、查詢、退款以及涉及賬戶變動的全過程實施7X24小時監(jiān)控，以及時發(fā)覺賬戶盜用、欺詐交易等風(fēng)險，保證用戶資金及信息安全。3.4.3監(jiān)控指標為強化對賬戶及交易的監(jiān)控成效，提升監(jiān)控效率，支付機構(gòu)應(yīng)對以下指標實施重點監(jiān)控：a.訂單信息，包括交易雙方名稱或賬號、商戶編號、交易內(nèi)容、交易金額、訂單編號、交易日期和時刻等；b.交易頻率；c.交易額度及限額；d.商戶交易集中度；e.其他。3.4.4專門交易識別、調(diào)查與處置專門交易是指用戶在辦理互聯(lián)網(wǎng)支付業(yè)務(wù)或支付機構(gòu)在提供互聯(lián)網(wǎng)支付服務(wù)過程中因自身或外來緣故產(chǎn)生的非正常交易。專門交易包含但不限于以下情形：a.用戶利用互聯(lián)網(wǎng)支付服務(wù)從事套現(xiàn)、詐騙、洗錢等違法犯罪活動而產(chǎn)生的非正常交易；b.不法分子通過采取惡意程序、網(wǎng)絡(luò)釣魚等欺詐手段，盜用用戶賬戶或銀行卡而產(chǎn)生的非正常交易；c.因支付業(yè)務(wù)系統(tǒng)及設(shè)施遭到自然或人為因素破壞，支付機構(gòu)無法準確、及時地傳送業(yè)務(wù)信息，或因網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪活動導(dǎo)致互聯(lián)網(wǎng)支付服務(wù)專門而產(chǎn)生的非正常交易。支付機構(gòu)應(yīng)在其網(wǎng)站上公布專門交易投訴渠道及調(diào)查處理流程，結(jié)合交易監(jiān)控系統(tǒng)及投訴信息，對專門交易進行比對分析，并啟動調(diào)查程序。支付機構(gòu)應(yīng)依照專門交易調(diào)查結(jié)果，采取暫停或連續(xù)交易、賬戶復(fù)原原狀、限制賬戶使用、凍結(jié)賬戶操作等措施。同時，依照專門交易種類、數(shù)量、后果及阻礙范疇依照相關(guān)規(guī)定向業(yè)務(wù)監(jiān)管部門進行報告。專門交易調(diào)查結(jié)果符合可疑交易報告標準的，支付機構(gòu)應(yīng)按相關(guān)要求向中國反洗錢監(jiān)測分析中心履行報告義務(wù)。支付機構(gòu)應(yīng)建立用戶黑名單數(shù)據(jù)庫，依據(jù)專門交易監(jiān)測和調(diào)查結(jié)果，將確認存在違法或嚴峻違規(guī)行為的用戶列入該名單，并終止連續(xù)向其提供互聯(lián)網(wǎng)支付服務(wù)。3.5用戶賬戶及交易信息安全3.5.1用戶信息安全治理支付機構(gòu)應(yīng)設(shè)立或指定專門部門負責用戶信息愛護工作，并與所有接觸用戶賬戶信息及交易數(shù)據(jù)等敏銳信息的職員簽署保密協(xié)議，明確職員需要承擔的保密責任以及職員離職時的脫密期。支付機構(gòu)應(yīng)嚴格操縱職員對用戶賬戶信息及交易數(shù)據(jù)等敏銳信息的訪問權(quán)限，訪問權(quán)限的分配應(yīng)遵循分級授權(quán)的原那么，訪問記錄應(yīng)當留存?zhèn)洳椋颐鈫蝹€職員對用戶賬戶信息及交易數(shù)據(jù)等敏銳信息的完全操縱。未經(jīng)用戶授權(quán)，支付機構(gòu)不得為任何單位或個人查詢用戶身份信息及交易信息資料，不得將用戶身份信息及交易信息向任何第三方提供，法律法規(guī)另有規(guī)定的除外。3.5.2信息變更治理支付機構(gòu)應(yīng)制定用戶信息變更操作制度及流程，用戶申請變更身份信息的，支付機構(gòu)應(yīng)在核有用戶身份后予以更新。在用戶業(yè)務(wù)關(guān)系存續(xù)期內(nèi)，支付機構(gòu)應(yīng)當及時提示用戶更新身份信息。關(guān)于有效身份證件將超過有效期的用戶，支付機構(gòu)應(yīng)當在失效前60天通知其及時更新，并予以有效核驗。單位用戶應(yīng)按相關(guān)規(guī)定留存其有效身份證件的復(fù)印件或者影印件；個人用戶存在3.1.2有關(guān)要求情形的，應(yīng)留存其有效身份證件的復(fù)印件或者影印件。關(guān)于有效身份證件已過有效期的用戶，支付機構(gòu)為其辦理首筆業(yè)務(wù)時，應(yīng)要求重新提供有效身份證件信息，并予以有效核驗。單位用戶應(yīng)按相關(guān)規(guī)定留存其有效身份證件的復(fù)印件或者影印件；個人用戶存在3.1.2有關(guān)要求情形的，應(yīng)留存其有效身份證件的復(fù)印件或者影印件。3.5.3賬戶掛失治理支付機構(gòu)應(yīng)當制定并公布用戶賬戶掛失操作制度及流程，用戶因密碼丟失或遺忘申請賬戶掛失的，支付機構(gòu)應(yīng)第一引導(dǎo)其通過自助或人工方式找回密碼；用戶因賬戶盜用等專門情形申請賬戶掛失的，支付機構(gòu)應(yīng)依照用戶申請，在核有用戶身份后對掛失賬戶進行限制賬戶使用、凍結(jié)賬戶操作等處理。3.6用戶安全教育服務(wù)3.6.1用戶安全提示支付機構(gòu)對用戶的安全提示應(yīng)覆蓋其使用互聯(lián)網(wǎng)支付產(chǎn)品完成支付活動的全過程和所有環(huán)節(jié)，提示用戶注意賬戶、銀行卡使用及個人信息安全，并提供相應(yīng)的安全防范措施。支付機構(gòu)還應(yīng)當以適當?shù)姆绞剑ǖ幌抻诠?、郵件、短信、站內(nèi)信等向用戶提示當前要緊支付安全風(fēng)險。3.6.2日常安全教育支付機構(gòu)應(yīng)當建立用戶日常安全教育制度及流程，設(shè)立專門客服渠道解答用戶安全問題，在網(wǎng)站頁面應(yīng)當設(shè)置安全教育板塊。支付機構(gòu)在設(shè)計相關(guān)產(chǎn)品時應(yīng)包含對用戶進行安全提示或安全教育的內(nèi)容，培養(yǎng)用戶良好的支付安全適應(yīng)。支付機構(gòu)可定期或不定期開展互聯(lián)網(wǎng)支付安全宣傳培訓(xùn)活動，對用戶進行安全教育。3.7業(yè)務(wù)投訴、差錯及爭議治理支付機構(gòu)應(yīng)當建立業(yè)務(wù)爭議、投訴處理機制，在網(wǎng)站公布爭議受理渠道及流程，成立或指定經(jīng)專業(yè)培訓(xùn)的爭議、投訴處理部門，設(shè)置專崗，提供至少5x8小時的服務(wù)。支付機構(gòu)應(yīng)在5個工作日內(nèi)處理相關(guān)爭議或投訴，并及時將處理結(jié)果告知用戶。第四部分商戶風(fēng)險及防范4.1商戶拓展4.1.1禁止進展的商戶a.非法設(shè)立的經(jīng)營組織；b.專門行業(yè)商戶，包括本國法律禁止的賭博及博彩類、色情服務(wù)類、出售違禁藥品、毒品、黃色出版物、軍火彈藥等以及其他與本國法律、法規(guī)相抵觸的商戶；c.以返利為名招徠客戶實現(xiàn)傳銷或非法集資目的的商戶或經(jīng)營組織。4.1.2慎重進展的商戶a.虛擬商品銷售〔包括充值卡、游戲點卡〕等易發(fā)生套現(xiàn)、偽冒交易的商戶；b.提供中介咨詢服務(wù)類商戶；c.同意用戶預(yù)付款的商戶；d.以個人賬戶作為結(jié)算賬戶、注冊資本低或成立時刻短、無實體店面的商戶；e.注冊地或經(jīng)營場所在境外的商戶；f.代購類商戶；g.從事民間融資、貸款等類型業(yè)務(wù)的商戶;h.商戶或其法定代表人、負責人已被列入中國人民銀行指定的不良信息系統(tǒng)的商戶。4.2商戶資質(zhì)審核4.2.1差不多要求支付機構(gòu)應(yīng)對商戶的差不多信息、資信記錄、經(jīng)營狀況等進行全面審核與調(diào)查，以核實商戶差不多信息的真實性，并判定其是否滿足商戶準入的差不多條件。商戶資質(zhì)審核應(yīng)由專人負責，不得與商戶拓展等崗位兼崗，審核渠道包括但不限于調(diào)查、現(xiàn)場調(diào)查和間接調(diào)查等。4.2.2審核內(nèi)容支付機構(gòu)與商戶簽約前，為防范風(fēng)險可對以下內(nèi)容進行a.營業(yè)執(zhí)照、稅務(wù)登記證、組織機構(gòu)代碼證，法人代表或商戶負責人身份證等；b.商戶網(wǎng)站域名是否能夠正常訪問，網(wǎng)站信息是否定時更新；c.是否取得ICP證或有ICP備案；d.系統(tǒng)數(shù)據(jù)安全和人員配置是否有保證，業(yè)務(wù)制度體系是否完備；e.商戶提供的商品及服務(wù)內(nèi)容是否合法合規(guī)；f.服務(wù)條款、客戶隱私聲明、安全治理聲明是否完整,有關(guān)退貨、退款、送貨和交易取消政策是否齊全;g.客戶服務(wù)體系是否健全；h.網(wǎng)站內(nèi)容。對平臺類商戶應(yīng)增加以下審核內(nèi)容：a.二級商戶實名制落實情形；b.平臺類商戶的信用評判體系和風(fēng)險操縱措施；c.平臺類商戶對二級商戶交易信息上送和保管能力。4.2.3風(fēng)險評級與分類治理支付機構(gòu)在審核商戶差不多情形的基礎(chǔ)上，應(yīng)對其進行風(fēng)險等級劃分。通過對商戶的信用風(fēng)險、欺詐風(fēng)險和合規(guī)風(fēng)險等各項差不多要素進行評分，形成反映商戶整體風(fēng)險水平的評判分值，作為與商戶簽約的決策依據(jù)，并依照分值不同對商戶采取差異化的風(fēng)險治理措施。對風(fēng)險等級較高的商戶，應(yīng)采取的交易風(fēng)險治理措施包括但不限于：設(shè)置商戶單筆或當日交易限額、交易監(jiān)測、物流審查、現(xiàn)場檢查、繳存風(fēng)險預(yù)備金、延遲清算等。商戶簽約后，支付機構(gòu)應(yīng)結(jié)合商戶的日常交易行為和風(fēng)險治理狀況，動態(tài)調(diào)整商戶風(fēng)險等級和相關(guān)治理措施。4.2.4未通過審批商戶的記錄關(guān)于未能通過審批的商戶，支付機構(gòu)應(yīng)建立內(nèi)部的登記留存制度，對商戶差不多信息和拒絕緣故進行詳細記錄，并及時進行更新匯總，為后續(xù)新商戶的審批查詢提供參考，防止不良商戶多次提交欺詐申請。4.2.5申請資料儲存治理支付機構(gòu)應(yīng)妥善儲存以下資料的影印件或掃描件備查：a.商戶營業(yè)執(zhí)照b.稅務(wù)登記證c.組織機構(gòu)代碼證d.法定代表人或商戶負責人有效身份證件e.商戶ICP證f.商戶信息調(diào)查表g.商戶受理協(xié)議書h.對商戶日常風(fēng)險治理的相關(guān)表格，如商戶日常檢查表、?特約商戶風(fēng)險治理自查問卷?等。支付機構(gòu)與商戶解約時，從協(xié)議終止日起，商戶相關(guān)資料至少應(yīng)儲存五年以上。4.3服務(wù)協(xié)議4.3.1差不多要求支付機構(gòu)應(yīng)與商戶簽訂標準的受理協(xié)議書，明確雙方權(quán)益與義務(wù)。4.3.2風(fēng)險防范條款支付機構(gòu)在與商戶簽訂的協(xié)議文本中，應(yīng)明確包含以下風(fēng)險條款：禁止性規(guī)定：a.商戶不得將相關(guān)網(wǎng)關(guān)接口、標識等用于受理協(xié)議許可范疇以外的用途，也不得供受理協(xié)議許可范疇以外的第三方進行交易的使用。關(guān)于違反該條款的，支付機構(gòu)保留向商戶追索缺失及要求額外罰款的權(quán)益。b.未經(jīng)支付機構(gòu)書面承諾，商戶不得將受理業(yè)務(wù)托付或轉(zhuǎn)讓給第三方。經(jīng)營義務(wù)：a.商戶應(yīng)對所提供資料的真實性負責，保證其經(jīng)營活動和范疇的合法性；b.信息資料、業(yè)務(wù)狀況或商戶差不多情形發(fā)生變更時，商戶應(yīng)及時通知支付機構(gòu)：i.信息資料變更包括：商戶注冊信息、服務(wù)器及網(wǎng)站地址〔URL及IP〕、網(wǎng)站名稱、聯(lián)系方式、開戶銀行及收款賬戶等發(fā)生變更；ii.業(yè)務(wù)狀況變更包括：經(jīng)營變化〔如中斷或終止〕、商品和服務(wù)以及提供方式〔如主營業(yè)務(wù)范疇，送、退貨方式〕等發(fā)生變更；iii.商戶差不多情形變更包括：商戶資本及所有權(quán)變更〔如注冊資本的增減、重大的債務(wù)變化〕。c.商戶需確保有關(guān)商品和服務(wù)描述完整，有關(guān)退貨、退款、送貨和交易取消政策齊全，有關(guān)客戶服務(wù)體系健全。d.商戶要妥善、及時處理互聯(lián)網(wǎng)支付業(yè)務(wù)產(chǎn)生的差錯和爭議，愛護消費者合法權(quán)益。e.商戶應(yīng)加強對相關(guān)網(wǎng)站、支付設(shè)備及軟件的日常愛護和治理，保證系統(tǒng)的安全穩(wěn)固性，并遵守國家有關(guān)互聯(lián)網(wǎng)支付安全的法律法規(guī)規(guī)定，確保交易以及賬戶信息的安全，否那么支付機構(gòu)有權(quán)限定商戶的支付金額或中止合作，并要求商戶承擔相應(yīng)的違約責任。f.商戶存在篡改交易數(shù)據(jù)、未按要求上送交易驗證信息、為洗錢、套現(xiàn)提供便利等違規(guī)操作，應(yīng)承擔相應(yīng)責任。g.在發(fā)生欺詐交易后，商戶應(yīng)履行配合相關(guān)機構(gòu)進行風(fēng)險事件協(xié)查的義務(wù)，包括但不限于提供商戶或二級商戶簽約時留存的差不多信息、支付交易信息、客戶信用記錄、持卡人差不多信息等。h.平臺類商戶應(yīng)配備相應(yīng)的系統(tǒng)、人員和完善的制度，對其二級商戶的交易實施有效識別、追溯及在必要時暫停業(yè)務(wù)的治理。同時，須承擔因二級商戶進展和治理不善造成的風(fēng)險缺失，下設(shè)的二級商戶不得再進展下一級商戶。i.交易訂單儲存條款。商戶應(yīng)對交易訂單儲存至少1年。因儲存不當或遺失訂單而造成的經(jīng)濟缺失由商戶承擔。保密條款：a.商戶不得儲備除差不多的交易信息以外的其它數(shù)據(jù)〔如網(wǎng)上支付密碼、卡片有效期、CVN2等〕。b.除了交易需要或法律要求，商戶不得將賬戶及交易數(shù)據(jù)信息披露給第三方。c.商戶必須將包含賬戶及交易數(shù)據(jù)信息的所有載體儲存在安全區(qū)域，并確保只有被授權(quán)人員才能接觸；包含賬戶及交易數(shù)據(jù)信息的所有載體在失效后應(yīng)趕忙銷毀，不得留存。d.業(yè)務(wù)處理流程應(yīng)當確保信息安全。風(fēng)險操縱措施條款：a.經(jīng)風(fēng)險狀況評估確認為高風(fēng)險商戶的，支付機構(gòu)有權(quán)調(diào)整商戶交易款結(jié)算時限和方式。假設(shè)商戶違反協(xié)議，或從事欺詐交易的，支付機構(gòu)可延遲對商戶款項的結(jié)算。b.依照商戶風(fēng)險屬性或風(fēng)險評級，支付機構(gòu)可要求商戶繳納一定額度的保證金，用于對商戶違約造成的缺失進行賠付。c.因商戶違規(guī)操作、顯現(xiàn)風(fēng)險事件、違反協(xié)議規(guī)定等情形，支付機構(gòu)可趕忙終止商戶服務(wù)協(xié)議。d.調(diào)查商戶疑似欺詐交易期間，支付機構(gòu)可臨時扣留有關(guān)交易的結(jié)算資金，并須及時告知商戶。e.商戶顯現(xiàn)以下情形且經(jīng)通知、協(xié)商未做出改進的，支付機構(gòu)有權(quán)終止對該商戶的服務(wù)：i.在正式運行3個月內(nèi)無交易；ii.因商品質(zhì)量、配送問題而遭客戶多次投訴；iii.商戶因經(jīng)營不善，已破產(chǎn)或停業(yè)的；iv.被監(jiān)管機構(gòu)和司法機關(guān)認定為需要關(guān)閉的；v.違反保密義務(wù)的；vi.有其他嚴峻阻礙雙方合作行為的。其他條款：a.商戶風(fēng)險信息使用條款。在正常業(yè)務(wù)范疇內(nèi)，商戶同意支付機構(gòu)使用其風(fēng)險信息〔包含但不限于商戶差不多信息、商戶經(jīng)營及其風(fēng)險情形等〕。b.交易查詢及追索規(guī)定。協(xié)議終止后，支付機構(gòu)對協(xié)議終止前的交易仍有查詢及追索權(quán)。c.支付機構(gòu)的債權(quán)保證。在商戶宣布破產(chǎn)時，應(yīng)保證支付機構(gòu)的債權(quán)人地位。4.4商戶日常治理與監(jiān)控4.4.1商戶日常風(fēng)險教育支付機構(gòu)與商戶建立業(yè)務(wù)關(guān)系前，應(yīng)對商戶進行至少一次包括風(fēng)險防范要求及技能的培訓(xùn)。業(yè)務(wù)存續(xù)期間內(nèi)，支付機構(gòu)應(yīng)依照業(yè)務(wù)進展和風(fēng)險操縱需要，對商戶進行定期或不定期的培訓(xùn)，可采納現(xiàn)場或遠程方式，原那么上一年內(nèi)不得少于一次，并保留培訓(xùn)記錄，以備查核。4.4.2商戶風(fēng)險檢查與治理支付機構(gòu)應(yīng)依照業(yè)務(wù)進展和風(fēng)險操縱的需要，定期對商戶風(fēng)險情形進行檢查，并保留回訪和培訓(xùn)的記錄。檢查的方式能夠采納商戶自查、支付機構(gòu)檢查以及托付專門機構(gòu)代查相結(jié)合的方式，檢查內(nèi)容包括業(yè)務(wù)檢查及技術(shù)安全檢查。發(fā)覺專門或違規(guī)情形，應(yīng)要求商戶及時整改并提出有效的風(fēng)險防范措施，必要時按照相關(guān)規(guī)定及時中止與商戶的協(xié)議。支付機構(gòu)應(yīng)采取必要的技術(shù)手段保證商戶賬戶資金安全，具體手段包括但不限于：Usbkey、Token、數(shù)字證書、手機短信驗證碼等。支付機構(gòu)應(yīng)以或網(wǎng)絡(luò)方式為商戶提供業(yè)務(wù)及風(fēng)險咨詢服務(wù)，并明確告知商戶。4.4.3日常交易監(jiān)控支付機構(gòu)應(yīng)建立對互聯(lián)網(wǎng)支付業(yè)務(wù)的交易監(jiān)控機制，配備專門人員，對商戶日常交易進行監(jiān)控，并對可疑交易進行調(diào)查處理。依靠風(fēng)險治理系統(tǒng)，運用信息化手段來加強商戶的風(fēng)險監(jiān)控和治理。支付機構(gòu)應(yīng)依照自身風(fēng)險策略，在風(fēng)險治理系統(tǒng)中對互聯(lián)網(wǎng)支付業(yè)務(wù)設(shè)置相應(yīng)的商戶風(fēng)險監(jiān)控指標。支付機構(gòu)可依照商戶的風(fēng)險等級，建立動態(tài)的商戶交易限額操縱機制，細化針對不同類型商戶的交易限額標準。4.4.4交易信息上送及保管支付機構(gòu)應(yīng)要求商戶上送完整的交易信息，確保支付機構(gòu)儲存詳細的交易記錄數(shù)據(jù)，應(yīng)包括如下信息：a.交易發(fā)起方IP地址；b.商品或服務(wù)內(nèi)容描述、物流配送信息；c.二級商戶名稱、商戶服務(wù)類別碼等。支付機構(gòu)應(yīng)對上送交易數(shù)據(jù)至少儲存五年，以便追溯。4.4.5商戶調(diào)查與處置日常交易監(jiān)控與商戶檢查中，發(fā)覺商戶存在違規(guī)跡象時,支付機構(gòu)應(yīng)趕忙進行調(diào)查。調(diào)查疑似套現(xiàn)等商戶欺詐時，應(yīng)綜合采取如下措施進行處理，以及時發(fā)覺風(fēng)險，阻止商戶欺詐行為，幸免更大缺失：a.向商戶索取單據(jù)及相關(guān)憑證；b.向銀行等有關(guān)機構(gòu)證實交易；c.臨時扣留結(jié)算資金；d.前往商戶實施現(xiàn)場調(diào)查；e.對有嫌疑商戶實施后續(xù)監(jiān)控和調(diào)查。當確認商戶存在違法、違規(guī)、欺詐行為且情節(jié)嚴峻，或?qū)ι虘舨扇【妗⒄?、暫停交易等處罰措施無效的，應(yīng)趕忙終止商戶協(xié)議、及時清退,并于協(xié)議終止后十個工作日內(nèi)，將商戶信息錄入人民銀行指定的不良信息系統(tǒng)。支付機構(gòu)應(yīng)積極協(xié)助公安司法機關(guān)、相關(guān)主管單位及合作銀行對商戶違規(guī)違法事件進行調(diào)查，配合采取相應(yīng)措施。4.5商戶風(fēng)險類型及防范4.5.1信息泄露風(fēng)險描述商戶違反保密條款，違規(guī)儲存或?qū)⒔灰字胁杉你y行賬戶信息、支付賬戶信息和交易數(shù)據(jù)等信息，泄露給無關(guān)第三方，被泄露的信息具體包括:銀行賬戶信息：涉及銀行卡號、有效期、CVN2、與支付相關(guān)的各類密碼等；涉及持卡人姓名、身份證號、聯(lián)系方式、其他證件號碼等身份信息；支付賬戶信息：涉及支付賬戶用戶、密碼和聯(lián)系方式等；交易數(shù)據(jù)信息：涉及交易金額、交易商品等。防范手段在合作協(xié)議中明確支付機構(gòu)與商戶的責任與義務(wù)。要求商戶遵循本指引的信息安全治理要求，切實了解商戶關(guān)于信息泄露等風(fēng)險的防范措施，加強對商戶相關(guān)人員的風(fēng)險培訓(xùn)與日常治理。采納各類安全支付手段，防止信息泄露，提升支付的安全性。4.5.2套現(xiàn)風(fēng)險描述商戶與消費者或其他第三方勾結(jié)，或商戶自身開立買賣雙方的賬戶，進行無商品交付的虛假交易以此套取現(xiàn)金的行為。防范手段嚴格執(zhí)行實名審核制度，充分利用聯(lián)網(wǎng)核查身份信息系統(tǒng)、公安部戶籍查詢系統(tǒng)，并多方了解特約商戶的經(jīng)營背景、營業(yè)場所、經(jīng)營范疇、財務(wù)狀況等信息。在商戶入網(wǎng)協(xié)議中明確商戶有防范套現(xiàn)風(fēng)險的義務(wù)，一旦發(fā)生套現(xiàn)行為，應(yīng)采取暫停該商戶交易或關(guān)閉商戶等措施，并由商戶承擔可能顯現(xiàn)的缺失；在商戶協(xié)議中，明確規(guī)范退貨渠道，不得進行現(xiàn)金退貨或采納預(yù)付費卡等易引發(fā)套現(xiàn)的形式退返現(xiàn)金；將疑似有套現(xiàn)嫌疑的商戶負責人信息、營業(yè)執(zhí)照等相關(guān)證件信息加入黑名單或灰名單，作為入網(wǎng)審核時的參考依據(jù)。按照商戶服務(wù)類型制定單筆、當日累計交易限額，并依照互聯(lián)網(wǎng)欺詐形勢對限額進行動態(tài)調(diào)整。建立商戶交易監(jiān)控機制，針對套現(xiàn)商戶交易特點制定相應(yīng)的偵測規(guī)那么。4.5.3惡意倒閉風(fēng)險描述以欺詐為目的，發(fā)生商戶負責人卷款潛逃、商戶倒閉等風(fēng)險事件，引發(fā)繳納預(yù)付款的用戶投訴，給支付機構(gòu)帶來退款缺失的情形。防范手段為商戶提供互聯(lián)網(wǎng)支付服務(wù)前應(yīng)第一查詢?nèi)嗣胥y行指定的不良信息系統(tǒng)，防止惡意倒閉商戶在被某一支付機構(gòu)發(fā)覺后轉(zhuǎn)移重復(fù)申請；對易發(fā)生惡意倒閉商戶要求其繳納風(fēng)險保證金，并采取延遲結(jié)算的措施。加強交易監(jiān)控，及時發(fā)覺有惡意倒閉嫌疑的商戶，并采取風(fēng)險操縱措施。4.5.4非法頁面信息風(fēng)險描述商戶在其網(wǎng)站頁面公布或登載諸如提供套現(xiàn)、賭博服務(wù)等信息招徠客戶，通過互聯(lián)網(wǎng)從事違法違規(guī)交易，給支付機構(gòu)帶來缺失。防范手段支付機構(gòu)應(yīng)加強對簽約商戶的日常檢查，運用〝網(wǎng)絡(luò)爬蟲〞等相關(guān)技術(shù)，對商戶的網(wǎng)站內(nèi)容進行掃描，掃描頻率不得低于每周一次。在掃描中通過對敏銳字段的過濾，篩查出公布違規(guī)信息的商戶，并依照商戶日常治理要求進行調(diào)查處置，對存在違規(guī)經(jīng)營的商戶應(yīng)依照情節(jié)輕重采取口頭警告、臨時關(guān)閉、錄入黑名單、清退等手段進行處置。對平臺類商戶，應(yīng)要求其對下轄二級商戶采取同樣的風(fēng)險管控措施，要求其將所轄商戶頁面內(nèi)容定期進行檢查，并向支付機構(gòu)反饋檢查結(jié)果。4.5.5網(wǎng)絡(luò)釣魚風(fēng)險描述網(wǎng)絡(luò)釣魚指不法分子利用公共網(wǎng)絡(luò)環(huán)境的漏洞，通過偽造交易鏈接將客戶引導(dǎo)到虛假的支付頁面；或向客戶支付交易終端植入木馬病毒等惡意程序，誘使客戶將交易訂單款項支付至指定賬戶或盜用其賬戶資金。防范手段加強對互聯(lián)網(wǎng)支付用戶安全意識的教育，提示常用的欺詐手段，并在交易過程中提示客戶注意不明鏈接及文件的接收，如發(fā)覺專門情形應(yīng)及時與銀行或支付機構(gòu)聯(lián)系；要求商戶注意交易環(huán)境的安全愛護，防止網(wǎng)站被攻擊或惡意利用，在網(wǎng)站安裝安全控件、殺毒軟件，并定期對虛假鏈接進行安全掃描。在客戶支付訂單之前，及時向客戶發(fā)起訂單確認，確認信息包括但不限于：發(fā)起人、發(fā)起時刻、收款人、支付金額、商戶名稱、購買商品類型等；對虛擬充值、游戲通訊類商戶設(shè)置專門的單日、單筆交易限額；針對商戶被釣魚網(wǎng)站利用引發(fā)的訂單替換，可在站內(nèi)及站間采納具備防釣魚功能的技術(shù)接口進行防范。加強交易監(jiān)控，關(guān)注短時刻內(nèi)發(fā)起訂單和訂單支付不在同一終端的連續(xù)多筆交易、發(fā)起訂單和訂單支付時刻間隔過長、同一終端短時刻內(nèi)連續(xù)發(fā)起多筆訂單等專門交易行為。4.5.6其他欺詐除上述要緊風(fēng)險類型以外，商戶存在經(jīng)營情形與注冊信息不符,從事違反國家法律、法規(guī)和政策規(guī)定的業(yè)務(wù)〔如賭博或者其他非法活動〕等，給支付機構(gòu)和客戶造成缺失的情形。支付機構(gòu)應(yīng)通過加強交易監(jiān)控、加大商戶檢查力度或嚴格商戶協(xié)議約定等方式約束商戶違法違規(guī)行為。第五部分資金安全治理支付機構(gòu)應(yīng)嚴格按照業(yè)務(wù)監(jiān)管部門相關(guān)支付結(jié)算治理制度和規(guī)定,依據(jù)與客戶簽訂的服務(wù)協(xié)議，辦理資金的結(jié)算業(yè)務(wù),確?？蛻糍Y金及時、準確劃轉(zhuǎn)及核算。支付機構(gòu)應(yīng)遵循?支付機構(gòu)客戶備付金存管暫行方法?相關(guān)規(guī)定，確定備付金存管銀行，簽訂備付金存管協(xié)議，加強備付金治理，保證客戶備付金資金安全。5.1備付金銀行賬戶5.1.1賬戶的開立和撤銷支付機構(gòu)應(yīng)設(shè)立或指定資金結(jié)算部門，或?qū)嶋H履行資金結(jié)算職能的部門負批判付金銀行賬戶的開立、變更、撤銷，網(wǎng)上銀行等功能的開通、變更、關(guān)閉以及相應(yīng)操作權(quán)限的配置治理工作。支付機構(gòu)對備付金銀行賬戶的開立、使用情形、賬戶權(quán)限建立審核和監(jiān)督機制，對賬戶密碼泄露、賬戶盜用以及越級操作等專門情形應(yīng)及時通報風(fēng)險治理部門并采取相應(yīng)處理措施。支付機構(gòu)開立備付金銀行賬戶時，資金結(jié)算部門應(yīng)對擬開立的備付金銀行賬戶名稱、性質(zhì)以及數(shù)量的合規(guī)性進行審核，并及時與開戶行核實賬戶開立信息。備付金銀行賬戶撤銷前，資金結(jié)算部門應(yīng)核實以下事項：a.待銷賬戶已無任何交易、退款等業(yè)務(wù)發(fā)生，無結(jié)余資金；b.賬戶內(nèi)存在余額的，已將余額劃轉(zhuǎn)至承接賬戶。承接賬戶應(yīng)符合?支付機構(gòu)客戶備付金存管暫行方法?要求；c.已有確定的方法或途徑保證該賬戶銷戶后可不能阻礙原支付訂單的退款。備付金銀行賬戶開立或銷戶后，資金結(jié)算部門應(yīng)確保將開戶或銷戶信息及時通知財務(wù)等相關(guān)部門。開戶信息包括賬戶名稱、開戶行、賬號、開戶日期、賬戶性質(zhì)〔匯繳賬戶、收付賬戶〕等。銷戶信息包括賬戶名稱、開戶行、賬號、銷戶日期等。5.1.2網(wǎng)銀安全治理開通備付金銀行賬戶網(wǎng)銀功能時，資金結(jié)算部門應(yīng)及時設(shè)置、登記并轉(zhuǎn)交網(wǎng)銀USBKey數(shù)字證書治理、使用權(quán)限。關(guān)閉網(wǎng)銀功能時，應(yīng)收回該賬戶的網(wǎng)銀USBKey數(shù)字證書，并及時登記、統(tǒng)一保管。資金結(jié)算部門應(yīng)按照逐級授權(quán)、職責分離的原那么設(shè)置、修改、取消網(wǎng)銀操作權(quán)限。網(wǎng)銀權(quán)限名單應(yīng)定期清理，確保授權(quán)合理。網(wǎng)銀證書應(yīng)按照分級授權(quán)由專人保管，不得帶離操作崗位。營業(yè)終了，應(yīng)將操作證書放入保險柜保管，并做好出入記錄。網(wǎng)銀密碼應(yīng)定期更換，當有密碼使用者離職或者換崗后，應(yīng)趕忙更換密碼;資金結(jié)算部門應(yīng)不定期檢查網(wǎng)銀證書或密碼的出入庫記錄和交接記錄。支付機構(gòu)應(yīng)定期對使用USBKey數(shù)字證書的運算機進行殺毒，防止病毒或者木馬非法獵取USBKey數(shù)字證書信息、損壞USBKey數(shù)字證書硬件。5.2崗位設(shè)置與權(quán)限支付機構(gòu)應(yīng)遵循職責分離、相互制約的原那么，合理設(shè)置資金結(jié)算、資金治理及財務(wù)稽核等崗位，嚴格分離資金支付的審批與執(zhí)行、資金的保管、記錄與盤點清查、資金的會計記錄與審計監(jiān)督等職能；嚴禁一人兼任非相容的崗位或獨自完成結(jié)算全過程的業(yè)務(wù)操作，做到結(jié)算操作與結(jié)算對賬、業(yè)務(wù)經(jīng)辦與會計賬務(wù)處理、業(yè)務(wù)操作與風(fēng)險監(jiān)控、經(jīng)辦與復(fù)核及授權(quán)相分離。支付機構(gòu)應(yīng)遵循〝最小授權(quán)〞及〝按需使用〞的原那么，設(shè)置結(jié)算業(yè)務(wù)操作權(quán)限。對提取、修改資金結(jié)算及會計核算數(shù)據(jù)等操作應(yīng)建立嚴格的審批、審計和監(jiān)督檢查機制。對涉及交易資金、客戶賬戶資金變動的操作，包括但不限于商戶結(jié)算、支付賬戶提現(xiàn)、商戶退款、調(diào)賬等行為，應(yīng)至少實行雙人、雙權(quán)限操作。5.3商戶資金結(jié)算支付機構(gòu)應(yīng)確保備付金賬戶可用、余額充足；頭寸不足的，支付機構(gòu)應(yīng)按相關(guān)規(guī)定，及時調(diào)整備付金專用存款賬戶間頭寸。支付機構(gòu)應(yīng)準確核算商戶待結(jié)算資金，并依據(jù)與商戶簽訂的支付服務(wù)協(xié)議，將款項直截了當結(jié)算至協(xié)議約定賬戶。支付機構(gòu)不得托付他人代理結(jié)算。商戶結(jié)算規(guī)那么、結(jié)算銀行賬戶發(fā)生變更的，支付機構(gòu)應(yīng)取得商戶的變更申請函件，并確認商戶身份后予以及時辦理。支付機構(gòu)結(jié)算時發(fā)覺存在可能導(dǎo)致資金差錯的情形時，應(yīng)趕忙終止相關(guān)的付款操作，并及時查詢、核實，確認無誤后再安排付款。支付機構(gòu)在監(jiān)控中發(fā)覺專門交易或存在爭議交易時,應(yīng)及時采取暫扣、延遲結(jié)算等措施加以防范，或通過收取保證金等方式規(guī)避風(fēng)險。支付機構(gòu)應(yīng)按業(yè)務(wù)監(jiān)管部門相關(guān)規(guī)定保留重要憑證、操作記錄和操作日志，以便審計和查驗。5.4資金退回及交易退款支付機構(gòu)為客戶辦理充值資金退回、退款業(yè)務(wù),或支付機構(gòu)辦理差錯資金退回，應(yīng)遵循原路退回的原那么，退回至原支付賬戶或銀行賬戶，不得截留或退至其他賬戶；原賬戶已銷戶的，支付機構(gòu)應(yīng)主動聯(lián)系客戶或發(fā)卡機構(gòu)，確保將相關(guān)款項退回客戶本人賬戶。5.5手續(xù)費支付機構(gòu)與商戶、合作方〔如銀行〕應(yīng)簽訂協(xié)議約定收費標準；如需變更，應(yīng)辦理書面變更手續(xù)。支付機構(gòu)發(fā)覺計費數(shù)據(jù)處理專門或疑似專門的，應(yīng)及時審核確認；計費數(shù)據(jù)存在差錯的，應(yīng)及時進行調(diào)整、修正。支付機構(gòu)應(yīng)指定專門部門負責手續(xù)費核算、制表、收付款、開票等工作，按期收取、結(jié)轉(zhuǎn)費用；當期未收、未付款應(yīng)累計至下一結(jié)算期結(jié)算。5.6資金對賬支付機構(gòu)應(yīng)每日對其業(yè)務(wù)系統(tǒng)的交易記錄及相關(guān)賬表進行對賬，對賬應(yīng)包括以下內(nèi)容：a.系統(tǒng)日切時匯總交易賬戶流水，將交易賬戶的明細賬與總賬進行核對；b.系統(tǒng)日切時將各銀行電子對賬單與系統(tǒng)中的交易明細進行核對。與銀行對賬周期另有約定的，按照約定周期對賬。資金結(jié)算部門應(yīng)設(shè)立專崗定期對所有備付金銀行賬戶收付款情形及交易流水、結(jié)存余額進行核對，核對的內(nèi)容應(yīng)包括：a.該備付金銀行應(yīng)入賬金額與實際入賬金額是否一致；b.該備付金銀行手續(xù)費收取方式和實際收取的手續(xù)費用是否與系統(tǒng)中的計費信息或與銀行協(xié)議約定的一致；c.實際退款、回提金額與系統(tǒng)中的退款、回提金額是否一致；d.資金調(diào)撥是否及時足額到賬；e.其他應(yīng)核對賬務(wù)。5.7資金差錯處理支付機構(gòu)完成資金結(jié)算后，應(yīng)及時檢查支付指令是否有效、交易狀態(tài)是否相符。當銀行反饋付款或退款資金的狀態(tài)可疑時，支付機構(gòu)應(yīng)遵循慎重性原那么，在查明緣故后，再進行相關(guān)處理。業(yè)務(wù)系統(tǒng)顯示扣款成功，銀行顯示未扣款的，應(yīng)依照銀行對賬單進行調(diào)賬，并及時通知客戶；銀行顯示扣款成功，業(yè)務(wù)系統(tǒng)中未劃賬成功的交易，應(yīng)按照銀行扣款記錄標記扣款成功狀態(tài)。支付機構(gòu)應(yīng)確保賬實相符，對未達賬項、賬款差錯應(yīng)盡快查明緣故，清理掛賬項目須經(jīng)嚴格授權(quán)；支付機構(gòu)應(yīng)留存并妥善保管原始記錄資料及處理結(jié)果資料。5.8風(fēng)險預(yù)備金計提支付機構(gòu)應(yīng)該按照業(yè)務(wù)監(jiān)管部門要求的計提比例計提風(fēng)險預(yù)備金，開立風(fēng)險預(yù)備金專用存款賬戶，并對計提比例進行及時調(diào)整。第六部分系統(tǒng)信息安全治理6.1組織機構(gòu)及治理制度6.1.1組織機構(gòu)支付機構(gòu)應(yīng)設(shè)立或指定專門部門負責本機構(gòu)系統(tǒng)信息安全治理，組織制定、公布相關(guān)制度、規(guī)范，和諧處理系統(tǒng)信息安全治理工作中的關(guān)鍵事項，對涉及重大風(fēng)險事宜進行決策，明確各相關(guān)部門系統(tǒng)安全保證職責及人員配置，組織跨部門應(yīng)急演練等。負責本機構(gòu)系統(tǒng)信息安全治理的部門應(yīng)配備專職人員，實行A、B崗制度，專職人員不可兼任其他崗位。6.1.2治理制度系統(tǒng)信息安全治理制度應(yīng)貫穿業(yè)務(wù)運作、系統(tǒng)設(shè)計、編碼、測試、集成、運行愛護以及評估、應(yīng)急處置全過程，包括安全制度、安全規(guī)范、安全操作規(guī)程和操作記錄手冊等。安全治理制度應(yīng)具有統(tǒng)一的格式，并進行版本操縱。支付機構(gòu)應(yīng)定期組織相關(guān)部門和人員對安全治理制度體系的適用性和有效性進行審計，針對不足及時進行修訂完善。6.2網(wǎng)絡(luò)安全治理6.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全要求a.應(yīng)依照各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便治理和操縱的原那么為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)幸免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直截了當連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；b.應(yīng)繪制、愛護與當前運行情形相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，區(qū)分可信區(qū)域和不可信區(qū)域；c.應(yīng)保證防火墻、交換機等要緊網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；d.應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期及業(yè)務(wù)進展需要；e.應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先愛護重要主機。f.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由操縱，建立安全的訪問路徑；g.采納IP假裝技術(shù)隱藏內(nèi)部IP，防止內(nèi)部網(wǎng)絡(luò)被非法訪問。6.2.2訪問操縱要求a.應(yīng)在網(wǎng)絡(luò)邊界部署訪問操縱設(shè)備，啟用訪問操縱功能；b.應(yīng)能依照會話狀態(tài)信息為數(shù)據(jù)流提供明確的承諾/拒絕訪問的能力，操縱粒度為端口級；c.應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層、FTP、TELNET等協(xié)議命令級的操縱；d.應(yīng)在會話處于非活躍狀態(tài)達到一定時刻，或會話終止后終止網(wǎng)絡(luò)連接；e.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)并發(fā)連接數(shù)；f.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺詐；g.應(yīng)按用戶和系統(tǒng)之間的承諾訪問規(guī)那么，決定承諾或拒絕用戶對受控系統(tǒng)進行資源訪問，操縱粒度為單個用戶；h.應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。6.2.3安全審計要求a.應(yīng)對網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄，并至少儲存6個月；b.審計記錄至少應(yīng)包括：事件的日期和時刻、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c.應(yīng)能夠依照記錄數(shù)據(jù)進行分析，并生成審計報表；d.應(yīng)對審計記錄進行愛護，幸免受到未預(yù)期的刪除、修改或覆蓋等。6.2.4入侵防范a.應(yīng)部署入侵檢測/防備系統(tǒng)，并在網(wǎng)絡(luò)邊界處監(jiān)視和記錄以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時刻，在發(fā)生嚴峻入侵事件時應(yīng)提供報警。6.2.5惡意代碼防范a.應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；b.應(yīng)愛護惡意代碼庫的升級和檢測系統(tǒng)的更新。6.2.6網(wǎng)絡(luò)設(shè)備防護a.網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯獨；b.應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；c.要緊網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；d.身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；e.當對網(wǎng)絡(luò)設(shè)備進行遠程治理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；f.應(yīng)對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進行限制；g.應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離;h.應(yīng)具有登錄失敗處理功能，可采取終止會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；i.應(yīng)定期檢查網(wǎng)絡(luò)設(shè)備運行狀況和軟件版本信息，定期對網(wǎng)絡(luò)設(shè)備配置文件進行備份。6.2.7身份鑒別a.應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別，嚴禁匿名登錄；b.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；c.應(yīng)啟用登錄失敗處理功能，可采取終止會話、限制非法登錄次數(shù)、鎖定賬戶和自動退出等措施；d.當對服務(wù)器進行遠程治理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯獨性。f.應(yīng)采納兩種或兩種以上組合的鑒別技術(shù)對治理用戶進行身份識別，同時身份鑒別信息至少有一種是不可偽造的。6.2.8邊界完整性檢查a.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；b.應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。6.3系統(tǒng)運維治理6.3.1物理環(huán)境治理a.各系統(tǒng)運行部門應(yīng)按照國家運算機房安全治理的有關(guān)規(guī)定加強治理，并保持機房清潔、整齊、有序，制定相應(yīng)的制度和規(guī)那么，做好機房的安全工作。b.禁止將易燃、易爆、易腐蝕和磁性物品等可能阻礙運行的危險品帶入機房；禁止將食物、飲料帶入機房。c.支付各環(huán)節(jié)涉及的機器、網(wǎng)絡(luò)設(shè)備等需專網(wǎng)專用，不得與其他業(yè)務(wù)的開展重合。d.支付系統(tǒng)設(shè)備〔包括運算機軟硬件、網(wǎng)絡(luò)、安全設(shè)備等〕應(yīng)實行專人治理。禁止將支付系統(tǒng)設(shè)備挪作他用。e.支付系統(tǒng)網(wǎng)絡(luò)設(shè)備、各直截了當參與者的前置機設(shè)備由網(wǎng)絡(luò)部門統(tǒng)一負責安全治理。f.任何人員進出數(shù)據(jù)中心機房需登記、涉及重要數(shù)據(jù)的區(qū)域需提早申請并由相關(guān)責任人陪同方可進入、參觀人員僅可訪問指定授權(quán)區(qū)域。g.支付系統(tǒng)使用的儲備介質(zhì)，應(yīng)進行嚴格的病毒檢查，防止運算機病毒侵入。h.未經(jīng)批準，支付系統(tǒng)設(shè)備不得與其它設(shè)備、網(wǎng)絡(luò)連接。i.當遇到重大故障(如支付中斷超過2小時以上時)或需停機愛護時，及時將故障情形或愛護申請上報給所在地中國人民銀行分支機構(gòu)，并書面報告故障緣故、阻礙及補救措施。6.3.2設(shè)備治理a.應(yīng)建立基于申報、審批和專人負責的設(shè)備安全治理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化治理。b.應(yīng)建立配套設(shè)施、軟硬件愛護方面的治理制度，對其愛護進行有效的治理，包括明確愛護人員的責任、涉外修理和服務(wù)的審批、修理過程的監(jiān)督操縱等。c.應(yīng)對終端運算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化治理，按操作規(guī)程實現(xiàn)要緊設(shè)備〔包括備份和冗余設(shè)備〕的啟動/停止、加電/斷電等操作。d.應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備〔包括備份和冗余設(shè)備〕、線路等指定專門的部門或人員定期進行愛護治理。e.應(yīng)做好設(shè)備登記工作，制定設(shè)備治理規(guī)范，落實設(shè)備使用者的安全愛護責任。f.需要廢止的設(shè)備，應(yīng)由指定專門部門使用專用工具進行數(shù)據(jù)信息排除處理，如廢止設(shè)備不再使用或調(diào)配到其他單位，應(yīng)備案并對其數(shù)據(jù)信息儲備設(shè)備進行消磁或物理粉碎等不可復(fù)原性銷毀處理，同時備案。g.設(shè)備確需送外單位修理時，應(yīng)指定專門部門完全清除所存的工作相關(guān)信息，必要時應(yīng)與設(shè)備修理廠商簽訂保密協(xié)議，與密碼設(shè)備配套使用的設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并完全清除與密碼有關(guān)的軟件和信息，并派專人在場監(jiān)督。h.制定規(guī)范化的設(shè)備故障處理流程，建立詳細的故障日志(包括故障發(fā)生的時刻、范疇、現(xiàn)象、處理結(jié)果和處理人員等內(nèi)容)。i.應(yīng)確保信息處理設(shè)備必須通過審批才能帶離機房或辦公地點。j.應(yīng)對設(shè)備進行分類和標識,建立標準化的設(shè)備配置文檔。k.新購置的設(shè)備應(yīng)通過測試，測試合格后方能投入使用。l.應(yīng)做好設(shè)備登記工作，制定設(shè)備治理規(guī)范，落實設(shè)備使用者的安全愛護責任。6.3.3數(shù)據(jù)安全及備份復(fù)原數(shù)據(jù)的儲備和傳輸a.支付機構(gòu)應(yīng)采取有效措施，保證系統(tǒng)數(shù)據(jù)信息的完整性和安全性。b.支付機構(gòu)應(yīng)能夠監(jiān)測到系統(tǒng)治理數(shù)據(jù)、客戶身份信息、支付業(yè)務(wù)信息等重要數(shù)據(jù)在儲備過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的復(fù)原措施。c.支付機構(gòu)應(yīng)采納加密或其他有效措施實現(xiàn)系統(tǒng)治理數(shù)據(jù)、客戶身份信息、支付業(yè)務(wù)信息、會計檔案信息等的保密性。支付機構(gòu)應(yīng)采取相應(yīng)技術(shù)措施，在數(shù)據(jù)傳輸過程中確保支付指令的完整性、一致性和不可抵賴性。數(shù)據(jù)備份和復(fù)原a.應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b.應(yīng)建立備份與復(fù)原治理相關(guān)的安全治理制度，對備份信息的備份方式、備份頻度、儲備介質(zhì)和儲存期等進行規(guī)范；c.應(yīng)依照數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的阻礙，制定數(shù)據(jù)的備份策略和復(fù)原策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)那么、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ籨.應(yīng)建立操縱數(shù)據(jù)備份和復(fù)原過程的程序，對備份過程進行記錄，所有文件和記錄應(yīng)妥善儲存；e.應(yīng)定期執(zhí)行復(fù)原程序，檢查和測試備份介質(zhì)的有效性，確保能夠在復(fù)原程序規(guī)定的時刻內(nèi)完成備份的復(fù)原。6.4應(yīng)急治理支付機構(gòu)應(yīng)制定與其業(yè)務(wù)規(guī)模、復(fù)雜程度相適應(yīng)的應(yīng)急和業(yè)務(wù)連續(xù)方案，建立復(fù)原服務(wù)和業(yè)務(wù)連續(xù)運行保證機制，并定期檢查、測試，確保有效性。應(yīng)急治理要求包括：a.在統(tǒng)一的應(yīng)急治理框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)復(fù)原流程、事后教育和培訓(xùn)等內(nèi)容；b.從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保證；c.對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)至少每年舉辦一次培訓(xùn)；d.定期對應(yīng)急預(yù)案進行演練，并依照實際情形進行修訂調(diào)整。第七部分支付機構(gòu)反洗錢和反恐懼融資治理要求非金融支付機構(gòu)應(yīng)切實遵守?中華人民共和國反洗錢法?、?支付機構(gòu)反洗錢和反恐懼融資治理方法?等法律法規(guī)，全面履行反洗錢及反恐懼融資義務(wù)。7.1差不多要求支付機構(gòu)應(yīng)建立內(nèi)部的反洗錢和反恐懼融資的治理組織架構(gòu)，建立和完善反洗錢和反恐懼融資的內(nèi)操縱度體系，制定反洗錢和反恐懼融資操作規(guī)程，全面履行反洗錢及反恐懼融資義務(wù)。7.2組織架構(gòu)及職責要求7.2.1領(lǐng)導(dǎo)機構(gòu)及職責支付機構(gòu)應(yīng)設(shè)立以機構(gòu)負責人為組長、職能部門負責人為副組長，各相關(guān)部門負責人為組員的反洗錢和反恐懼融資領(lǐng)導(dǎo)機構(gòu)，全面負責反洗錢和反恐懼融資工作，要緊職責包括：a.反洗錢和反恐懼融資工作的整體和諧、規(guī)劃;b.建立、健全反洗錢和反恐懼融資工作治理機制，組織、安排相關(guān)制度和流程的建設(shè)；c.組織相關(guān)部門和人員履行可疑交易報告義務(wù)，配合監(jiān)管機關(guān)和司法機關(guān)開展對可疑交易的調(diào)查；d.建立與業(yè)務(wù)監(jiān)管部門、司法機關(guān)的報告與溝通機制。7.2.2職能部門及職責支付機構(gòu)應(yīng)設(shè)立或指定專門部門負責具體開展反洗錢和反恐懼融資工作，督促和指導(dǎo)各相關(guān)部門執(zhí)行各項法律、法規(guī)、制度，并設(shè)置反洗錢和反恐懼融資專門崗位，要緊職責包括：a.依照領(lǐng)導(dǎo)機構(gòu)要求，建立、健全反洗錢和反恐懼融資工作機制，制定和修訂有關(guān)制度、規(guī)章及操作規(guī)程，并組織實施；b.匯總反洗錢和反恐懼融資數(shù)據(jù)及可疑交易信息報表，并報領(lǐng)導(dǎo)機構(gòu)審批后，及時上報中國反洗錢分析監(jiān)測中心；c.協(xié)助業(yè)務(wù)監(jiān)管部門和司法機關(guān)開展反洗錢和反恐懼融資調(diào)查；d.組織、推動內(nèi)部開展反洗錢和反恐懼融資預(yù)防、監(jiān)控、協(xié)查和報告，并定期進行監(jiān)督檢查；建立內(nèi)部報告制度，定期提交領(lǐng)導(dǎo)機構(gòu)；e.定期組織內(nèi)部的反洗錢和反恐懼融資培訓(xùn)、宣傳工作；f.履行法律、法規(guī)規(guī)定的支付機構(gòu)其它反洗錢和反恐懼融資的工作職責。7.2.3相關(guān)部門職責相關(guān)部門負責人職責各相關(guān)部門、分支機構(gòu)、外派機構(gòu)負責人對本部門或本分支機構(gòu)反洗錢和反恐懼融資工作負責，要緊職責包括：a.在開展業(yè)務(wù)過程中嚴格落實反洗錢和反恐懼融資相關(guān)規(guī)定,推動本部門內(nèi)操縱度的完善；b.對可疑交易信息進行匯總分析并報告職能部門；c.組織部門內(nèi)職員的反洗錢和反恐懼融資宣傳、培訓(xùn)，對用戶或商戶進行反洗錢和反恐懼融資宣傳、教育；d.配合機構(gòu)反洗錢和反恐懼融資職能部門的工作，履行相關(guān)職責。聯(lián)絡(luò)員職責支付機構(gòu)各部門、分支機構(gòu)、外派機構(gòu)應(yīng)指定專人作為反洗錢和反恐懼融資聯(lián)絡(luò)員，協(xié)助部門負責人開展反洗錢和反恐懼融資日常工作。要緊職責包括：a.及時全面地向本部門職員傳遞反洗錢和反恐懼融資工作信息，督促本部門完成各項反洗錢和反恐懼融資工作；b.具體落實本部門反洗錢和反恐懼融資宣傳、培訓(xùn)工作；c.組織本部門的反洗錢和反恐懼融資相關(guān)制度的內(nèi)部審計工作，定期檢查工作開展情形，跟進整改和完善情形；d.記錄報告可疑交易信息，及時向部門負責人和職能部門報告本部門反洗錢和反恐懼融資工作中存在的問題，提出工作建議。e.履行其他反洗錢和反恐懼融資工作職責。各部門聯(lián)絡(luò)員與職能部門專門崗位人員組成反洗錢和反恐懼融資工作小組，負責反洗錢和反恐懼融資執(zhí)行及研討反洗錢工作問題。7.3客戶身份驗證及資料儲存支付機構(gòu)應(yīng)當勤奮盡責，建立健全客戶身份識別制度，遵循〝了解你的客戶〞原那么，針對具有不同洗錢和恐懼融資風(fēng)險特點的客戶、業(yè)務(wù)關(guān)系或者交易應(yīng)采取相應(yīng)合理的措施，了解客戶及其交易目的和交易性質(zhì)，了解實際操縱客戶的自然人和交易的實際受益人。7.3.1客戶身份識別要求支付機構(gòu)在開展以下業(yè)務(wù)時，應(yīng)遵循用戶及商戶進展策略相關(guān)要求，嚴格落實客戶身份識別制度,留存相關(guān)資料并履行保密義務(wù)：a.支付機構(gòu)為用戶開立支付賬戶；b.同一客戶的多個支付賬戶建立關(guān)聯(lián)；c.商戶拓展及資質(zhì)審查；d.用戶及商戶身份信息變更。7.3.2重新識別客戶要求支付機構(gòu)應(yīng)依照規(guī)定在顯現(xiàn)以下情形時，重新識別客戶：a.客戶要求變更姓名或者名稱、有效身份證件種類、身份證件號碼、注冊資本、經(jīng)營范疇、法定代表人或者負責人等的；b.客戶行為或者交易情形顯現(xiàn)專門的；c.先前獲得的客戶身份資料存在疑點的；d.支付機構(gòu)認為應(yīng)重新識別客戶身份的其他情形。7.3.3客戶信息留存支付機構(gòu)應(yīng)按照人民銀行規(guī)定內(nèi)容妥善儲存客戶身份資料和交易記錄，保證能夠完整準確重現(xiàn)每筆交易?？蛻羯矸葙Y料包括各種記載客戶身份信息的資料、輔助證明客戶身份的資料和反映支付機構(gòu)據(jù)、業(yè)務(wù)憑證、賬簿和其他資料：a.交易雙方名稱；b.交易金額；c.交易時刻；d.交易雙方的開戶銀行或支付機構(gòu)名稱；e.交易雙方的銀行賬戶號碼、支付賬戶號碼、預(yù)付卡號碼、特約商戶編號或者其他記錄資金來源和去向的號碼。支付機構(gòu)在開展客戶身份識別的業(yè)務(wù)時，應(yīng)按照保證完整準確重現(xiàn)每筆交易的原那么儲存交易記錄。7.3.4客戶身份資料和交易記錄儲存系統(tǒng)支付機構(gòu)應(yīng)當建立客戶身份資料和交易記錄儲存系統(tǒng)，實時記載操作記錄，防止客戶身份信息和交易記錄的泄露、損毀和缺失，保證客戶信息和交易數(shù)據(jù)不被篡改，及時發(fā)覺并記錄任何篡改或妄圖篡改的操作。支付機構(gòu)應(yīng)當完善客戶身份資料和交易記錄儲存系統(tǒng)的查詢和分析功能，便于反洗錢和反恐懼融資的調(diào)查和監(jiān)督治理。并按照監(jiān)管部門規(guī)定的格式及期限儲存客戶身份資料和交易記錄。在顯現(xiàn)支付機構(gòu)終止支付業(yè)務(wù)時，應(yīng)當按照中國人民銀行有關(guān)規(guī)定處理客戶身份資料和交易記錄。7.4可疑交易報告a.支付機構(gòu)應(yīng)對本機構(gòu)的全部交易開展監(jiān)測和分析，及時報告可疑交易；b.依照客戶特點和交易特點，支付機構(gòu)應(yīng)制定和完善符合本機構(gòu)業(yè)務(wù)特點的可疑交易標準，向中國人民銀行、總部所在地的中國人民銀行分支機構(gòu)和中國反洗錢監(jiān)測分析中心備案；c.支付機構(gòu)應(yīng)建立完善有效的可疑交易監(jiān)測分析體系，明確內(nèi)部可疑交易處理程序和人員職責，并指定專門人員，負責分析判定是否報告可疑交易；d.支付機構(gòu)應(yīng)結(jié)合客戶身份信息和交易背景，對客戶行為或交易進行識別、分析，有合理理由判定與洗錢、恐懼融資或其他犯罪活動相關(guān)的，應(yīng)在發(fā)覺可疑交易之日起10個工作日內(nèi)，由其總部以電子方式向中國反洗錢監(jiān)測分析中心提交可疑交易報告?？梢山灰讏蟾娴木唧w格式參照中國人民銀行規(guī)定。支付機構(gòu)應(yīng)將已上報可疑交易報告的客戶列為高風(fēng)險客戶，連續(xù)開展交易監(jiān)測，仍不能排除洗錢、恐懼融資或其他犯罪活動嫌疑的，應(yīng)在10個工作日內(nèi)向中國反洗錢監(jiān)測分析中心提交可疑交易報告，同時以書面方式將有關(guān)情形報告總部所在地的中國人民銀行分支機構(gòu)。支付機構(gòu)應(yīng)完整儲存對客戶行為或交易進行識別、分析和判定的工作記錄及是否上報的理由和證據(jù)材料；e.支付機構(gòu)在履行反洗錢和反恐懼融資義務(wù)過程中，發(fā)覺涉嫌犯罪的，應(yīng)趕忙報告當?shù)毓矙C關(guān)和中國人民銀行當?shù)胤种C構(gòu)，并以電子方式報告中國反洗錢監(jiān)測分析中心；f.支付機構(gòu)懷疑客戶、資金、交易或者試圖進行的交易與恐懼主義、恐懼活動犯罪以及恐懼組織、恐懼分子、從事恐懼