银联卡业务运作规章制度

银联卡业务运作规章 第五卷 风险控制与安全管理 二○○五年十二月 目 录序 307第一章成员机构风险管理的基本要求 3081风险评价及分级管理 308风险评价的适用情况 308风险评价的内容 308风险等级的运用 309风险控制措施 3092成员机构内部风险管理 309人员及岗位设置要求 309建立银行卡交易风险监控体系 309账户信息与交易数据安全管理 310权利与义务 310安全管理体制 310访问控制 310数据的保护、使用和销毁 310数据保存与传输 310事故处理 310对第三方服务机构和特约商户的数据安全管理 311赔偿及处罚 3114磁条卡密钥生命周期安全管理 311基本要求 311密钥生命周期安全管理规定 3115磁条卡的卡片验证码（CVN）校验 312对发卡行的要求 313对收单机构的要求 3136反洗钱要求 3137调查 3137.1调查 313调查对象 313调查方式 3148处罚 314第二章发卡机构的风险管理 3151银联卡安全管理的基本要求 发卡中心的物理安全 订单管理 315安全生产 315安全运输 315接收与保管 316卡片个人化的安全管理 3161.7发行 3161.8销毁 3172《领用合约》必备的风险条款 3173个人密码（PIN）的管理 3174卡片管理 3175吞没卡及止付卡管理 3186发卡专业化服务机构的风险管理 3187安全及风险调查 318调查内容 318违规处理 319银联卡业务运作规章 304 第五卷风险控制与安全管理第三章 收单机构的风险管理 3201商户准入 320禁入商户类型 320谨慎发展商户类型 3202目标商户审查 3203商户签约 321协议必备风险条款 321机具布放 321资料保管 3214特约商户日常风险管理 3215特约商户强制解约 321强制解约的情况 321解约信息报送 3226可疑商户信息共享 322可疑商户信息报送标准 322报送要项 322可疑商户信息的有效期 323违规处理 3237收单专业化服务机构的风险管理 323对专业化机构的管理 323协议必备风险条款 323强制解约 3248对收单机构的风险指标监控 324收单欺诈率 324商户的月退单笔数和月退单金额比例 324对“高风险商户”的认定 3259对金融自助终端的监控要求 32510调查和申诉 32510.1调查 10.2申诉 第四章 清算风险管理 1原则 326全过程监控原则 326分级管理原则 3262基本要求 3263清算风险备付金管理 3263.1缴纳 3263.2使用 3273.3调整 3273.4解除 3274清算风险监控和预警 清算风险监控 清算风险预警 5清算风险控制 328当日清算未完成 328清算连续未完成 328重大风险事件 3286清算损失的补偿 3287对清算银行的要求 328境内业务清算银行 328境外清算银行 328银联卡业务运作规章 305 第五卷风险控制与安全管理第五章 欺诈交易及风险事件的报告与处理 3291基本要求 3292欺诈交易报告 329发卡机构应报告的欺诈交易 329收单机构应报告的欺诈交易 329报告时间 329报送要项 330权利与责任 330风险事件报送 报送范围 报送时间 报送内容 4调查与处理 332基本规定 332协助调查 332资料保管 3325欺诈交易的损失责任承担原则 332自助设备发起交易的责任承担 333面对面商户发起交易的责任承担 333其他情况下的责任承担 3336费用及处罚 6.1费用 6.2处罚 第六章 风险管理服务 3351风险信息共享服务 3351.1内容 3351.2服务的申请与使用 3352商户风险监控 监控对象 监控规则 报告风险等级 336风险报告传递 336收单机构的职责 3363银行卡交易监控 监控对象 监控规则 服务的使用 4欺诈交易报告 337成员机构职责 337服务的使用 3375风险提示 5.1内容 5.2服务的使用 3385.3其他 3386涉案卡交易跟踪服务 中国银联职责 发卡机构职责 银联卡业务运作规章 306 第五卷 风险控制与安全管理序为保障中国银联银行卡跨行交易体系的安全稳定运行，维护银联品牌及全体成员机构的合法权益，为银联卡国际化战略提供风险管理支持，本卷对各成员机构开展银联卡业务必须实施的风险控制与安全管理作了基本规定，并对中国银联向成员机构提供的风险管理服务作了简要介绍。2003则》、《银联卡风险事件报送及协助调查规则》、《银联卡欺诈报送规则》、《银联卡账户信息与交易数据安全管理规则》、《银联卡密钥安全管理指南》、《银联卡收单机构商户风险管理指南》、《银联卡发卡机构欺诈风险管理指南》、《银联卡账户信息与交易数据安全管理指南》。今后，风险管理委员会还会继续通过实施有关的规则。上述性在本卷中都现同时，本卷也将根项规则的修订及新颁布的规则作相应的调整。本卷按照成员机构风险管理基本要求、发卡机构风险管理、收单机构风险管理、清算风险管理、欺诈交易及风险事件的报告与处理以及风险管理服务划分 ，共六章 。加入 银联网络 的发卡机构和收单机构（含分 支机构，下 同） 在开展银联卡业务时均 应遵守 本规则。银联卡业务运作规章 307 第五卷 风险控制与安全管理第一章 成员机构风险管理的基本要求本章对中国银联在各成员机构加入银联开展业务各阶段风险评价的内容和内部风险管理作出基本规定。1风险评价及分级管理风险评价及分级管理，指成员机构在接受中国银联或中国银联认可的第三方评估机构风险评价的基础上，按不同的风险等级享受一定权利的同时,承担与其风险等级相应的义务。风险评价的适用情况风险评价根据成员机构业务不同发展阶段，分别在成员资格准入阶段、开通业务阶段和已开展业务阶段进行相应的评价。风险评价的内容成员资格准入阶段信用风险。中国银联通过采信监管机构或第三方评估机构对成员机构的资本充足率、资产安全、管理水平、盈利状况、流动性等的评估结果，转换成中国银联成员机构的信用风险等级。若不具有第三方评估机构评价结果的，可申请由中国银联组织进行评估。考，按一定标准转换为中国银联的国家风险评级。成员开通业务阶段·密钥安全管理评价。参见本章第4节内容。卡前导下，进行包括但不限于以下内容的风险评估：发卡或收单业务风险管理、账户及交易数反洗钱是否允许其开通业务的重要依据。已开展业务阶段清算 风险评价。参见本卷 第五 章相关 内容。年度 风险评估。银联每年度将 重点 对相关 风险较大 或指标异常 的成员机构进银联卡业务运作规章 308 第五卷风险控制与安全管理行年度风险评估，以追踪该类机构的风险变化情况，并提出相应的风险管理措施和服务。风险等级的运用中国银联通过风险评价确定成员机构的各类风险等级，并以此作为成员机构能否加入银联网络、是否缴纳清算备付金、是否需要提供担保或抵押、能否开通部分或全部银联卡业务的依据之一。风险控制措施如果成员机构未能达到风险评价内容的标准，中国银联在董事会或风险管理委员会授权下将对其采取适当的风险控制措施，敦促其加强银行卡业务管理、提高风险管理水平。风险控制措施包括但不限于以下内容：启动风险管理培训和缴纳清算风险备付金；提供质押担保；暂停一项或多项业务；启动应急计划。2成员机构内部风险管理人员及岗位设置要求成员机构应设置专门的部门、人员或岗位，负责银行卡业务的风险管理工作，包括但不限于以下内容：制定并执行本机构的风险管理政策及制度；确保银联卡相关处理系统及机具的安 全；采取安 全保密 措施，保证 银联卡资 金、账户信息 及交易数 据的安 全；对银联卡产品 的安 全生产 、储存 、运输 、分发进 行有效监督 管理开展持 卡人安 全用卡宣传 ，对商户进 行防范欺诈 培训；对与 银联品牌 和银联卡相关的欺诈 行为进 行监 控、调查 、分析 和报告 ；协助司法 机关、其他 成员机构及中国银联进 行欺诈 及风险事件 的调查 处理。建立 银行卡交易 风险监 控体 系成员机构应建立完善 的交易 体 ，并积极利 用技术手段 对银行卡交易进 银联卡业务运作规章 309 第五卷风险控制与安全管理行监控，及时识别、报告及处理银行卡业务中的各类风险。3账户信息与交易数据安全管理中国银联及成员机构必须按照《银联卡账户信息与交易数据安全管理规则》中的有关规定，保证自身及其特约商户、第三方服务机构达到规则中的各项安全要求。权利与义务中国银联及成员机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况。一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的，可申请损失赔偿。各机构应定期就账户信息及交易数据安全状况进行自查，并提供自查结果等书面报告。安全管理体制及检查程序。访问控制严篡和。数据的保护、使用和销毁保形式出现的账户信息及交易数据。未经发卡机构的书面许可，其他机构均不得将该发卡机构的原始账户信息及交易数据提供给任何其他第三方机构。不得将真实的账户信息及交易数据用于软件开发及模拟测试。各机构应及时销毁超出保存期限的账户信息及交易数据。数据保存与传输账户信息及交易数据必须在具有安全保护措施的系统中存储、传输。事故处理专门 制订针 账户信息及交易数据安全事故 处理的应急 处理方案 ，一旦出 现账户信息与交易数据遭 到、泄漏和的安全事故 ，必须立即 事故 进行处银联卡业务运作规章 310 第五卷 风险控制与安全管理理并展开事故原因调查工作。对第三方服务机构和特约商户的数据安全管理户的要求。据。赔偿及处罚包括罚款、限期整改或中止协议等。（修订）》4磁条卡密钥生命周期安全管理基本要求成员机构及其代理机构必须遵循《银联卡密钥安全管理规则（磁条卡部分V1.0）》的相关规定，达到以下基本要求：必须使用硬件加 设备 成和存储、对个人 码 （PIN）加解 及别报文； 和个人 码 的完 明文 只允许 存储在硬件加 设备 中，不得 在硬件加 设备外出现 。对及其组件 的任何操 作必须遵人 段 、双 重控 制、信息拆 的原则。密钥生命周期安全管理规定生成必须随 机或伪随 机产 。银联卡业务运作规章 311 第五卷风险控制与安全管理注入与存储密钥注入必须采用双重控制和信息拆分方式，在隔离状态下注入；（）须经成员主密钥加密，在终端必须存储在硬件加密模块内。传输天传输；内含完整密钥的硬拷贝或内含完整密钥的芯片方式传输。接收仔细检验密钥组件传输介质的封存状态，并记录接收情况，存档保管。泄漏与重置确定所涉及的功，并且管。删除与销毁失效、作废或被损坏的密钥，应在双人控制下，采用执行和检验相结合的方法及时删除和销毁，确保无法恢复、无法辨认，不被泄露。销毁过程必须由专人监控，并记录在案。保管资料指派专负责有资料放密钥在硬件加密设备外部以明文形式存在时，必须拆分成两个或两个以上的组件。各密钥组件应由不同的保管员封入信封，加盖名章（或骑缝签名）后置入保险容器妥善保管。各密钥保管员应来自本机构不同部门。相关具体规定参见《银联卡密钥安全管理规则（磁条卡部分V1.0）》。5磁条卡的卡片验证码（CVN）校验成员机构发行或受理磁条卡，必须实施卡片验证码校验。银联卡业务运作规章 312 第五卷 风险控制与安全管理对发卡行的要求（CVN）发卡机构可自行校验，也可选择由中国银联代其校验卡片验证码。份证件到发卡机构办理换卡或者重新写磁手续。对于上传磁道信息中未含卡片验证码的交易，发卡机构一律予以拒绝。对收单机构的要求CVN6反洗钱要求中国银联可反的相关规反理机关的要求，循当下强阻止或恐怖主义财务。这些施包括但不限于以下内容：实施更有力的政策、程序或控制措施；终止与商 户或持卡人的合约； 终止与 代理机构的合约； 终止 成员机构资 格罚款 。7调查 调查 在董事会风险委会授权下为维护全体共同利益权就业务风险状况进行调查当积极配合本卷所述各项调查均同此义。调查象中国银联风险调查的对象包括成员机构、成员资格申请机构、特约商户、以银联卡业务运作规章 313 第五卷风险控制与安全管理及经中国银联认证的提供银联卡相关产品或服务的第三方厂商。调查方式中国银联风险调查采用非现场调查和现场调查相结合的方式。非现场调查是指中国银联通过对调查对象按相关规则要求报送的风险调查问卷、报送的材料进行查阅、分析，并进行风险评价与判断的过程。现场调查是指中国银联对于非现场调查无法全面了解，需前往成员机构实地进行查阅、评估的方式。8处罚限于以下通报；暂停业务；终止成员资格。银联卡务规章 314 第五卷 风险控制与安全管理第二章 发卡机构的风险管理本章对发卡机构发行银联卡应遵循的风险控制标准及要求做出基本规定。1银联卡安全管理的基本要求发卡中心的物理安全为确保发卡中心的物理安全，必须对以下区域或业务环节进行监视或监控：发卡中心的出口和入口通道；主机机房；凸印及写磁环节；其他高安全区域。对于高安全区域须安装闭路监控和入侵报警系统，进出均实行登记制度。同时应采取措施确保发卡中心防火、防暴、防核、防爆等意外灾害。订单管理中国银联报，银联卡生产企业进行生产。安全生产发卡机构必须选择通过中国银联资格认证的银联卡生产企业作为本机构的卡片提供商。发卡机构有协助中国银联监督银联卡生产企业的责任。如发现银联卡生产企业有违规行为，应立即向中国银联报告。安全运输运输方式银联卡的运输工具 必须符合 下列 要求：全封 闭、适宜 运输的车辆 ；运输工具上 应配备至少两部 通讯器材 ；如果 选择航空 运输，应选择从起 运地到目 的地 的直达航班 ；如无直达航班可 选择，航班只能 中转一次 ，并严 格控制中转货 运公司 的数量 。银联卡业务运作规章 315 第五卷风险控制与安全管理如采用其他具有同等安全措施的运输方式，必须事先书面报备中国银联。运输空白卡必须封存在材质坚固或带锁的箱子里，并妥善保管钥匙或密码；必须执行双人押运，必要时采取武装押运。卡片遗失、被盗或损坏的处理发生下列情况时，发卡机构应立即通知中国银联及本机构内部的安全部门，并向警方报案：在航班正常的情况下，空白卡未按照预计时间表到达；装运空白卡的箱子有迹象表明遗失、损坏或被擅自开启；未收到空白卡。接收与保管应确保未发行卡片在任何时候都受到双人双管控制。在双人监督下，清点验收。接收后，应将银联卡存储于高安全区域保管，按种类设立台帐，对未发行卡片执行严密的数字管理。卡片个人化的安全管理发卡机构应按照银联卡人业 安全和 质量 管理指南》 的度规定和 本卷第二章关 信息 安全管理的相关 要求 ，人员 管理、档 案、交 手续 等做出 密规定 ，确保银联卡生产过程 中人密码（ N）和 其他关键信息 的安全。制定并严格执行机房管理制度，实行严格的人员出入控制；要严格对涉密机具的管理，应对打卡机具进行监控，并要求人离上锁。除发卡机构及发卡机构授权机构外，其他任何人和机构不得修改和复制卡面及磁条信息。人生产业必须经中国银联认证。如果发卡机构委托生产业完成人的，必须与其签订保密协议。如第三方人服务商有违规行为，发卡机构应有关情况报告中国银联。发行各发卡机构应建立并执行严格的资信审查制度，有条件的发卡机构可采用信用评分系统降低信用风险。银联卡业务运作规章 316 第五卷风险控制与安全管理对于不符合发卡机构信用卡审批政策或相关法律规定的申领者，应禁止发卡。按照发行渠道不同，发行方式可分为柜面发卡和邮寄发卡。柜面发卡时，已经完成个人化处理的卡片和密码应该分开管理。邮寄发卡必须采用“卡片开启”程序，在卡片申领人身份被证实前，暂时冻结卡账户。经申领人通知并完成身份辨识手续后，启用卡片功能。在邮寄过程中，发生卡片批量丢失的情况应立即报告中国银联与司法部门。销毁集中进行销毁。2《领用合约》必备的风险条款发卡机构要在《领用合约》中明确规定：持卡人不能将银联卡用于任何非法场所，包括购买当地法律禁止的商品和服务，持卡人自行承担 在非法场所使 用导致 的风险。持卡人不得 将银联卡及其 账户出租 或转借给他 人使 用，持卡人将自行承担出 租 或转借他 人使 用导致 的风险。发卡方有权 将申领人的不良 用卡记录提供给 中国银联风险信息共享系统 。个人密码（ N） 的管理个人密码的长度 不得少 于六位字 符。初始 个人密码必须随 机生成或由 卡人行设置 ，发卡行不得设置统一 的初始 密码。打印 密码函出错 时，应及 时销毁错 误密码函 ，重新 生成有效 密码函 。个人密码在联机交易传送 和处理过程必须加 密处理，禁止文出现 在硬件加 密设 之外 。无论何种情况下，都不得要求持卡人泄露个人密码。对于同一银行卡，交易密码或查询密码连续三次校验错时，应实时冻结该卡片，但有明确付款方的交易除外。持卡人本人须持有效身份证明到发卡机构柜面或者通过其他的身份认证渠道办理解除冻结手续，重新开通账户。卡片挂失管理发卡机构应在接到持卡人挂失请求并核实身份合法性后，立即冻结挂失的卡银联卡业运作规章 317 第五卷风险控制与安全管理片。吞没卡及止付卡管理成员机构应按照《银联卡业务运作规章》第二卷的有关规定做好吞没卡处理。委托中国银联代授权的发卡机构应按照规定及时报送止付名单。发卡专业化服务机构的风险管理发卡机构在选择发卡专业化服务机构时，除应遵照《银联卡业务运作规章》第一卷之规定外，另须遵守如下规定：发卡机构应谨慎选择合作机构。发卡机构应与专业化服务机构签订安全保密协议，确保专业化服务机构遵守《银联卡账户与交易数据安全管理规则》等安全规定。明确外包业务种类、范围、程序和操作时限，禁止擅自转包行为。发卡机构有对发卡专业化服务机构进行监督的责任。带来的损。、损的，对经的，中国银联对须的机构，报成员机构。卡片和第人 化服务必 须经中国银联。对违反规定的，中国银联采 暂停 、并罚款 等处罚措施 ，并 知 成员机构。7安全及风险调查 中国银联可 对发卡机构及银联卡企 业、人 化企 业、委外营销 等专业化服务机构进行必要 的安全及风险调查 。调查内容 空白 卡申 报制度 的执 行况 ；银联卡企 业安全管理制度执 行状况 和品质量状况 ；发卡机构空白 卡定购 、储存 及数字档案 管理状况 ；卡片发行管理状况 ；回收 的过期 卡、作废 卡、打未 发卡和吞没卡的保管和销毁记录状况 ；密钥 安全管理状况 ；账户及交易数据的安全管理状况 ；银联卡业务运作规章 318 第五卷 风险控制与安全管理与银联卡相关的欺诈交易报告以及处理情况；其他需要知情的内容。违规处理发卡机构发生下列情形，已经或可能给银联卡持卡人、成员机构与中国银联带来损失的，中国银联将视情节轻重，建议董事会或风险管理委员会给予该发卡机构相应处罚。规章制度执行不力，安全管理状况松懈；空白卡发生遗失或被盗，未及时向中国银联等相关单位报告或故意隐瞒不报；发卡机构内部人员操作不当或作弊引致银行卡敏感信息泄漏；拖欠清算资金；对密码输入错误超过规定次数未冻结账户；未实施磁条卡卡片校验；未及时提供不良信息；未及时上报欺诈交易信息；密安全管理、不全、资失，泄漏或被的可能；相关的化服务 机构管理不善 或违规经营 ；其他违反 规的做法 或经营 行为 。银联卡务运作规章 319 第五卷 风险控制与安全管理第三章 收单机构的风险管理本章对受理银联卡的收单机构、特约商户和收单专业化服务机构应遵循的风险控制标准作出基本规定。商户准入禁入商户类型收单机构禁止发展下列商户：非法设立的经营组织；特殊行业商户：包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等其他与本国法律、法规相抵触的商户；可疑商户：商户或商户负责人（或法人代表）已被列入中国银联的风险信息共享系统；注册地及经营场所不在收单机构所在国的商户。收单机构违反上述规定与禁入类商户签约的，需承担自签约日起相关欺诈交易的退单损失。同时,中国银联将暂停该商户的银联卡交易，并书面通知收单机构立即与商户强制解约，将商户相关资料报送至中国银联风险信息共享系统。1.2谨慎发展商户类型收单机构对于下列类型的商户，应谨慎签约，并采取更为严格 的调查措施 审批程序 ：机票 代售点 或手 机专卖店 ；各 类娱乐 场所如夜总会 、卡拉 OK、酒廊 等；电购 、邮购 及网购 商户；提供中介咨询类服务的商户；持卡人需预付款的商户。目标商户审查收单机构应对目标商户进行签约前的风险审查和实地调查根据审查和调查结果对目标商户进行风险等级划分，不同的风险等级应采取不同的风险管理措施。银联卡业务运作规章 320 第五卷风险控制与安全管理商户签约协议必备风险条款议附件中至少应包括下列必备风险条款：不可以提供给第三者使用。给第三方。保密条款。商户应对帐户及交易数据安全进行保密。明确界定商户违规操作及相关责任。收单机构及中国银联对商户终止银联卡交易的有关规定。收单机构及中国银联对商户基本信息及风险信息的无偿使用条款。24易仍有查询及追索权。收单机构应先完成商户协议书的签署，再布放POS等相关机具。资料保管特 约商户日常 风险管理收单机构在正 式开展 收单业务，应首 对商户进行业务培训 ，之 根 业务发展和 风险控制需要 ，进行有针 对性 的培训 。为加强 常 风险理，收单机构应建立 商户交易监控制度和 不定期抽 查制度 ，一旦发现异常情况 ，应及时进行实地调 查，并检 查相关交易单据，以核实是 否在欺诈 风险。同 时，收单机构应积极 收集 与商户有关的各类 信息，以便 及时掌握 商户经营状况 的变化 ，并采取 相应的风险防 范措施 。特 约商户强制 解约强制 解约的情况 银联卡业务运作规章 321 第五卷 风险控制与安全管理收单机构发现商户出现以下风险情况，情节严重的，应立即关闭交易，及时书面通知商户终止收单协议，并尽快收回机具设备：虚假申请；侧录；泄漏帐户及交易信息；套现；洗单；恶意倒闭；冒充持卡人进行虚假交易；名义经营范围与实际情况不符；因欺诈交易或违法经营行为被司法机关立案或介入调查；中国银联已书面通知收单机构立即强制解约；已被其他卡组织认定为“高风险商户”；经营不善，已破产或停业的；其他风险情况。起，收单机构仍可继续保留商户受理银联卡的资格，不必强制解约。在未提任何理未在规限内解约信息报送收单机构应“疑 商户信息”的定，被强制解约的商户及负责 人（ 或法人代表） 名单及时至 中国银联风险信息。可疑 商户信息共享可疑 商户信息报送标准 依据第 1.1、 5.1、 8.3条 定被强制解约的商户，收单机构应强制解约起的五 个工作日 商户的关至 中国银联风险信息。6.2报送要项 收单机构供 的疑 商户信息中，应包括 以下要项 ：商户法定名称和 营业名银联卡业务运作章 322 第五卷 风险控制与安全管理称、装机地址、所在城市、商户营业执照登记号、商户服务类别码（MCC）、商户负责人名称和身份证号码、报送的原因代码、与收单机构的签约日期、强制解约日期。可疑商户信息的有效期可疑商户信息的有效期为自进入风险信息共享系统起7年内有效。在有效期内，只有提供该信息的收单机构才有权对信息进行删除。违规处理收单机构未将或未及时将符合标准的可疑商户信息报送至风险信息共享系统，或对已报送的可疑商户信息进行了错误修改或删除，导致其他收单机构与之签约开展业务，并因此发生欺诈交易损失的，其他收单机构可向中国银联风险管理委员会提出申诉，并提交相应证据供委员会审查和裁定。收单专业化服务机构的风险管理收单专业化服务机构（以下简称专业化机构）是指接受收单机构委托,提供部分收单专业化服务的机构或组织。对专业化机构的管理收单机构应对拟合作专业化机构的经营资格进行审查，并进行业务培训。之后应对其业务开展情况 进行监督检 查。若 因专业化机构的违规操 作给 其他成 员机构造成 损失的，收单机构需承担 相应责任 。协议必备 风险条款 专业化机构正式 开展业务前 ，收单机构应与之签署 委托协议 ，协议 中应包括 以下必备条款： 明确 规定专业化机构的业务代理范围 、应遵循 的业务规范 、操 作流程 及相应的风险责任； 专业化机构不得 将收单机构的机具 、设备 、凭 证等用于协议许 可范围 以外 的用途 ，也不 可以给第三方用； 除非 经过 收单机构书面允许 ，否则 专业化机构不得 将收单机构委托的业务转让 或委托给第三方； 保密条款 。专业化机构应对帐 户及交易数 据进行保密 。明确 规定专业化机构的违规操 作及违规操 作需承担 的责任 ;银联卡业务运作规章 323 第五卷 风险控制与安全管理收单机构对专业化机构的强制解约规定。强制解约专业化机构出现下列风险情况的，收单机构应立即与之强制解约：与不良商户勾结进行如虚假伪冒申请、违规套现、洗单、虚假交易等欺诈活动；泄漏持卡人交易帐号及交易信息；利用POS机具进行欺诈活动；经营不善，已破产、停业或倒闭；严重违反法律、法规及行业自律规定；因自身行为严重影响收单机构声誉或造成重大经济损失；提供虚假资料，骗取与收单机构的合作资格；中国银联书面通知收单机构立即与之强制解约的；其他风险情况。对收单机构的风险指标监控收单欺诈率”状度收单欺诈率是在个季度内，收单机构被发卡机构确认的收单欺诈交易金额收单欺诈率”。收单机构的“季度POS收单欺诈率”或“季度ATM收单欺诈率”在规定期限内连续超标的,中国银联将根据其超标期限，分别采取如书面通知、实地调查 、征 收违规罚款 、建议董事会暂 停或取消 其银联卡收单业务 资格等风险管理措施 直至 其指标恢复正常 。商户的月退 单笔数 和月退 单金额比例中国银联使用“月退 单笔数 ”和“月退 单金额比率”对商户的退 单交易情况进行监控。商户的“月退 单交易笔数 ”或“月退 单金额比率”在规定期限内连续超标的,中国银联将根据其超标期限，对其收单机构分别采取如书面通知、征 收违规罚款 等风险管理措施 ，直至 其指标恢复正常 。银联卡业务运作规章 324 第五卷 风险控制与安全管理对“高风险商户”的认定和评分。该系统将对商户交易量的异常变动、商户已被确认的欺诈交易金额、商户的可疑交易行为、商户因欺诈原因被调单及被退单的情况进行综合评分，经系统评并将相关信息报送至中国银联风险信息共享系统，否则，需承担此后被发卡机构商户仍被认定为“高风险商户”的，中国银联将终止该商户受理银联卡的业务资格，并对其收单机构进行实地调查。风险的等分和高风险商户的标准进行规定和。对金融自助终端的监控要求收单机构应对每台金融自助终端设置24小时不间断的监控机制，并建立巡查制度，监控录像和巡查记录应至少保存1个月。发现可疑或欺诈行为后，应及时进行调查和处理，防止风险的进一步扩大。调查和申诉调查中国银联有权 对收单机构、专 业化 机构及特 约商户的风险管理状况进行调查，以 确认其是 否有违 规行为。调查主 包括但 限于以下 内容： 收单机构在发展 及管理商户时，相关规章 制的执 行情况；收单机构商户受理协议 中风险条款 的完整性 及相关资料 的管状况高风险商户强制解约和可疑商户信息报送等有关规定的执 行情况；银行终实施 监控和查制的制订 及执 行状况；中国银联将根据 调查结果 调整 对收单机构的风险评，并视 情况实施 同 风险管理和处罚措施 。申诉 成员 机构有权就 其他 收单机构的违 规行为向 中国银联风险管理委员会提出 申诉 ，委员会 将根据 相应处 理流程 对申诉 件 进行调查和核 实，并作出裁 定。银联卡业务运作规章 325 第五卷 风险控制与安全管理第四章 清算风险管理本章对成员机构在银行卡跨行业务资金清算过程中的风险管理，做以下基本规定：原则全过程监控原则银联卡跨行业务清算风险的管理遵循“制度防范、风险可控、紧急处置”的原则，以防范和控制为主、紧急处置为辅，对资金清算全过程进行监控和管理，最大限度地降低银联卡资金清算风险，保证资金清算的正常进行。分级管理原则中国银联根据信用及清算风险等级的不同，对参加清算的成员机构的信用状况及日常清算情况进行监控和管理，其中对未达到信用及清算风险标准的成员机构实行重点监控。基本要求成员机构在清算中应遵守但不限于以下规定：在清算银行的清算账户备有足够资金，以确保日常清算顺利完成；风险等级未达到标准的成员机构，根据《银联卡跨行业务资金清算风险管理暂行办法》要求，在中国银联指定的备付金账户缴存风险备付金或提供担保；在清算银行的清算账户头寸不足时，应及时通知中国银联。清算风险备付金管理清算风险备付金是指由一定信用风险等级以下或日常清算中出现严重预警量核并向移向该连续时向周转金账户进行划拨。缴纳经中国银联董事会审议同意后，中国银联将向需缴纳风险备付金的成员机构发出“风险备付金缴纳通知”，在接到通知十五个工作日内成员机构应将风险备付金缴纳至指定账户。银联卡业务运作规章 326 第五卷风险控制与安全管理使用调整中国银联按成员机构跨行业务清算额每季度进行一次额度调整，风险备付金需调增的成员机构应在接到中国银联“风险备付金调整通知”后的十五个工作日内，按差额向中国银联缴足风险备付金。风险备付金需调减的成员机构，中国银联将在发出“风险备付金调整通知”后的十五个工作日内，按差额向成员机构退还资金。3.4解除成员机构的信用风险等级提高或主要指标得到明显改善，且一年之内未发生过风险预警提示情况，经中国银联董事会审议同意，可以停止缴纳风险备付金，中国银联按余额将该成员机构风险备付金退回。清算风险监控和预警清算风险监控指在付排队 的频率、 时间长短； 指被 付日终 退回，由 中国银联进行资金垫付的频率、 金额未及时汇 划清算资金的频率、 金额等情况；其它与 成员机构清算付能力 的指标。清算风险预警预警提示的生成当成员机构资金清算相关指标出现异常 ，有可能影响 支付情况时，中国银联将生成不同等级的预警提示。应对措施中国银联对生成清算预警提示的成员机构，将采取包括但不限于以下的措施：银联卡业务运作规章 327 第五卷 风险控制与安全管理要求提交书面解释；要求提供或增加质押担保。清算风险控制当日清算未完成成员机构当日应付差额未完成清算，而由银联垫付的，银联按规定收取罚息，罚息连同当日未付本金于下一个工作日一并提交清算。清算连续未完成成员机构因自身原因（战争、地震等不可抗力除外），连续两个清算日无法完成清算、造成银联垫付资金的，中国银联在通知成员机构后有权暂停转接其发卡行标识代码（BIN）下的全部跨行交易。重大风险事件成员机构发生突发性重大风险事件（如挤兑、系统瘫痪、勒令停业等）时，中国银联将紧急评估该机构资金清算风险，必要时将采取应急措施控制该机构银联卡的大额跨行交易。清算损失的补偿中国银联为成员机构进行紧急垫付后，成员机构因支付困难或破产无法归还垫款，造成清算风险损失的，中国银联可有权自主处置成员机构提供的担保物，成员机构的担保物不足以弥 补损失的，将使用特别 风险准 备金进行补偿，仍 不能 完全补偿，由董 事会决 定采取其他方式 进行补偿。对清算银行的要求境内 业务 清算银行中国银联境内 跨行业务 的资金清算银行为中国人民 银行所辖 清算机构。境外清算银行中国银联境 外务 的资金清算银行应当符合 一定的财务实 力和 风险管理 要求，并按照 中国银联资金清算风险管理 的要求，对成员银行的清算账户实 的风险管理 ，并向 中国银联报告 成员机构每 日清算结果及相关 风险信 息。银联卡务运作规章 328 第五卷 风险控制与安全管理第五章 欺诈交易及风险事件的报告与处理本章对成员机构报告和处理银联卡欺诈交易和风险事件做出基本规定。基本要求建立欺诈交易和风险事件报告、调查及处理制度；设立专职或兼职调查人员,以及风险事件联系人；分析和报告；积极协助司法机关、成员机构和中国银联进行欺诈及风险事件的调查与处理。欺诈交易报告发卡机构应报告的欺诈交易发卡机构必须按照《银联卡欺诈交易报送规则》，通过欺诈交易报告系统（RRMS）向中国银联报告以下欺诈交易：失窃卡欺诈交易；未达卡欺诈交易；虚假申请欺诈交易；伪卡欺诈交易；账户盗用欺诈交易；商户欺诈交易；其他欺诈交易。收单机构应报告的欺诈交易本机构具有再请款和提交争议的欺诈交易；收到退单请求60天内，本机构无权再请款或者提请争议的伪卡交易。报告时间成员机构发现欺诈交易后，应及时报告中国银联，最迟不超过以下规定时间：从欺诈交易发生之日起90天内；银联卡规章 329 第五卷风险控制与安全管理90天内报送。收单机构发现欺诈交易的10个工作日内。报送要项按“中国银联银行卡风险报告与管理系统”规定格式与内容上报相关信息，至少应包括以下内容：关联卡号、交易日期、授权号（如有）、受理商户名称及欺诈类型代码等。权利与责任所有成员机构均应在规定时间内完整、准确地报送银联卡欺诈交易信息。享有查询与本机构相关的欺诈交易信息，查询结果屏蔽报送机构名称。对本机构上报的欺诈交易信息具有修改与删除的权力。易，或经调查确属商户欺诈或系统认高风险商户导致的交易损失可使退单（凭密码进行的交易除外）。风险事件报送报送范围成员机构发生或发现以下风险事件时，应向中国银联报送：（一）空白银联卡丢失或被窃；（）银行银联卡信息及交易数据泄漏 ，或受理银联卡的网站 被非法侵入 ；（三 ）受理银联卡的机具非法 改装 ；（四 ）伪造 银联卡的犯罪活动 ；（五 ）商户欺诈或商户协同 欺诈；（六 ）冒用 及盗用 银联品牌 或银联标识 的风险件；（七 ）商户利用 银联卡洗钱 的活动 ；（八 ）疑似伪 卡信息取点 ；（九 ）需 要中国银联协助 查处 理的风险件。报送时间成员机构按照 以下规定时间报送已 发现的风险件：银联卡业务运作规章 330 第五卷 风险控制与安全管理（）3.1中第（）（）（）（）3个工作日内报送；（）3.1中第（）（）（）（）30天内报送；（三）3.1中第（九）项，由成员机构自行决定报送时间。报送内容成员机构对于空白银联卡及银联防伪标识失窃事件、账户信息泄漏、受理银联卡网站被非法侵入、盗用冒用银联卡品牌等风险事件的报送，其内容应包括：（一）报送的成员机构名称；（二）空白卡丢失的数量或银联防伪标识丢失的数量；（三）泄漏账户信息的种类、数量、具体卡号，涉及的发卡机构；（四）被非法侵入网站的名称、涉及的发卡机构、卡号、涉案金额等；（五）事件发