银联卡移动支付业务(智能卡模式)风险规则(试行)定稿

银联卡移动支付业务（智能卡模式）风险规则（试行）目录1总则1.1目的1.2定义及业务场景1.3适用范围1.4主要业务术语1.4.1智能卡1.4.2移动终端支付应用软件1.4.3可信服务管理（TSM）1.4.4Upcard应用1.4.5初始化和个人化1.4.6应用管理终端2发卡机构风险管理2.1业务申请及开通2.1.1开通卡种2.1.2持卡人身份审核2.1.3Upcard应用开通补充要求2.1.4风险告知2.1.5业务开通协议风险要求2.2支付交易风险管理2.2.1交易验证22.2.2交易限额管理2.2.3交易验证容错次数限制2.3交易风险监控2.3.1监控指标2.3.2指标运用2.4智能卡生命周期管理2.4.1制卡及运输2.4.2智能卡初始化2.4.3智能卡金融信息加载与个人化2.4.4智能卡配发2.4.5智能卡挂失和解挂2.4.6智能卡注销2.5移动终端支付应用软件安全要求2.5.1基本要求2.5.2登录控制2.5.3账户信息安全2.5.4移动终端支付应用软件发布2.5.5移动终端支付应用软件维护2.6应用管理终端风险管理2.6.1基本要求2.6.2补充要求2.6.3终端申领2.6.4签署终端申领协议2.6.5终端接入2.6.6终端申领登记2.6.7应用管理终端巡检与维护32.6.8应用管理终端回收2.7第三方服务机构风险管理2.7.1资质要求2.7.2合作协议必备风险条款2.7.3要求缴纳风险保证金2.7.4风险培训2.7.5日常风险管理2.7.6违规处理3收单机构风险管理3.1交易处理3.1.1规范设置交易报文3.1.2账户信息安全管理3.1.3交易凭证对卡号屏蔽的要求3.2商户风险管理3.2.1禁入商户3.2.2谨慎发展商户3.2.3入网审查3.2.4商户签约3.2.5商户入网3.2.6商户风险培训3.2.7商户注册登记3.2.8商户日常回访3.2.9商户风险监控3.2.10二级商户管理3.3近场交易受理终端安全管理3.3.1基本要求43.3.2终端申领3.3.3签署终端申领协议3.3.4终端布放3.3.5终端接入3.3.6终端巡检与维护3.3.7终端回收3.3.8终端风险监控3.4收单专业化服务机构风险管理3.4.1资质准入3.4.2风险审查3.4.3签署协议3.4.4风险培训3.4.5日常监督管理3.4.6收单专业化服务机构的风险监控3.4.7违规处理3.4.8业务终止4风险事件报送及处置4.1发卡机构风险报告及处理4.1.1风险报告4.1.2卡片账户处理4.1.3协助案件调查4.1.4优化风险监控措施4.2收单机构风险报告及处理4.2.1报告风险事件4.2.2调查欺诈商户4.2.3协助案件调查54.2.4风险整改4.3中国银联风险事件协查及处理4.3.1发送风险提示4.3.2组织开展案件调查4.3.3督促风险整改5风险责任划分5.1基本原则5.2风险责任划分6附则61总则1.1目的为加强银联智能卡移动支付业务风险管理，保障银联智能卡移动支付业务持续健康发展，特制定本规则。1.2定义及业务场景本规则所指智能卡移动支付业务是指消费者通过移动终端（主要为手机）完成货币资金转移的支付方式。根据交易发起方式，可分为移动近场支付和移动远程支付。移动近场支付指通过支持近场通讯的实体受理终端（包括POS、ATM、自助终端等），在交易现场以联机或脱机方式接入收单网络完成货币资金转移的支付方式。本规则中特指基于PBOC规范的智能卡发起的移动近场支付。移动远程支付指手机等移动终端，通过无线通信网络接入，直接与后台服务器进行交互，完成货币资金转移的支付方式。1.3适用范围本规则适用于接入银联网络开展智能卡移动支付业务的各参与方，包括银行卡发卡机构、收单机构、中国银联。发卡机构、收单机构应通过与第三方专业化服务机构、特约商户之间的协议明确本规则规定的相关风险管理要求。本规则适用于境内移动支付业务。1.4主要业务术语1.4.1智能卡集成了安全芯片（安全运算和安全存储单元）的集成电路（IC）卡片，在智能卡移动支付中存储持卡人账户信息和各种支付应用。智能卡包括SD卡、SIM卡、安全芯片内置的移动终端和外接7设备等形式。1.4.2移动终端支付应用软件移动支付业务中，在移动终端上使用（通常为手机），实现金融支付功能的应用软件。1.4.3可信服务管理（TSM）即可信任的服务管理系统，在智能卡参与的移动支付场景中，TSM系统负责智能卡多应用管理的业务、技术及安全。1.4.4Upcard应用即UnionPaycard应用，将经安全加密后的磁条卡信息下载到智能卡并实现移动支付功能的应用。1.4.5初始化和个人化智能卡初始化是指向智能卡安装初始根密钥，并获取手机支付应用（PBOC或UPCARD）。智能卡个人化是指初始化智能卡内的手机支付应用文件系统和密钥信息，收集用户的个人信息并写入智能卡。1.4.6应用管理终端智能卡移动支付Upcard应用中具备刷卡上送磁密信息功能，并对智能卡进行个人化和磁条卡信息下载的终端机具。2发卡机构风险管理2.1业务申请及开通2.1.1开通卡种发卡机构应仅限以个人标识代码（PIN）作为交易验证方式的银行卡（凭密交易银行卡）开通智能卡移动支付业务（除电子现金账户外）。2.1.2持卡人身份审核对于PBOC应用的借贷记帐户，发卡机构应根据自身发卡风8险策略，认真审核持卡人身份及有效证件，如要求持卡人本人至发卡机构柜面申请办理，或落实其他“亲访亲签”要求。对于Upcard应用，发卡机构应根据不同开通渠道分别验证以下要素：（1）通过发卡机构柜面办理的，应审核持卡人有效身份证件，并验证银行卡磁道信息和密码。（2）通过第三方服务机构现场办理的，应审核持卡人有效身份证件，验证银行卡磁条信息、密码，并获得发卡机构对磁条卡信息下载操作的授权。（3）持卡人通过刷卡自助终端办理的，发卡机构应验证银行卡磁道信息、密码和持卡人身份证号。2.1.3Upcard应用开通补充要求发卡机构或第三方服务机构在将银行卡磁条卡信息下载到智能卡时，必须在交易报文中明确标识该笔交易为磁条卡信息下载。采用非柜面形式开通业务时，第三方服务机构及自助终端管理机构应就验证报文、磁条信息下载授权等报文的格式或内容事先取得发卡机构的认可。发卡机构应限制同一磁条卡信息仅能下载至一张智能卡。2.1.4风险告知发卡机构应向持卡人进行业务风险告知，风险告知内容包括但不限于：（1）持卡人权利和义务；（2）开通智能卡移动支付业务可能存在的风险以及风险防范措施建议；（3）持卡人业务查询、投诉渠道和流程；9（4）其他风险注意事项。2.1.5业务开通协议风险要求智能卡移动支付业务开通协议中需明确以下内容：（1）本机构与持卡人之间的权利、义务；（2）安全用卡提示及风险防范建议；（3）风险责任界定及承担原则；（4）挂失、解挂、换卡、注销等客户服务条款。业务如有收费，必须在协议中明确收费标准，协议中没有明确收费标准的，计划开始收费前必须与客户重新签订协议。2.2支付交易风险管理2.2.1交易验证发卡机构应在交易授权前首先验证卡片是否已开通移动支付业务功能。未开通业务功能的，拒绝该笔交易请求。发卡机构应验证联机交易上送的银行卡信息（磁条卡为银行卡磁道信息、芯片卡为ARQC）和交易密码。验证不通过的，拒绝该笔交易。对于芯片卡脱机交易，发卡机构应验证TC，验证不通过的，拒绝承兑该交易。2.2.2交易限额管理发卡机构应针对移动支付业务不同交易类型，分别设置相应交易限额、交易频率等要素的限制，并在每次交易时予以验证，验证不通过的，拒绝该笔交易。2.2.3交易验证容错次数限制（1）密码容错次数发卡机构根据监管部门及自身风险控制要求设置交易验证容错次数限制，对于超出容错次数的账号，发卡机构应及时冻结10卡片，并提示持卡人联系发卡机构办理卡片解冻手续。发卡机构验证持卡人有效身份后，方能重新开通卡片支付功能。（2）其他要素容错次数发卡机构可比照交易密码容错次数，根据自身风险防范策略设置其他验证要素的容错次数及后续处理流程。2.3交易风险监控2.3.1监控指标发卡机构应制定移动支付业务风险监控指标，密切跟踪各项监控指标的变动情况，发卡机构监控指标包括但不限于：（1）单笔交易金额；（2）单卡每日累计交易金额、交易次数；（3）单卡短时间内（如一个交易日内）余额不足、密码验证错误等原因被拒绝的交易次数；（4）交易与持卡人背景情况、过往消费特征等是否相符；（5）新业务开通后短时间内（如一个交易日）连续大额交易情况；（6）卡片连续多个交易日在特定商户类型发生交易的笔数和金额。2.3.2指标运用发卡机构发现持卡人触发风险监控指标时，应及时采取人工授权干预、拒绝交易授权、暂时冻结移动支付交易功能等风险处置措施。2.4智能卡生命周期管理2.4.1制卡及运输发卡机构应在智能卡制卡环节落实以下要求：（1）使用符合《中国银联移动支付技术规范》，且经中国银11联认证的智能卡。（2）为每张智能卡分配初始根密钥，且密钥长度不得低于128位。（3）为不同的智能卡设置不同的访问密码，访问密码应设置容错次数限制（建议为3-5次）。对于密码验证错误达到容错次数的，应暂时冻结该张智能卡，并要求持卡人持有效身份证件至智能卡发放网点解锁。（4）符合《银联卡业务运作规章》第五卷《风险控制与安全管理》和《中国银联移动支付产品认证规则》中的相关规定。2.4.2智能卡初始化发卡机构在初始化智能卡时应落实以下要求：（1）每张智能卡有唯一的硬件序列号。（2）为每张卡片分配唯一一个智能卡主密钥，密钥长度至少128位，并在卡片个人化完成后用智能卡主密钥替换智能卡初始根密钥。（3）为每张智能卡中的金融应用分配唯一一个应用密钥,加解密应使用双倍长密钥算法。2.4.3智能卡金融信息加载与个人化对于通过空中下载方式加载金融账户信息的，应落实以下要求：（1）建立端到端安全的金融账户信息传输通道。（2）要求用户在身份验证时上送由智能卡硬件序列号，并在用户身份验证通过后，建立银行卡卡号与智能卡硬件序列号的定制关系。（3）在用户发起金融账户信息下载请求时验证智能卡硬件序列号与卡号的定制关系。验证不通过的，拒绝金融账户信息下12载交易。（4）金融账户信息下载完成后应进行完整性校验，校验通过后再进行数据的加载或者更新。（5）金融账户信息下载完成后应清除暂存账户信息。对于加载的金融账户信息为PBOC应用的，需符合《中国金融集成电路（IC）卡规范》；对于加载的金融账户信息为UPcard磁条卡信息的，还需落实以下要求：（1）对于通过现场应用管理终端下载磁条卡信息的，应在用户申请下载磁条卡信息时要求用户刷卡上送磁道信息和密码，供发卡机构验证。验证不通过的，拒绝后续业务流程。（2）对于通过手机空中下载磁条卡信息的，应限制用户下载磁条卡信息有效时间（最多不超过60分钟）。超时未下载，应及时清除智能卡标识代码与卡号所对应的磁条卡信息。（3）对于上述现场下载和空中下载两种方式，均应使用双倍长密钥算法对磁条卡信息进行硬加密保护。2.4.4智能卡配发发卡机构应在用户开通业务并申领智能卡时审核用户有效身份证件，与用户签署申领协议，明确双方权责义务。本阶段签署的申领协议与业务申请环节签署的智能卡移动支付业务开通协议为同一协议。2.4.5智能卡挂失和解挂发卡机构应向智能卡持卡人提供完善的挂失和解除挂失服务，并落实以下要求：（1）向持卡人提供7×24小时智能卡挂失服务；（2）验证持卡人身份真实性；（3）在接到持卡人挂失请求并验证持卡人身份后，立即冻13结挂失智能卡（不包括电子现金账户）；（4）要求持卡人亲至柜面解除智能卡挂失，并核查持卡人身份证件和智能卡有效性。2.4.6智能卡注销发卡机构应在用户申请销卡时，及时在系统中永久注销智能卡，并提醒用户通过有效措施销毁智能卡中所有数据信息。2.5移动终端支付应用软件安全要求2.5.1基本要求发卡机构发布的移动终端支付应用软件应符合《中国银联移动支付技术规范》，并经中国银联认证。2.5.2登录控制移动终端支付应用软件必须符合以下登录控制要求：（1）强制要求用户登录并验证登录密