银联卡风险管理规范汇编

目录1《银联卡风险管理规范汇编》中国银联风险管理部二00九年十月目录2序近年来，我国以银行卡为重要载体的电子支付业务持续、快速发展，银行卡支付呈现出业务规模增长迅猛、创新活动层出不穷、参与主体多元化、产业链日趋完善等特点。然而，伴随着银行卡业务（特别是信用卡业务）的高速发展，以信用卡虚假申请、套现、账户信息盗录等为突出表现形态的各类银行卡风险日益显现，尽管与全球银行卡风险形势相比仍处于较低水平，但其快速聚集的趋势，不仅对银行卡产业的健康持续发展构成重大影响，也引起了政府有关部门和社会各界的普遍关注和重视。当前银行卡业务风险的形势，与我国银行卡产业处于发展的初级阶段紧密相关，其产生和演变是产业内外部环境多层面、多因素综合的结果。一方面，银行卡产业的外部发展环境上确实存在犯罪分子活动猖獗，持卡人安全防范意识和技巧不足，银行卡相关法律法规及信用体系建设亟待完善等客观因素。另一方面，纵观银行卡产业内部，在快速发展过程中一些参与主体对风险认识不足，风险管理制度流程缺失，风险技术手段落后，风险管理水平参差不齐等问题亦不容忽视。因此，在推动政府、社会层面不断完善和优化外部发展环境的同时，强化和提升产业内部各方风险管理意识、能力，加快利于整体风险防范能力水平提升的银行卡规范标准体系建设和风险联合防范机制建设，是有效防范和降低国内银行卡业务风险的必由之路。目录3中国银联一直高度重视银联卡风险管理，以构建和谐的银行卡产业发展环境、促进银联业务参与机构的价值提升为出发点，积极倡导和推进风险联合防范机制建设，通过由主要的全国性商业银行、公安部、最高人民法院、最高人民检察院和中国银联指派的相关专家和负责人组成的风险管理委员会这一决策机制，共同构建和完善风险管理规范体系，并已陆续制订发布实施了一系列规范、标准和决议，内容贯穿了银联卡业务的整个生命周期，初步构建起了银联卡业务风险管理规范体系。上述规范的制订和实施，不仅充分体现了各成员银行和银联在风险管理上合作共赢的理念与成果，而且由于其符合成员银行银联卡业务风险实际情况及特点，在收单风险、账户信息安全、风险信息共享等风险管理实践过程中发挥了重要作用和显著成效。银联卡风险管理规范体系制订发布的时间跨度较大，同时内容涉及规则、标准、流程、指南等不同体例，为便于银联卡业务参与机构和人员学习、培训和查阅，应广大成员银行的要求，我们开展了本次梳理和汇编工作。根据文件体例和效力，我们将相关内容分为三卷及附录，其中：第一卷“银联卡风险管理运作规章”作为银联卡风险管理规范体系的原则纲领和基础文件，同时以“第五卷：风险控制与安全管理”形式归入了《银联卡业务运作规章》，是银联卡业务参与机构必须遵从的基本风险规范；目录4第二卷“银联卡跨行业务风险管理规则”是在第一卷的原则纲领下对各项银联卡业务风险防范和管理要求的具体细化，亦是银联卡业务参与机构应了解掌握并严格遵从的重要规范文件；第三卷“银联卡跨行业务风险管理指南”是为协助银联卡业务参与方遵从和达到相应银联卡业务风险规范及要求，提高银联卡业务风险管理水平而制订的相关指引，是供各方参考使用的非约束性文件；同时，为便于大家了解和掌握政府主管部门出台的涉及银行卡风险管理的法律法规及政策，我们还对近期相关的重要法律法规和文件进行了收集汇总，作为附录供各方参考。本汇编中包含的规范、标准及制度，在制订过程中均得到了人民银行、公安司法机关等部门领导，以及中国银联公司领导、风险管理委员会各位委员的殷切关心和悉心指导，各成员银行风险管理专家给予了大力支持和帮助，在此一并表示衷心的感谢。伴随着银联卡业务的快速发展和电子支付手段、渠道及产品的日新月异，风险形态和形势都将不断变化，因此银联卡业务风险管理的规范、标准的制订和完善也必将是一个持续的过程。在规范标准制订中我们本着认真负责、严谨求实的态度，在积极学习、借鉴同业经验的同时，充分结合国内银行卡业务的实际情况和特点，但仍会因水平和条件所限，难免有谬误和不妥之处，恳请业内专家和广大读者不吝批评、指正，以帮助我们今后不断修改、补充和完善。目录5参与银联卡业务风险管理规范的制订及本汇编的编印工作的现职人员有：袁晓寒、吴宏、杨芳、闵勇、陈锡彬、杨永太、李剑锋、孙大利、李熙、邱俊、陈晨、葛铭鸣、徐明、杨富云、王宇、张一中、陈蓉等，最后由彭桂林负责总审核工作。中国银联风险管理部二00九年十月十日目录6目录第一卷银联卡风险管理运作规章............................9风险控制与安全管理（银联卡业务运作规章第五卷）............................................9第二卷银联卡跨行业务风险管理规则.......................43中国银联风险管理委员会规则（修订）.........43银联卡安全服务公约.........................48银联卡收单机构商户风险管理规则（修订）.....50银联卡收单机构账户信息安全管理标准.........67POS终端卡号屏蔽改造工作实施要求...........83信用卡违规套现处罚试行规则.................85澳门地区银联卡收单风险管理试行规则.........92银联卡账户信息与交易数据安全管理规则（修订）117银联卡账户信息安全事件应急预案............126银联卡账户信息安全事件调查处理流程........132银联卡收单业务账户信息安全合规评估管理暂行规定........................................139银联卡账户信息安全合规评估机构管理暂行办法152银联卡收单业务账户信息安全合规评估工作试行办法........................................167目录7关于添加卡片校验码改造工作实施要求的意见..172关于停止转接无卡片校验码（CVN）相关BIN下卡片跨境交易的通知............................173银联卡欺诈交易报送规则....................174银行卡风险信息共享运作规则（修订）........179银行卡风险管理指标共享规则（修订）........189银行卡风险信息共享系统管理办法（修订）....285银联卡跨行业务资金清算风险管理暂行办法....298银联卡密钥安全管理规则【磁条卡部分】V1.0..305关于双倍长密钥算法加解密迁移时间进度的要求331银联卡风险事件报送及协助调查规则（修订）..332奥运期间银行卡风险事件应急处置预案........348第三卷银联卡业务风险管理指南..........................358银联卡收单机构商户风险管理指南............358马来西亚银联卡收单商户指引................419银联卡账户信息与交易数据安全管理指南......420银联卡发卡机构欺诈风险管理指南（v1.0）....459借记卡业务风险点分析及防范指南............541银联卡密钥安全管理指南【磁条卡部分】V1.0..565银联卡业务反洗钱指南......................596信用卡呆账准备提取及呆账核销参考办法......622目录8关于组织开展奥运银行卡安全支付应急处置演练的函........................................629附录：660中国人民银行、中国银行业监督管理委员会关于防范信用卡风险有关问题的通知..................660中华人民共和国刑法修正案（五）............670中华人民共和国反洗钱法....................671中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知..........................676中国银监会关于进一步规范信用卡业务的通知..684中国人民银行办公厅关于贯彻落实《中国人民银行中国银行也监督管理委员会公安部国家工商总局关于加强银行卡安全管理、预防和打击银行卡犯罪的通知》的意见..........................689风险控制与安全管理（银联卡业务运作规章第五卷）9第一卷银联卡风险管理运作规章风险控制与安全管理（银联卡业务运作规章第五卷）第一章成员机构风险管理的基本要求本章对中国银联在各成员机构加入银联开展业务各阶段风险评价的内容和内部风险管理作出基本规定。1风险评价及分级管理风险评价及分级管理，指成员机构在接受中国银联或中国银联认可的第三方评估机构风险评价的基础上，按不同的风险等级享受一定权利的同时,承担与其风险等级相应的义务。1.1风险评价的适用情况风险评价根据成员机构业务不同发展阶段，分别在成员资格准入阶段、开通业务阶段和已开展业务阶段进行相应的评价。1.2风险评价的内容1.2.1成员资格准入阶段信用风险。中国银联通过采信监管机构或第三方评估机构对成员机构的资本充足率、资产安全、管理水平、盈利状况、流动性等的评估结果，转换成中国银联成员机构的信用风险等级。若不具有第三方评估机构评价结果的，可申请由中国银联组织进行评估。国家风险，仅适用于境外机构。以国际著名评级机构的国家风险评级为参考，按一定标准转换为中国银联的国家风险评级。1.2.2成员开通业务阶段·密钥安全管理评价。参见本章第4节内容。·业务风险管理评价。成员机构在开展银联卡业务前，应在中国银联指导下，进行包括但不限于以下内容的风险评估：发卡或收单业务风险管理、账户及交易数据安全管理、反洗钱管理等。成员机构业务风险评价的结果作为中国银联是否允许其开通业务的重要依据。风险控制与安全管理（银联卡业务运作规章第五卷）101.2.3已开展业务阶段清算风险评价。参见本卷第五章相关内容。年度风险评估。银联每年度将重点对相关风险较大或指标异常的成员机构进行年度风险评估，以追踪该类机构的风险变化情况，并提出相应的风险管理措施和服务。1.3风险等级的运用中国银联通过风险评价确定成员机构的各类风险等级，并以此作为成员机构能否加入银联网络、是否缴纳清算备付金、是否需要提供担保或抵押、能否开通部分或全部银联卡业务的依据之一。1.4风险控制措施如果成员机构未能达到风险评价内容的标准，中国银联在董事会或风险管理委员会授权下将对其采取适当的风险控制措施，敦促其加强银行卡业务管理、提高风险管理水平。风险控制措施包括但不限于以下内容：启动风险管理培训和辅导计划；缴纳清算风险备付金；提供质押担保；暂停一项或多项业务；启动应急计划。2成员机构内部风险管理2.1人员及岗位设置要求成员机构应设置专门的部门、人员或岗位，负责银行卡业务的风险管理工作，包括但不限于以下内容：制定并执行本机构的风险管理政策及制度；确保银联卡相关处理系统及机具的安全；采取安全保密措施，保证银联卡资金、账户信息及交易数据的安全；对银联卡产品的安全生产、储存、运输、分发进行有效监督管理；开展持卡人安全用卡宣传，对商户进行防范欺诈培训；对与银联品牌和银联卡相关的欺诈行为进行监控、调查、分析和报告；风险控制与安全管理（银联卡业务运作规章第五卷）11协助司法机关、其他成员机构及中国银联进行欺诈及风险事件的调查处理。2.2建立银行卡交易风险监控体系成员机构应建立完善的交易统计体系，并积极利用技术手段对银行卡交易进行监控，及时识别、报告及处理银行卡业务中的各类风险。3账户信息与交易数据安全管理中国银联及成员机构必须按照《银联卡账户信息与交易数据安全管理规则》中的有关规定，保证自身及其特约商户、第三方服务机构达到规则中的各项安全要求。3.1权利与义务中国银联及成员机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况。一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的，可申请损失赔偿。各机构应