支付机构互联网支付业务风险防范指引.doc
《支付机构互联网支付业务风险防范指引.doc》由会员分享,可在线阅读,更多相关《支付机构互联网支付业务风险防范指引.doc(54页珍藏版)》请在咨信网上搜索。
1、支付机构互联网支付业务风险防范指引第一部分 总则 1.1 编写目的 为引导成员单位提高互联网支付业务风险防范意识,有效识别、防范互联网支付业务风险,保护成员单位及消费者的合法权益,促进互联网支付业务的健康发展,根据国家法律法规及相关规定,制定本指引。1.2 适用范围 支付机构互联网支付业务经营活动中的风险识别、防范及处置,应遵循本指引。支付机构是指根据中国人民银行非金融机构支付服务管理办法规定,取得支付业务许可证,获准办理互联网支付业务的非金融机构。互联网支付业务是指客户通过计算机等设备,依托互联网发起支付指令,实现货币资金转移的行为。1.3 基本要求 支付机构开展互联网支付业务活动时,应遵循
2、平等竞争、诚实守信、安全可靠、风险可控的原则。支付机构应建立与本机构支付业务规模、模式相适应的2 风险防范管理体系。在业务开展过程中,应根据风险状况不断完善防范措施,有效防范用户端与商户端风险。同时应依照有关法律、法规和监管部门规章、规范性文件的规定加强对资金和客户信息安全的管理,严格履行反洗钱、反恐怖融资义务,规范外包业务管理,实现行业内风险信息共享,确保有效识别、评估、监测、控制和处置互联网支付业务风险。第二部分 风险管理体系 2.1 组织架构 支付机构应建立与本机构支付业务性质、规模和复杂程度相适应的风险管理组织架构,以有效识别、评估、监测、控制风险。风险管理组织架构至少应包括以下基本要
3、素: a.董事会及其职责; b.高级管理层及其职责; c.风险管理部门及其职责; d.其它相关部门职责等。2.1.1 董事会职责 董事会对本机构互联网支付业务风险的管理负最终责任,主要职责包括: a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策; b.通过审批及检查高级管理层的风险管理职责、权限及报告制度,确保本机构风险管理决策体系的有效性,尽可能确保将本机构各项业务面临的风险控制在可以承受的范围内; c.定期审阅高级管理层提交的风险报告,充分了解本机构风险管理的总体情况、高级管理层处理重大风险事件的有效性以及监控和评价日常风险管理的有效性; d.确保高级管理层采取必要的措
4、施有效地识别、评估、监测和控制风险; e.批准内部审计部门提交的风险管理体系运行效果的审计报告,确保本机构风险管理体系接受内审部门的有效审查与监督; f.制定适当的奖惩制度,有效推动本机构风险管理体系的建立完善。g.风险管理其他重大事项。未设董事会的支付机构由执行董事或高级管理层履行相关职责。2.1.2 高级管理层职责 高级管理层负责执行董事会批准的风险管理战略及政策。主要职责包括: a.在风险的日常管理方面,对董事会负责; b.负责制定、定期审查和监督执行风险管理的政策、程序和操作规程,并定期向董事会提交风险总体情况的报告; 4 c.审阅风险管理职能部门提交的风险管理报告,充分了解机构风险管
5、理的总体情况,重大风险事件处理机制及日常风险监控、评价的有效性; d.界定各部门风险管理职责及风险管理报告的路径、频率、内容,督促各部门切实履行风险管理职责,以确保风险管理体系的正常运行; e.为风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等; f.及时对风险管理体系进行检查和修订,以便有效地应对因内部程序、产品、业务活动、信息技术系统、员工及外部事件和其他因素发生变化造成的风险损失事件。高级管理人员,包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。2.1.3 风险管理部门职责 支付机构应设立或指定专门部门负责风险管
6、理体系的建立和实施,及风控措施的审批和执行。专职部门应直接对高级管理层负责并与其他部门保持相对独立,以保证风险管理的一致性和有效性。主要职责包括: a.具体指导和协调本机构的风险管理工作; b.拟定本机构风险管理制度、程序和操作规程,提交高级管理层审批; c.建立风险识别、评估、监测、控制方法及报告程序,并组5 织实施; d.建立跨部门联合工作机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练工作; e.定期检查、分析相关部门风险管理情况,确保风险管理制度和措施得到有效落实; f.定期向高级管理层提交风险管理报告; g.为各相关部门提供风险管理培训,协助其履行风
7、险管理职责、提高风险管理水平。2.1.4 其他相关部门职责 风险管理相关部门包括:业务部门、信息科技部门、内审部门、合规部门、客服部门等。上述部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括: a.执行风险管理的政策、程序和操作规程; b.依据本机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急预案,确保与风险管理总体政策的一致性; c.监测重点风险,定期向风险管理职能部门通报本部门风险管理的总体状况,并及时报告风险事件。内审部门不直接负责或参与其他部门的风险管理,但应定期审计本机构的风险管理体系运作情况,监督检查风险管理政策的执行情况,对新出台的风险管理政策、程序和
8、具体的操作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效6 果的审计报告,跟踪、督导审计发现问题的整改工作。2.2 风险管理制度与内部控制 支付机构应依据国家相关法律法规,按照审慎经营的原则,建立健全风险管理制度和内部控制机制。2.2.1 风险管理制度 支付机构风险管理制度应满足全面性、有效性原则,包括但不限于以下方面: a.业务管理; b.用户管理; c.商户管理; d.资金安全管理; e.系统信息安全管理; f.反洗钱和反恐怖融资管理; g.风险事件及应急管理。2.2.2 内部控制 2.2.2.1内部控制应当体现全面、审慎、有效、独立的原则,主要内容包括: a.内部控制应当
9、贯穿本机构互联网支付业务全过程和全部操作环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或操作均应有案可查。b.内部控制应以防范风险、审慎经营为出发点,本机构业务经营管理中应体现“内控优先”的要求。 7 c.内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应能够得到及时反馈和纠正。 d.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。 2.2.2.2支付机构内部控制应当包括以下要素: a.内部控制环境。b.风险识别与评估。c.内部控制措施。d.信息交流与反馈。e.监督评价与纠正。2.3 风险管
10、理方法 支付机构应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处置,对风险事件进行分析、评估和报告。包括:制定有效的风险防范措施,监测关键风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,聘请外部中介机构对风险管理体系进行审计和评价等。支付机构应建立风险预警机制,以降低风险事件的发生频率;及时采取有效控制措施,减少风险事件损失;制定适当的程序报告风险状况和重大风险事件,重大风险事件应及时向董事会和高级管理层报告。 8 2.4 风险管理系统 支付机构应当建立完善风险管理系统,以有效识别、评估、监测、控制和报告风险。该系统应记录和存储与风险损失相关的数
11、据和风险事件信息,支持风险防范和控制措施,监测关键风险指标,并可提供风险报告的有关内容。具备条件的支付机构应建立实时监测系统,用以控制交易风险。业务类型复杂、经营规模较大的支付机构,应建立功能更加全面的风险管理系统,针对各项业务的风险特点实施有效管理。 第三部分 用户风险及防范 3.1 用户注册审查 3.1.1 实名制要求 支付机构应根据审慎原则,实名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。 支付机构应加强对用户支付账户的管理,为同一用户建立唯一的用户身份识别号,对该用户开立的所有支付账户进行关联、统一管理;对同一用户在同一支付机构开立多个支付账户的,应
12、采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。3.1.2 用户身份信息审核 支付机构在为用户开立账户时,根据账户开立主体不同,分9 为个人支付账户和单位支付账户。个人用户申请开立支付账户时,支付机构应登记其姓名、性别、国籍、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限等身份信息,并对用户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行有效审核。个人用户存在以下情形的,支付机构应核对其有效身份证件,并留存有效身份证件的复印件或者影印件。a.个人用户办理单笔收付金额人民币 1 万元以上或者外币等值 1000 美元以上支付业务的; b.个人
13、用户全部账户30 天内资金双边收付金额累计人民币5 万元以上或外币等值 1 万美元以上的; c.个人用户全部账户资金余额连续 10 天超过人民币 5000 元或外币等值 1000 美元的; d.通过取得网上金融产品销售资质的支付机构买卖金融产品的; e.中国人民银行规定的其他情形。单位用户申请开立支付账户时,支付机构应登记以下基本信息: a.单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外); b.可证明该客户依法设立或者依法开展经营、社会活动的执10 照、证件或者文件的名称、号码和有效期限; c.法定代表人(负责人)和授权办理业务
14、人员的姓名、有效身份证件的种类、号码和有效期限。支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。有效身份证件是指能够证明用户身份的相关证件。个人用户的有效身份证件,包括:居住在境内的中国公民,为居民身份证或者临时居民身份证;居住在境内的 16 周岁以下的中国公民,为户口簿;中国人民解放军军人,为军人身份证件或居民身份证;中国人民武装警察,为武装警察身份证件或居民身份证;香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;外国公民,为护照;政府有权机关出具的能够证明其真实身份的证明文件。法人和
15、其他组织用户的有效身份证件,是指政府有权机关颁发的能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件,包括营业执照、经营者或授权经办人员的有效身份证件。支付机构可通过与公安机关、工商机关及税务机关等机构的合作,对个人用户及单位用户基本身份信息的真实性进行有效审核。 11 3.1.3 用户申请资料保存 支付机构应加强对用户身份信息等资料的管理与保存,建立用户身份信息资料的分类、保管、查阅和销毁等管理制度,保证其妥善保管、有序存放、方便查阅,严防灭失、损毁和泄露。支付机构不得以任何形式对外提供用户身份信息等资料,法律法规
16、另有规定或与用户另有约定的除外。用户身份信息等资料,应当由支付机构按照归档要求,以纸质或电子方式妥善保存,保管期限自业务关系结束当年至少保存5 年。纸质资料应整理立卷,装订成册,编制会计档案保管清册,电子方式的资料应进行备份,按照系统信息安全管理相关制度的要求妥善保管。对于司法部门正在调查的可疑交易或违法犯罪行为活动涉及用户身份信息等资料,且相关调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应当将其保存至相关调查工作结束。3.2 用户服务协议 3.2.1 服务协议基本内容 支付机构为用户开立支付账户的,应在用户申请开立支付账户时签订服务协议。协议内容包括但不限于: a.支付账户的开立
17、、使用、挂失、止付和撤销的条件; b.身份验证和支付授权方式; c. 用户对支付机构核验其银行账户信息和身份信息真实性12 的授权; d.支付账户使用规则,以及违规使用的处置和责任; e.支付账户资金变动的通知方式; f.发现支付账户被盗用后的通知、处置方式和责任划分; g.用户身份信息和交易信息的保密责任; h.支付机构所提供的支付服务,包括具体的服务种类及产品功能等,及其支付服务的使用限制; i.交易风险提示,包括提示用户注意交易过程中可能存在的风险及风险发生后的相关处理措施; j.知识产权的保护,说明支付机构所享有的知识产权及相关侵权责任; k.业务争议解决方式及免责条款; l.双方的其
18、他权利和义务。3.2.2 风险防范内容 支付机构与用户签订服务协议时,应告知用户可能存在的风险及相关的注意事项。协议的风险条款应包含但不限于以下内容: a.支付机构提供的各项支付服务中可能存在的风险,以及用户的注意事项; b.用户注册支付账户时可能存在的风险,如未及时更新身份资料可能引发的风险等,以及用户的注意事项; c.用户使用支付账户时,如账号登录、密码设置、交易操作13 等,可能存在的风险,以及用户的注意事项; d.用户停止使用支付账户时可能存在的风险,以及用户的注意事项; e.其他风险防范内容。3.2.3 法律责任条款 支付机构与用户签订服务协议时,应明确与用户之间的权利与义务,并对各
19、自承担的法律后果及法律责任进行约定。协议的法律责任条款应包含但不限于以下内容: a.注册支付账户时,双方所承担的权利义务与责任; b.使用支付账户服务时,双方所承担的权利义务与责任; c.暂停、拒绝或终止支付账户服务时,双方所承担的权利义务与责任; d.支付系统服务中断或故障时,双方所承担的权利义务与责任; e.用户使用支付账户及交易过程中产生风险损失时,双方所承担的权利义务与责任; f.用户隐私权的法律责任条款; g.支付机构知识产权的法律责任条款; h.其他法律责任条款。3.2.4 协议变更告知 支付机构拟变更支付服务协议格式条款、收费项目、收费标准等主要内容的,应当在变更前 30 日告知
20、用户,并提示需要变14 更的内容,未向用户履行告知义务的,变更后的条款对该用户不具有约束力。变更协议涉及新增收费项目、提高收费标准、降低优惠条件等不利于原客户权益内容的,未经原用户同意,仍应当按照原协议执行。3.3 用户交易身份认证 3.3.1 基本要求 为保障用户身份信息及交易信息的安全,保证用户支付指令的完整性、一致性和不可抵赖性,支付机构应为支付账户提供安全可靠的身份验证和支付授权方式,并采取有效措施,在用户发出支付指令前,提示用户对支付指令的准确性进行确认。3.3.2 技术手段 支付机构可通过密码、令牌、动态口令、安全证书、手机校验码等技术手段对用户交易身份进行认证,确保用户的交易指令
21、由用户本人发出。支付机构可根据用户使用的不同身份认证方式设置支付限额,以保护用户的资金安全。用户提交的身份认证信息经多次验证或在限定时间内仍未通过的,支付机构应暂停其部分或全部业务的处理,并以适当方式通知用户。支付机构应持续更新交易身份认证技术手段,保证用户交易安全。 15 3.4 用户账户与交易监控 3.4.1 基本要求 支付机构应建立账户与交易监控系统,制定账户及交易安全监控、风险处置与报告制度,并指定专门部门、设置专职岗位或人员对用户账户及交易安全进行监控。3.4.2 监控范围 支付机构应当对用户签约、登录、交易、付款、查询、退款以及涉及账户变动的全过程实施 7X24 小时监控,以及时发
22、现账户盗用、欺诈交易等风险,保障用户资金及信息安全。3.4.3 监控指标 为强化对账户及交易的监控效果,提升监控效率,支付机构应对以下指标实施重点监控: a.订单信息,包括交易双方名称或账号、商户编号、交易内容、交易金额、订单编号、交易日期和时间等; b.交易频率; c.交易额度及限额; d.商户交易集中度; e.其他。3.4.4 异常交易识别、调查与处置 异常交易是指用户在办理互联网支付业务或支付机构在提供互联网支付服务过程中因自身或外来原因产生的非正常交易。异常交易包含但不限于以下情形: 16 a.用户利用互联网支付服务从事套现、诈骗、洗钱等违法犯罪活动而产生的非正常交易; b. 不法分子
23、通过采取恶意程序、网络钓鱼等欺诈手段,盗用用户账户或银行卡而产生的非正常交易; c.因支付业务系统及设施遭到自然或人为因素破坏,支付机构无法准确、及时地传送业务信息,或因网络攻击、网络犯罪活动导致互联网支付服务异常而产生的非正常交易。支付机构应在其网站上公布异常交易投诉渠道及调查处理流程,结合交易监控系统及投诉信息,对异常交易进行比对分析,并启动调查程序。支付机构应根据异常交易调查结果,采取暂停或继续交易、账户恢复原状、限制账户使用、冻结账户操作等措施。同时,根据异常交易种类、数量、后果及影响范围依照相关规定向业务监管部门进行报告。异常交易调查结果符合可疑交易报告标准的,支付机构应按相关要求向
24、中国反洗钱监测分析中心履行报告义务。支付机构应建立用户黑名单数据库,依据异常交易监测和调查结果,将确认存在违法或严重违规行为的用户列入该名单,并终止继续向其提供互联网支付服务。3.5 用户账户及交易信息安全 3.5.1 用户信息安全管理 支付机构应设立或指定专门部门负责用户信息保护工作,并17 与所有接触用户账户信息及交易数据等敏感信息的员工签署保密协议,明确员工需要承担的保密责任以及员工离职时的脱密期。支付机构应严格控制员工对用户账户信息及交易数据等敏感信息的访问权限,访问权限的分配应遵循分级授权的原则,访问记录应当留存备查,避免单个员工对用户账户信息及交易数据等敏感信息的完全控制。未经用户
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 支付 机构 互联网 业务 风险 防范 指引
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。