银联卡互联网商户风险管理指南

银联卡互联网商户风险管理指南内容摘要：

人身份证。 12  商户的实体店铺（如有）或负责人住所地址 、 联系电话真实有效；  商户具备真实有效的网站地址（ URL）及服务器 IP 地址；  商户经营范围、规模和开业 时间符合最低限制要求；  持有合法银行账户进行资金清算；  审核《域名注册证》或其他对提供域名享有权利的证明；  网上商户销售的商品属于国家特许经营的，应持有特许经营许可证。 对于网络特约商户，核验材料还应包括有关政府主管部门颁发的经营许可证和相关证明文件。 互联网商户经营能力审查 互联网商户中平台类商户应具备一定的经营规模，具体审核要素如下：  注册资本 ；  净资产规模 ；  近一年的净利润 和现金流情况 ；  持续经营时间 ；  平台类商户下设二级商户数量 、 规模等。 普通类商户经营能力的评估主要通过借 鉴其历史交易规模，对开展银联互联网交易规模预估，应至少同时满足以下条件中的两条：  平均每月交易笔数不少于 50 笔；  平均每月交易金额不少于 5000 元人民币；  前一年未出现亏损；  连续经营 2 年以上。 此外，可根据商户类型 、 付款方式的不同，区别设置月 、 季度和年营业额和注册资本的最低要求，以此对商户进行定期审查。 商户业务合规性审查 普通类商户 收单机构与商户签约前，应对普通类商户进行以下内容的审批： 13  合法经营，办理营业执照、税务登记证 、 商户负责人身份证件等；  机构及其负责人资信状况 良好；  商户有真实的经营场所或办公场所，并拍摄照片；  有明确、有效的经营网站地址；  ICP2证或有 ICP 备案 （政府和学校收费 的特殊网站 除外） ；  审核商户的行业类型，设定合适的商户服务类别码 ；  系统数据安全和人员配置有保障，业务制度体系完备；  商户提供的商品及服务内容合法合规，服务条款、客户隐私声明、安全管理声明完整，有关退货、退款、送货和交易取消政策齐全，客户服务体系健全。 平台类商户 收单机构与商户签约前，对平台类商户除进行 中的 9 项审批内容外，还需进行以下审批措施：  平台类商户对其发 展的二级商户必须进行实名验证，且注册信息真实完整，尽到合规审查职责；  平台类商户对二级商户有完善的信用评价方法和风险控制措施；  平台类商户应具有固定的营业场所及永久注册地信息。  平台类商户的二级商户信息报备 和上送 ； 平台类商户下属的二级商户，须在开展业务前报备收单机构，报备的信息包含但不限于商户名称、 商户负责人信息 、 商户 MCC、经营范围、企业性质、注册资本、成立日期、商户服务类别、联系地址、联系电话等。 要求平台类商户在交易实时上送二级商户名称和商户 MCC。 收单机构应要求平台类商户以协议的形式向二级商户明确 信息报备和实时上送的规定 ，同时 通过人行征信系统和中国银联风险信息系统查询 二级 商户负责人或法人的信用记录。 网站和信息安全审查  商户网站、服务器等软硬件设备具备网上收单的技术条件； 2 ICP 证是指各地通信管理部门核发的 《 中华人民共和国电信与信息服务业务经营许可证 》 ， 是 网站经营的许可证，根据国家《互联网信息服务管理办法》规定，经营性网站必须办理 ICP 证，否则就属于非法经营。 14  是否针对以下内容更对商户网站进行审查：  是否显示了明确的商户名称及标识；  是否完整准确地描述了商品或服务；  是否清楚描述了网上交易流程；  是否提供了客户服务联系信息；  是否明确列示了退货、退款和交易取消政策；  是否清楚说明了送货政策；  是否准确表明了交易货币；  是否有售后服务或纠纷处理方式 ；  是否有保密声明或隐私声明；  是否有安全管理声明；  是否有客户使用行为的管理。  商户网站应对黑客攻击的安全性，检查系统是否存在明显的技术漏洞；  网站与支付网关间通讯的安全性；  商户账户信息安全制度符合《银联卡账户信息与交易数据安全管理规则》的要求。 业务和欺诈风险状况审查 业务和欺诈风险状况审查包括：商户是否恶意获取和使用用户敏感信息、网上套现、是否参与洗钱、售卖违禁商品、与不具备网上受理资格的不法商户合谋洗单等。 在条件许可的情况下，可通过商户以前的收单机构和专业化服务机构了解商户历史的经营、退单状况及协议终止原因等，向商户所 在地的工商管理部门和征信机构、商户开户行进行资信状况调查。 可 查询银联风险信息共享系统 ，审查商户负责人是否被列入不良信息系统。 商户风险评级 收单机构在收集商户基本资料的基础上，根据自身业务策略设定评分规则和参数，形成该商户风险等级，作为是否与其签约、及签约后采取不同管理措施的参考，包括：交易限额、保证金等，评级主要应考虑以下要素： 15  信用风险：企业性质、注册资本、实体店资质、以往销售记录、银行往来记录、商户负责人个人资信情况；  欺诈风险：商户拓展来源、商户服务类型（ MCC、经营范围）、付款方式、开业 时间、预期销售额 、 与 其他机构 合作的欺诈率水平（如有） ；  合规风险：是否符合网络环境安全要求及数据存管要求，网站安全性、安全控件和密码保护、账户信息保存合规性和反洗钱相关规定。 审批权限及审批流程 审批权限 收单机构可以 采用审批集中化以及多层级审批权限的方式进行商户审核。 其中，审批集中化指商户审批权限要至少集中至地市级分支机构 ，如对套现高风险商户类型，可集中至省级分支机构集中审批 ； 多层级审批权限指根据商户风险等级或商户预销售额不同，审批人员层级亦不同，例如：  以商户风险级别为基准设置 商户审批权限 例如：根据本指南 “ 商户 风险 评级 ” ，对于低风险等级商户，可由主管或经理级员工审批即可；而对于风险倾向或风险等级较高的商户，应在以上审批的基础上，再提交高一级管理人员审批，或提交风险管理部门审批。  以商户预期销售额为基准设置商户审批权限 收单机构可设定预期销售额的底线，低于底线的商户，由主管或经理级员工审批；超过底线的商户，需由更高层管理人员审批；  特殊情况下的审批权限设置 例如：以前曾被拒绝，现又重新申请的灰名单商户，应提高最后审批人员层级 审批流程 审批流程独立化，由专人负 责商户审批工作，不得与商户拓展等相关岗位兼岗。 具体审批流程与《银联卡收单机构商户风险管理指南》中 “商户审查及审批流程” 一致。 商户灰名单信息库的建立和使用 16 商户灰名单信息库用途 对于由于风险原因未能通过审批或被终止合约的商户，收单机构应建立内部的灰名单商户信息库，对商户基本信息和拒绝原因进行详细记录，并及时进行更新汇总，为新商户的审批查询提供依据，杜绝不良商户多次申请。 商户灰名单信息库基本要素  商户名称  商户法定名称  商户所在地址  商户所在城市  商户所在国家  商户 电话号码  商户法人代表 /主要负责人姓名  商户法人代表 /主要负责人证件号  商户管理者 /敏感岗位的雇员 姓名  商户管理者 /敏感岗位的 雇员证件号  营业执照登记号  开户行及账号  商户网址（ URL）及服务器 IP 地址  拒绝签约的原因代码等 由于难以通过商户名称锁定互联网风险商户，建议在使用灰名单排查入网商户时，将新入网商户与灰名单商户的所有要素信息进行匹配，当达到一定匹配度时，即对该商户采取限制性措施或拒绝入网申请。 第五章 商户签约 协议格式 收单机构应制订统一格式的商户受理协议书文本，用于收单机构内 部各分支机构与商户的签约。 必备风险条款 17 收单机构的商户受理协议或协议附件中，应包括下列必备风险条款 ，以约定各方责任与义务 ： 商户不得将相关网关接口、标识等用于受理协议许可范围以外的用途，也不得给受理协议许可范围以外的第三方使用。 对于违反该条款的，收单机构保留向商户追索损失及要求额外罚款的权利。 除非经过收单机构书面允许，否则商户不得将受理业务委托或转让给第三方。 二级商户不得再发展下级商户； 商户在业务发生重大变更时，应及时通知收单机构，否则将可能承担 由此造成的损失。 所涉及的业务内容包括：  商户名称、负责人、商户 URL 及 IP、联系方式、开户银行等；  商户资本及所有权，如注册资本的增减、重大的债务变化、股权持有人的变更等；  商户所提供商品和服务以及提供方式，包括主营业务范围，送、退货方式。 保密条款。 商户应严格遵守《银联卡账户信息及交易数据安全管理规则》的相关规定，违反规定的商户需承担相应责任。 收单机构可根据对商户风险状况的评估，有权随时调整商户交易款的清算时限和方式。 商户违规操作及责任承担。 商户有 下列行为，如 篡改交易数据 ，为持卡人分单操作、套现等提供便利，以现金方式退货等违规操作， 应 由商户承担由此带来的损失。 在调查商户可能的欺诈交易时，收单机构可冻结商户交易款项。 交易凭据保存条款。 商户应对交易数据及与交易相关的原始凭证等保存至少 2 年。 如因商户对交易数据及凭证保存不当或遗失而造成的经济损失由商户承担。 终止交易规定。 商户出现违反相关规则的情况后，收单机构和中国银联有权终止该商户的受理业务。 商户风险信息使用条款。 在正常业务范围内，商户同意其收单机构18 及中国银联使用其风险信息。 交易查询及追索规定。 合约终止后，收单机构对合约终止前 2 年内的交易仍有查询及追索权。 建议补充的条款 收单机构 可考虑根据商户和业务的具体情况增补以下条款 ： 商户承诺提供审核资料的真实性，并对资料的真实性负责 ，保证其经营活动和范围的合法性，保证不从事淫秽色情、赌博或者其他任何非法活动。 风险保证金条款：根据商户不同的风险属性或风险评级，收单机构可要求商户支付一定金额的保证金用于商户违约造成收单机构 、 发卡行 或持卡人损失时赔付。 商户需确保有 关商品和服务描述完整，有关退货、退款、送货和交易取消政策齐全，有关客户服务体系健全。 商户要妥善、及时处理收单业务产生的差错和争议，保障持卡人资金安全。 商户应将银行卡交易的差错、退款资金，退回至原支付银行 账户 内，不得中途截留或退至其他 账户。 商户应加强对相关网站、电子支付设备及软件的日常维护和管理，按照 《银联卡收单机构账户信息安全管理标准（ ADSS）》和《银联卡收单业务账户信息安全合规评估管理暂行规定》的要求 ， 保证系统的安全稳定性，并遵守国家有关电子支付及网络安全的法律法规规定，确保交易 以及账户信息的安全，否则收单机构有权限定商户的电子支付交易金额或终止合作，并要求商户承担相应的违约责任。 补充的 商户违规操作及责任承担 条款。 商户 如有 未按要求上送交易验证信息 、 将线下交易处理为线上交易 等违规操作 行为的， 应承担相应责任。 在发生欺诈交易后，商户应履行配合 收单和发卡机构 进行风险事件协查的义务，包括但不限于提供商户或二级商户签约时留存的基本信息、支付交易信息、 商户 内部 的 客户信用记录、持卡人 在商户预留的 基本信息等。 平台类商户应配备相应的系统、人员和完善的制度， 应参照收单 机构管理特约商户的要求 对其二级商户的交易实施有效识别、追溯以及必要时暂停19 业务的管理。 平台类商户 须上送二级商户信息，包括商户名称和商户 MCC,并 承担二级商户发展和管理不善造成的风险损失。 终止交易规定。 商户出现违反 以下 规则 且通过通告、协商未作出改进的 ，收单机构 可以 终止该商户的受理业务 ：  在正式运行叁个月内无交易；  未经银行许可，利用银行提供的支付接口延伸至非双 方认可的网络运营商、服务商或下属公司；  商户因经营不善，已破产或停业的；  商户出现本指南第六章所述相关欺诈行为的；  被监管机构和司法机关认定为需要关闭的商户；  违反保密义务；  有其他严重影响双方合作行为的；  如未经收单机构允许，擅自修改移动服务器及 IP 地址。 正确设置商户参数 收单机构应根据互联网商户的服务类别及经营范围正确设置商户服务类别码，并在商户的服务类别和经营范围发生变更时及时予以更换。 收单机构应根据相应的技术规范在授权及清算报文数据字段中增加特定的网上支付交易标识符，以便发卡机构对网上支付交易实施区别于传统 POS 交易的风险监控和管理措施。 针对平台类商户，收单机构应特别注意二级商户，应根据其各自的服 务类别及经营范围，分别设置商户服务类别码。 对于混业经营的商户，若其涉及的各业务类别相互不独立，无法严格区分时，应按照混业经营商户的主营业务设置 MCC；若商户涉及的多个业务类别相对独立，可区分，则应按照交易发生的实际业。