預(yù)付卡業(yè)務(wù)風(fēng)險(xiǎn)管理辦法

預(yù)付卡業(yè)務(wù)風(fēng)險(xiǎn)管理辦法目錄TOC\o"1-5"\h\z預(yù)付卡業(yè)務(wù)風(fēng)險(xiǎn)管理辦法 11總貝U 4\o"CurrentDocument"1.1基本要求 4\o"CurrentDocument"1.2主要內(nèi)容 5\o"CurrentDocument"2發(fā)卡機(jī)構(gòu)管理 5\o"CurrentDocument"2.1發(fā)卡機(jī)構(gòu)準(zhǔn)入要求 5\o"CurrentDocument"2.2備付金管理 52.4.1開立賬戶 5\o"CurrentDocument"242備付金銀行 6\o"CurrentDocument"2.4.3備付金原貝U 6\o"CurrentDocument"2.4.4賬戶變更和撤銷 6\o"CurrentDocument"3制卡廠商管理 7\o"CurrentDocument"3.1制卡廠商準(zhǔn)入要求 7\o"CurrentDocument"3.2安全及風(fēng)險(xiǎn)調(diào)查 7\o"CurrentDocument"4受理商戶管理 8\o"CurrentDocument"4.1謹(jǐn)慎發(fā)展的商戶 8\o"CurrentDocument"4.2禁止發(fā)展的商戶 8\o"CurrentDocument"4.3商戶協(xié)議必備風(fēng)險(xiǎn)條款 9\o"CurrentDocument"4.4風(fēng)險(xiǎn)分級 10\o"CurrentDocument"4.5受理終端 10\o"CurrentDocument"5卡片管理 11\o"CurrentDocument"5.1基本要求 11\o"CurrentDocument"5.2主要內(nèi)容 11\o"CurrentDocument"6交易管理 12\o"CurrentDocument"6.1基本要求 12\o"CurrentDocument"6.2交易加密 12\o"CurrentDocument"6.3終端加密 13\o"CurrentDocument"6.4傳輸加密 13\o"CurrentDocument"6.5密鑰管理 13\o"CurrentDocument"6.6風(fēng)險(xiǎn)交易監(jiān)控 14\o"CurrentDocument"6.6.1系統(tǒng)偵測 146.6.2人工篩選 14\o"CurrentDocument"6.6.3現(xiàn)場核查 15\o"CurrentDocument"7數(shù)據(jù)安全管理 15\o"CurrentDocument"7.1基本要求 15\o"CurrentDocument"7.2數(shù)據(jù)備份 15\o"CurrentDocument"7.3數(shù)據(jù)保管 168業(yè)務(wù)操作管理 17\o"CurrentDocument"8.1基本要求 17\o"CurrentDocument"8.2權(quán)限設(shè)置 17\o"CurrentDocument"8.3操作管理 17\o"CurrentDocument"8.4清結(jié)算管理 18\o"CurrentDocument"8.5差錯(cuò)調(diào)整 18\o"CurrentDocument"8.6檔案管理 18\o"CurrentDocument"9系統(tǒng)運(yùn)行管理 19\o"CurrentDocument"9.1基本要求 19\o"CurrentDocument"9.2網(wǎng)絡(luò)安全 19\o"CurrentDocument"9.2.1網(wǎng)絡(luò)訪問控制 19\o"CurrentDocument"9.2.2網(wǎng)絡(luò)信息加密 20\o"CurrentDocument"9.2.3網(wǎng)絡(luò)安全策略 20\o"CurrentDocument"9.3生產(chǎn)設(shè)備和系統(tǒng) 219.3.1系統(tǒng)權(quán)限 219.3.2操作安全 229.3.3機(jī)房管理 22\o"CurrentDocument"9.4程序管理 23\o"CurrentDocument"9.5應(yīng)急故障處理 231總則為了推動預(yù)付卡行業(yè)的健康有序發(fā)展,提高各方在業(yè)務(wù)開展和實(shí)施過程中的風(fēng)險(xiǎn)防范意識，規(guī)范操作，建立有效的風(fēng)險(xiǎn)控制和監(jiān)督機(jī)制，特制定本辦法。本辦法主要描述預(yù)付卡業(yè)務(wù)各方在整個(gè)業(yè)務(wù)各個(gè)環(huán)節(jié)的潛在風(fēng)險(xiǎn)點(diǎn)及其防范措施，適用于開展預(yù)付卡發(fā)卡、受理和收單業(yè)務(wù)的各類機(jī)構(gòu)和部門?；疽?、設(shè)置職能部門、崗位,負(fù)責(zé)預(yù)付卡業(yè)務(wù)的風(fēng)險(xiǎn)管理工作；2、制定并執(zhí)行本機(jī)構(gòu)的風(fēng)險(xiǎn)管理政策及制度；3、利用技術(shù)手段對預(yù)付卡交易進(jìn)行監(jiān)控，及時(shí)識別、報(bào)告及處理預(yù)付卡業(yè)務(wù)中的各類風(fēng)險(xiǎn)；4、建立完善的信息安全管理體制,制訂賬戶信息與交易數(shù)據(jù)安全相關(guān)的制度及檢查程序,定期就賬戶信息及交易數(shù)據(jù)安全狀況進(jìn)行自查，并提供自查結(jié)果等書面報(bào)告；5、按照國家法律和相關(guān)規(guī)章制度要求,制訂相應(yīng)的反洗錢制度，對可疑交易進(jìn)行報(bào)送，并配備足夠的人員和采取有效措施，預(yù)防和打擊洗錢活動。6、對于未能達(dá)到風(fēng)險(xiǎn)管理基本要求的機(jī)構(gòu)，應(yīng)及時(shí)采取以下一種或多種風(fēng)險(xiǎn)控制措施,提高業(yè)務(wù)風(fēng)險(xiǎn)管理水平：?啟動風(fēng)險(xiǎn)管理培訓(xùn)和輔導(dǎo)計(jì)劃；?繳納風(fēng)險(xiǎn)保證金、結(jié)算備付金；提供質(zhì)押擔(dān)保;暫停一項(xiàng)或多項(xiàng)業(yè)務(wù)；?啟動應(yīng)急計(jì)劃。1。2主要內(nèi)容?機(jī)構(gòu)風(fēng)險(xiǎn)：發(fā)卡機(jī)構(gòu)、制卡廠商、受理商戶方面?業(yè)務(wù)風(fēng)險(xiǎn)：卡片、交易、數(shù)據(jù)、操作方面?其他風(fēng)險(xiǎn)：系統(tǒng)運(yùn)營方面2發(fā)卡機(jī)構(gòu)管理2。1發(fā)卡機(jī)構(gòu)準(zhǔn)入要求1、 有合法經(jīng)營資格；2、 在境內(nèi)有固定的營業(yè)場所；3、 工商營業(yè)執(zhí)照、稅務(wù)登記證（或相關(guān)納稅證明）、法人代表或負(fù)責(zé)人身份證件“三證"齊全，且真實(shí)、有效.4、 有預(yù)付卡發(fā)行的合法經(jīng)營資格，其中，非金融機(jī)構(gòu)應(yīng)當(dāng)取得人民銀行頒發(fā)的《支付業(yè)務(wù)許可證》；5、 按時(shí)足額繳納風(fēng)險(xiǎn)保證金和結(jié)算備付金。2。2備付金管理發(fā)卡機(jī)構(gòu)應(yīng)根據(jù)人民銀行有關(guān)預(yù)付卡的管理要求，制定完備的售卡資金管理制度，并嚴(yán)格執(zhí)行。2。4?1開立賬戶發(fā)卡機(jī)構(gòu)根據(jù)其發(fā)卡數(shù)量和規(guī)模,針對預(yù)付卡業(yè)務(wù)在指定商業(yè)銀行的開設(shè)專門的預(yù)付卡備付金專用存款賬戶存放備付金。與商業(yè)銀行的法人機(jī)構(gòu)或授權(quán)的分支機(jī)構(gòu)簽訂備付金存管協(xié)議，明確雙方的權(quán)利、義務(wù)和責(zé)任。2。4。2備付金銀行發(fā)卡機(jī)構(gòu)只能選擇一家商業(yè)銀行作為備付金存管銀行，根據(jù)業(yè)務(wù)需求選擇一家或是多家商業(yè)銀行作為備付金合作銀行。備付金存管銀行，是指為發(fā)卡機(jī)構(gòu)集中存放客戶備付金、復(fù)核客戶備付金頭寸調(diào)撥行為、歸集報(bào)告支付機(jī)構(gòu)全部客戶備付金信息的商業(yè)銀行.備付金合作銀行，是指為發(fā)卡機(jī)構(gòu)專戶存放客戶備付金以方便支付機(jī)構(gòu)通過行內(nèi)劃轉(zhuǎn)方式接受客戶備付金或辦理客戶委托的支付業(yè)務(wù)、并按規(guī)定向備付金存管銀行報(bào)送客戶備付金信息的商業(yè)銀行.備付金原則備付金必須?？顚Ｓ茫瑑H用于客戶委托的支付業(yè)務(wù)，與發(fā)卡機(jī)構(gòu)自有資金分戶管理。不得將售卡資金用于本辦法規(guī)定的以外的其他用途,否則應(yīng)承擔(dān)相應(yīng)責(zé)任。如果造成購買人或者特約商戶資金損失的，由發(fā)卡機(jī)構(gòu)承擔(dān)。賬戶變更和撤銷對于需要增開、變更、撤銷備付金專用存款賬戶的，應(yīng)當(dāng)與備付金銀行法人機(jī)構(gòu)變更備付金存管協(xié)議，并且通知相關(guān)部門做出信息變更.當(dāng)合作項(xiàng)目中止或到期結(jié)束時(shí)，發(fā)卡機(jī)構(gòu)繳存的備付金在足額支付合作商戶受理的結(jié)算資金后,多余部分退還至發(fā)卡機(jī)構(gòu)的指定銀行賬戶。制卡廠商管理3。1制卡廠商準(zhǔn)入要求1、發(fā)卡機(jī)構(gòu)應(yīng)當(dāng)謹(jǐn)慎挑選制卡廠商。2、與制卡廠商簽訂安全保密協(xié)議,確保生產(chǎn)、數(shù)據(jù)和運(yùn)輸?shù)娜窟^程嚴(yán)格遵守安全風(fēng)險(xiǎn)管理規(guī)定。3、發(fā)卡機(jī)構(gòu)具備對制卡廠商進(jìn)行監(jiān)督的責(zé)任。明確業(yè)務(wù)種類、范圍、程序和操作時(shí)限，禁止擅自轉(zhuǎn)包行為.4、制卡廠商必須取得中國銀聯(lián)，或國際信用卡組織相關(guān)認(rèn)證.5、制卡廠商負(fù)責(zé)承擔(dān)因管理不善或違規(guī)經(jīng)營給發(fā)卡機(jī)構(gòu)帶來的損失。3。2安全及風(fēng)險(xiǎn)調(diào)查發(fā)卡機(jī)構(gòu)對選擇的制卡廠商，每年至少進(jìn)行一次必要的安全及風(fēng)險(xiǎn)調(diào)查。調(diào)查內(nèi)容主要包括：空白卡生產(chǎn)申報(bào)制度的執(zhí)行情況；預(yù)付卡生產(chǎn)企業(yè)安全管理制度執(zhí)行狀況和產(chǎn)品質(zhì)量狀況;密鑰安全管理狀況；賬戶及交易數(shù)據(jù)的安全管理狀況；網(wǎng)絡(luò)、機(jī)房和系統(tǒng)狀況；人員和售后服務(wù)管理狀況以及其他需要知情的內(nèi)容。在安全及風(fēng)險(xiǎn)調(diào)查過程中，若發(fā)現(xiàn)合作廠商存在規(guī)章制度執(zhí)行不力、安全管理狀況松懈等問題的，或在合作中出現(xiàn)多次質(zhì)量問題的，應(yīng)視問題嚴(yán)重程度，要求其整改或終止合作關(guān)系受理商戶管理謹(jǐn)慎發(fā)展的商戶對于以下類型的商戶，應(yīng)謹(jǐn)慎簽約，并采取更為嚴(yán)格的調(diào)查措施和審批程序.1、 易發(fā)生風(fēng)險(xiǎn)的商戶類型機(jī)票代售點(diǎn)或手機(jī)專賣店；各類娛樂場所，如夜總會、卡拉OK、酒廊等；電話購物、郵購及網(wǎng)購商戶；提供中介、咨詢類服務(wù)的商戶;批發(fā)類商戶，包括專業(yè)化批發(fā)市場、小商品市場等；實(shí)際銷售的商品或提供的服務(wù)不明確的商戶，如小型貿(mào)易公司、經(jīng)貿(mào)公司等.2、 商戶、商戶法人代表或其主要負(fù)責(zé)人的資料已作為風(fēng)險(xiǎn)信息，被列入其他社會征信系統(tǒng).3、 被行業(yè)內(nèi)其它機(jī)構(gòu)拒絕簽約或撤銷的商戶。4。2禁止發(fā)展的商戶1、 不符合國家法律法規(guī)的：非法設(shè)立的經(jīng)營組織；特殊行業(yè)商戶：包括本國法律禁止的賭博及博彩類、色情服務(wù)類,出售違禁藥品、毒品、黃色出版物、軍火彈藥,以及其它與本國法律、法規(guī)相抵觸的商戶；已被列入中國銀聯(lián)風(fēng)險(xiǎn)信息共享系統(tǒng)“可疑商戶信息”的商戶；注冊地及經(jīng)營場所不在本國的商戶。2、 商戶、商戶法人代表或其主要負(fù)責(zé)人涉及重大民事糾紛或涉嫌經(jīng)濟(jì)、刑事犯罪。3、 停業(yè)整頓、瀕臨破產(chǎn)或已破產(chǎn)的商戶。4、 被其他收單機(jī)構(gòu)拒絕簽約或撤銷的高風(fēng)險(xiǎn)商戶。4。3商戶協(xié)議必備風(fēng)險(xiǎn)條款商戶協(xié)議應(yīng)包括但不限于以下風(fēng)險(xiǎn)必備條款：1、商戶不得將相關(guān)機(jī)具、設(shè)備、憑證等用于受理協(xié)議許可范圍以外的用途,也不可以提供給第三者使用.2、除非經(jīng)過收單機(jī)構(gòu)書面允許,否則商戶不得將受理預(yù)付卡的業(yè)務(wù)委托或轉(zhuǎn)讓給第三方。3、收單機(jī)構(gòu)只接受本商戶的交易簽購單，商戶不得將非本店發(fā)生的預(yù)付卡交易并入本店的結(jié)算數(shù)據(jù)。4、保密條款：＞賬戶信息和交易數(shù)據(jù)只用于輔助完成預(yù)付卡交易，商戶不得將賬戶信息和交易數(shù)據(jù)用于除此之外的任何其他用途；＞未經(jīng)相關(guān)機(jī)構(gòu)同意，不得將賬戶信息以及交易數(shù)據(jù)信息披露給第三方；＞商戶不得以任何方式保存預(yù)付卡磁道信息、個(gè)人密碼；＞商戶應(yīng)將簽購單等存有賬號信息的介質(zhì)保存在安全領(lǐng)域，并只允許經(jīng)授權(quán)人員接觸，嚴(yán)禁泄漏給第三方。＞商戶需承擔(dān)因自身管理不善，導(dǎo)致發(fā)生賬戶信息安全問題而造成的損失5、明確界定商戶違規(guī)操作行為及相關(guān)責(zé)任。6、收單機(jī)構(gòu)對終止商戶預(yù)付卡交易的有關(guān)規(guī)定。7、收單機(jī)構(gòu)對商戶基本信息及風(fēng)險(xiǎn)信息的無償使用條款。8、商戶對交易憑證的保管責(zé)任條款.商戶應(yīng)妥善保管好交易簽購單及與交易相關(guān)的原始憑證，并自交易日起至少保留24個(gè)月。明確由于對交易單據(jù)保管不當(dāng)或遺失而造成的經(jīng)濟(jì)損失應(yīng)由受理商戶承擔(dān)。9、交易查詢及追索條款。合約終止后12個(gè)月內(nèi)，收單機(jī)構(gòu)對合約終止前的交易仍有查詢及追索權(quán)；明確規(guī)定商戶配合收單機(jī)構(gòu)對有關(guān)交易進(jìn)行查詢和調(diào)單的義務(wù)。10、商戶違反協(xié)議規(guī)定時(shí)，收單機(jī)構(gòu)有權(quán)單方面無條件終止與其的合作,并追究其法律責(zé)任。11、商戶違反協(xié)議規(guī)定或出現(xiàn)商戶受理協(xié)議規(guī)定的風(fēng)險(xiǎn)情況時(shí)，收單機(jī)構(gòu)有權(quán)關(guān)閉終端交易功能,暫緩商戶預(yù)付卡交易資金的結(jié)算，直至風(fēng)險(xiǎn)事件調(diào)查處理完畢,風(fēng)險(xiǎn)狀況消除。風(fēng)險(xiǎn)分級對目標(biāo)商戶進(jìn)行簽約前的風(fēng)險(xiǎn)審查和實(shí)地調(diào)查，并根據(jù)審查和調(diào)查結(jié)果對目標(biāo)商戶進(jìn)行風(fēng)險(xiǎn)等級劃分，針對不同的風(fēng)險(xiǎn)等級應(yīng)采取不同的風(fēng)險(xiǎn)管理措施.4。5受理終端嚴(yán)格受理終端功能的對外開放,不在預(yù)付卡受理終端機(jī)具上受理社會企業(yè)發(fā)行的非銀聯(lián)標(biāo)準(zhǔn)及PBOC2.0標(biāo)準(zhǔn)的預(yù)付卡.卡片管理卡片是預(yù)付卡業(yè)務(wù)中的重要環(huán)節(jié)，主要涉及制卡和發(fā)卡二個(gè)過程。制卡過程主要做好卡號規(guī)則、磁條和使用規(guī)范，以及制卡廠商的管理方面的風(fēng)險(xiǎn)防范,發(fā)卡過程主要做好發(fā)卡機(jī)構(gòu)準(zhǔn)入、銷售管理和資金監(jiān)管制度方面的風(fēng)險(xiǎn)防范?；疽?、 卡號規(guī)則及其長度能夠滿足日常業(yè)務(wù)增長的需要2、 卡片的存儲信息具有不可推導(dǎo)性3、 單張卡片的數(shù)據(jù)及交易密碼的唯一性4、 防止卡檔傳輸和卡片制作過程中的信息外泄5。2主要內(nèi)容1、 卡號規(guī)則和信息內(nèi)容卡號長度一般為16位-19位，應(yīng)包括BIN號、發(fā)卡區(qū)域或門店代碼、卡序號和校驗(yàn)碼.卡檔信息的最后一位為卡號校驗(yàn)碼，是根據(jù)卡號信息計(jì)算的出來的數(shù)字,可以有效防止卡號被連續(xù)復(fù)制。2、 具有密碼和CVV(CardVerificationValue)使用有密碼的卡片更安全，制卡時(shí)通過覆膜保證密碼的安全.CVV是由卡號、有效期、服務(wù)代碼、機(jī)構(gòu)編碼及密鑰通過DEA(DataEncryptionAlgorithm)算法生成的一個(gè)3位數(shù)值,保存在卡片的磁條中,可以防止被批量復(fù)制3、 加密算法發(fā)卡，卡檔信息加密制卡檔，采用具有硬件加密的發(fā)卡系統(tǒng)產(chǎn)生卡檔，建立復(fù)核機(jī)制和權(quán)限管理，避免非權(quán)限人員接觸卡檔數(shù)據(jù)。該數(shù)據(jù)包括卡號、有效期、密碼等信息，按卡廠的設(shè)備要求進(jìn)行數(shù)據(jù)加密和傳遞,可以防范卡檔在傳遞過程的風(fēng)險(xiǎn)。4、 卡片生產(chǎn)風(fēng)險(xiǎn)控制（制卡廠商管理）6交易管理6。1基本要求1、 保證所有交易信息均進(jìn)行安全加密2、 保證敏感數(shù)據(jù)傳輸過程采用密文傳輸3、 交易及遠(yuǎn)程管理終端采用加密認(rèn)證4、 對風(fēng)險(xiǎn)交易進(jìn)行防范6。2交易加密對聯(lián)機(jī)交易，在每臺終端上設(shè)定一個(gè)與交換平臺對稱的傳輸主密鑰，并采用二級密鑰體系對交易報(bào)文進(jìn)行加密，非法終端無法完成與主機(jī)的信息交換，所有聯(lián)機(jī)交易均須取得主機(jī)授權(quán)方可進(jìn)行，與主機(jī)聯(lián)機(jī)作業(yè)時(shí)，交易信息均通過MAC加密,確保信息不被篡改及泄漏。后臺系統(tǒng)設(shè)有黑名單功能，在每筆交易被處理前都必需先檢查該卡片是否在卡片黑名單中。使用密碼鍵盤密碼鍵盤可以保證密碼輸入的安全，密碼不會被其他系統(tǒng)所獲得，交易系統(tǒng)的密碼均加密設(shè)備加密，不可逆推，充分保證密碼的安全。使用MAC報(bào)文消息檢驗(yàn)碼，報(bào)文接收方通過MAC可以判斷該報(bào)文是否被篡改。?數(shù)字證書及數(shù)字簽名技術(shù)HTTPS協(xié)議通過交易服務(wù)端下發(fā)數(shù)字證書給客戶端，可以驗(yàn)證客戶端合法身份，以保證交易數(shù)據(jù)來源的合法性，防止虛假交易.關(guān)鍵信息、敏感信息加密通過硬件加密機(jī)加密，如PIN、MAC、CW等?？ㄆ诺佬畔⒓用艽鎯θ魏蜗到y(tǒng)管理人員無法獲得.6.3終端加密采用符合中國人民銀行《銀行磁條卡銷售點(diǎn)終端規(guī)范》的標(biāo)準(zhǔn)POS機(jī)作為預(yù)付卡交易終端，采用專用加密芯片進(jìn)行加密運(yùn)算，從硬件上保證與預(yù)付卡交易同等的安全性。每部終端機(jī)皆設(shè)有唯一終端編號，主機(jī)會自動驗(yàn)證終端合法性，非法終端無法與主機(jī)聯(lián)機(jī).6。4傳輸加密使用DDN、VPN線專線傳輸數(shù)據(jù)，確保數(shù)據(jù)不被其他系統(tǒng)截取。建立安全的SSL傳輸通道,對傳輸數(shù)據(jù)進(jìn)行加密，保障傳輸數(shù)據(jù)安全。6。5密鑰管理1、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記；2、系統(tǒng)主密鑰經(jīng)加密后需存放于安全區(qū)域內(nèi)，使用時(shí)由系統(tǒng)自動獲取并脫密；3、控制密鑰訪問權(quán)限；4、嚴(yán)格保管自己所掌握的生產(chǎn)密碼，如有泄露,視同私自告知他人處理；5、密碼應(yīng)定期修改，間隔時(shí)間不得超過三個(gè)月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容;6、禁止非管理員私自用他人密鑰做任何操作。6.6風(fēng)險(xiǎn)交易監(jiān)控對磁道信息不符、cvv校驗(yàn)錯(cuò)誤的交易進(jìn)行監(jiān)控及分析，及時(shí)發(fā)現(xiàn)制發(fā)卡過程中的潛在風(fēng)險(xiǎn)并跟進(jìn)處理。通過一定的指標(biāo)，對大額交易金額、同一卡號短時(shí)間內(nèi)不同地點(diǎn)的交易、同一卡號短時(shí)間內(nèi)的多次交易等進(jìn)行監(jiān)控,及時(shí)排除可疑和風(fēng)險(xiǎn)。風(fēng)險(xiǎn)交易監(jiān)控的工作包括系統(tǒng)偵測、人工篩選以及現(xiàn)場核查三個(gè)方面。6。6.1系統(tǒng)偵測根據(jù)風(fēng)險(xiǎn)監(jiān)控規(guī)則，對發(fā)卡機(jī)構(gòu)的銷售筆數(shù)和金額、受理商戶的退貨和撤銷交易、卡片的結(jié)構(gòu)性和規(guī)律性的大額交易等，開展交易監(jiān)控，查找疑似風(fēng)險(xiǎn)交易。6.6。2人工篩選對經(jīng)系統(tǒng)偵測發(fā)現(xiàn)的疑似風(fēng)險(xiǎn)交易進(jìn)行分析，初步判斷風(fēng)險(xiǎn)類型及程度。1、 根據(jù)行業(yè)類別、經(jīng)營范圍、主營業(yè)務(wù)、營業(yè)時(shí)間等資料，判斷疑似風(fēng)險(xiǎn)交易的風(fēng)險(xiǎn)程度;2、 對一定時(shí)期的交易情況進(jìn)行對比分析，對出現(xiàn)交易異常波動的情況，應(yīng)重點(diǎn)核查；3、對多次觸發(fā)監(jiān)控規(guī)則的情況，應(yīng)重點(diǎn)核查；4、其它需要關(guān)注的風(fēng)險(xiǎn)因素。6.6.3現(xiàn)場核查對經(jīng)系統(tǒng)偵測和人工篩選判定的疑似風(fēng)險(xiǎn)交易，應(yīng)按照風(fēng)險(xiǎn)事件調(diào)查處理的工作要求進(jìn)行現(xiàn)場調(diào)查，核實(shí)風(fēng)險(xiǎn)程度，并采取相應(yīng)的控制措施。7數(shù)據(jù)安全管理7。1基本要求1、通過權(quán)限控制，對原始交易數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)的數(shù)據(jù)來源、數(shù)據(jù)傳送、數(shù)據(jù)安全和數(shù)據(jù)統(tǒng)計(jì)的各個(gè)環(huán)節(jié)進(jìn)行監(jiān)控和管理;2、要求數(shù)據(jù)來源的唯一致，防止數(shù)據(jù)被篡改;3、建立安全的數(shù)據(jù)傳送渠道，保證數(shù)據(jù)傳送過程中安全；4、統(tǒng)一數(shù)據(jù)對外出口,加強(qiáng)對數(shù)據(jù)需求和使用對象的審核;5、做好數(shù)據(jù)備份工作。7。2數(shù)據(jù)備份1、制定需備份的數(shù)據(jù)的規(guī)則和程序。2、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識。備份數(shù)據(jù)必須異地存放，并明確落實(shí)異地備份數(shù)據(jù)的管理職責(zé)。3、測試備份，以確保備份的數(shù)據(jù)是好的，能夠用于災(zāi)難恢復(fù);在線交易，必須進(jìn)行實(shí)時(shí)備份。4、標(biāo)記和排列備份，包括使用有意義的名稱、備份數(shù)據(jù)的日期和時(shí)間、數(shù)據(jù)的內(nèi)容、誰創(chuàng)建的數(shù)據(jù)以及一些說明等。5、將備份存儲在安全地方，防止非法訪問和防止受到火災(zāi)、洪水和地震等災(zāi)害物理破壞的地方，備份數(shù)據(jù)建議不存儲在數(shù)據(jù)中心本身。7.3數(shù)據(jù)保管1、重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運(yùn)輸安全和保密管理，保證存儲介質(zhì)的物理安全。2、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級審批，以保證備份數(shù)據(jù)安全完整。3、數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行，出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn),確保數(shù)據(jù)恢復(fù)的完整性和可用性。4、數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作.數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期,避免對聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。5、需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存,防止存儲介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。業(yè)務(wù)操作涵蓋業(yè)務(wù)的整個(gè)過程，包括銷售操作、財(cái)務(wù)審核、卡片管理、業(yè)務(wù)變更和差錯(cuò)調(diào)整等業(yè)務(wù)處理。在業(yè)務(wù)操作過程中，確保憑證要素齊全，操作及時(shí)準(zhǔn)確，審核機(jī)制健全，保證業(yè)務(wù)操作的嚴(yán)謹(jǐn)合理性.8.1基本要求?根據(jù)業(yè)務(wù)需要分配相關(guān)業(yè)務(wù)操作權(quán)限；?核心業(yè)務(wù)必須有經(jīng)辦崗及復(fù)核崗，確保雙人操作?物理卡片、終端機(jī)具等產(chǎn)品管理必須確保實(shí)物與賬務(wù)管理崗位分離?按時(shí)高效地完成資金清結(jié)算相關(guān)工作?定期通過業(yè)務(wù)檢查，對操作日志、實(shí)物、賬務(wù)和資金進(jìn)行核查8。2權(quán)限設(shè)置對操作員分組，設(shè)定用戶訪問和操作權(quán)限，保留使用者登入/注銷記錄，建立操作員/組管理。系統(tǒng)依職務(wù)類別設(shè)定劃分功能組,并訂定各組作業(yè)權(quán)限，每一功能組設(shè)定其可執(zhí)行的作業(yè)權(quán)限項(xiàng)目，諸如分別設(shè)定卡片管理組、充值售賣組、管理員組、查詢組等，依業(yè)務(wù)分工訂定各組可執(zhí)行的功能項(xiàng)目，如交易資料查詢、額度查詢、更新或報(bào)表查詢、檔案下載等。8.3操作管理建立標(biāo)準(zhǔn)化操作流程，操作員正確錄入和修改，專人負(fù)責(zé)審核操作，對核心業(yè)務(wù)必須進(jìn)行二次審核通過技術(shù)手段發(fā)現(xiàn)操作環(huán)節(jié)和過程中的潛在風(fēng)險(xiǎn),及時(shí)修改并更新.同時(shí)，按照業(yè)務(wù)發(fā)展的需要，不斷優(yōu)化和完善系統(tǒng)相關(guān)功能。清結(jié)算管理遵循“制度防范、風(fēng)險(xiǎn)可控、緊急處置”的原則，對資金清結(jié)算的全過程進(jìn)行監(jiān)控和管理，最大限度地降低預(yù)付卡資金清算風(fēng)險(xiǎn)，保證資金清算的正常進(jìn)行.嚴(yán)格按照會計(jì)制度的要求，做好相關(guān)備付金充足率的核查，應(yīng)收應(yīng)付賬款的管理。能夠通過暫停交易等方式進(jìn)行止損.以系統(tǒng)產(chǎn)生的交易數(shù)據(jù)為依據(jù)，以系統(tǒng)產(chǎn)生的報(bào)表為基礎(chǔ)，定期按時(shí)完成受理商戶結(jié)算資金的劃付工作.8。5差錯(cuò)調(diào)整做到有憑有據(jù),所有差錯(cuò)調(diào)整的內(nèi)容必須經(jīng)過核實(shí),理由充分且處理正確。差錯(cuò)調(diào)整通過系統(tǒng)操作來實(shí)現(xiàn),實(shí)現(xiàn)的結(jié)論會通過報(bào)表反映處理。商戶可以通過差錯(cuò)調(diào)整來解決客戶的退貨、賬戶疑問等問題，也可以滿足對賬過程中出現(xiàn)的差異.8.6檔案管理建立建全的文檔登記和保管制度；文檔格式要求統(tǒng)一;文檔分類明確；設(shè)置密級管理,根劇內(nèi)容的重要性設(shè)置文檔的保密級別；明確文檔的訪問權(quán)限；設(shè)定商戶檔案（簽約資料、日常管理的資料）、流程工作檔案、結(jié)算業(yè)務(wù)檔案、統(tǒng)計(jì)分析檔案（報(bào)表）等要求按照業(yè)務(wù)檔案管理辦法的相關(guān)要求，做好檔案的分類保管、調(diào)查閱、按期銷毀等工作。9系統(tǒng)運(yùn)行管理系統(tǒng)具備高可靠性的軟硬件系統(tǒng)，能夠滿足7*24小時(shí)的不間斷運(yùn)行；采用容錯(cuò)性高的系統(tǒng)，保障交易成功率在98%以上;系統(tǒng)的容量和架構(gòu)支持巨量卡片和數(shù)據(jù)的處理，模塊化和接口化的標(biāo)準(zhǔn)能夠滿足多方位業(yè)務(wù)升級的需要；系統(tǒng)及機(jī)房能夠按照相關(guān)認(rèn)證標(biāo)準(zhǔn)要求建立。9.1基本要求?建立符合業(yè)務(wù)和安全要求的應(yīng)用及賬務(wù)系統(tǒng)?建立防止攻擊和可負(fù)載均衡的網(wǎng)絡(luò)?保證系統(tǒng)及網(wǎng)絡(luò)的長期安全穩(wěn)定的運(yùn)行?具有多方位業(yè)務(wù)的支撐及擴(kuò)充能力9.2網(wǎng)絡(luò)安全921網(wǎng)絡(luò)訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制涉及的技術(shù)范圍比較廣泛，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。1、入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟:用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未通過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。2、網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施.用戶和用戶組被賦予一定的權(quán)限.用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述.網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時(shí)間和方式。用戶賬號應(yīng)只有系統(tǒng)管理員才能建立。3、網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，網(wǎng)絡(luò)服務(wù)器會自動記錄企圖進(jìn)入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達(dá)到設(shè)定的數(shù)值，那么該賬戶會被自動鎖定.9。2.2網(wǎng)絡(luò)信息加密目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密（保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全）、端到端加密（對源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)）和節(jié)點(diǎn)加密（對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)）.9。2。3網(wǎng)絡(luò)安全策略包括：確定安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施禁止不安全協(xié)議訪問生產(chǎn)網(wǎng)絡(luò)主機(jī)。如：FTP、TELNET，應(yīng)采用SSH、SCP等安全協(xié)議。使用安全鏈路接入生產(chǎn)網(wǎng)絡(luò)，內(nèi)部WebServer與外部WebServer分離。?使用雙重防火墻區(qū)隔保護(hù)，使用抗病毒軟件來防止惡意代碼從網(wǎng)絡(luò)內(nèi)打開安全漏洞。?對訪問網(wǎng)絡(luò)的設(shè)備實(shí)施審計(jì)，定期檢查審計(jì)日志。?建立災(zāi)備系統(tǒng)，確保設(shè)備均有備份，排除單點(diǎn)隱患.9。3生產(chǎn)設(shè)備和系統(tǒng)9。3。1系統(tǒng)權(quán)限1、 服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。2、 遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時(shí)在“密碼管理登記簿”中登記；3、 系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用；4、 有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對密碼立即修改或用戶刪除，同時(shí)在“密碼管理登記簿”中登記；5、用戶管理，根據(jù)不同用戶有擁有的不同權(quán)限，禁止越權(quán)操作.9。3。2操作安全操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級對數(shù)據(jù)存取進(jìn)行控制的代