小心数亿牌照被“一票否决”:支付机构收单业务之规范要点
【摘要】支付牌照在央行去年宣布不再核发新牌照至今,第三方支付牌照价格一路飙升,甚至有牌照被炒到20亿元,足见其稀缺性。但同时支付行业种种不合规现象时有发生,为此,央行进一步严格管理也在预料之中。
金评媒(https://www.jpm.cn)编者按:央行对银行卡收单业务技术提出较高要求以防止支付安全风险,支付机构应当按照规定及时完成收单业务合规来应对严监管。
据媒体报道,7月27日央行总行营管部科技部副处长刘立安在非银行支付机构技术交流会上介绍,出现6种情况就会在续展中被“一票否决”,支付机构将面临“不予续展”的决定。这6种情况包括:
一、存在支付业务核心系统外包,或缺少必要的备份设备(包括但不限于核心网络设备、应用服务器、数据库服务器等);
二、支付业务系统存在较大风险漏洞,造成个人敏感信息泄露,造成较大损失或社会影响;
三、由于支付业务系统原因造成支付服务中断,且造成较大经济或社会影响;
四、安全事件报告和处置不及时或未采取有效措施,造成较大经济或社会影响;
五、现场检查、系统检测、漏洞排查等发现问题未及时整改,或者国家有关部门通报的重大安全漏洞未及时修补,造成较大经济损失或社会影响;
六、从事银行卡收单业务的支付机构,未按照金融IC卡相关文件和标准开展银行卡受理环境建设,提升银行卡安全风险防范能力。
上述内容均对支付机构技术安全提出严格要求,其中对于受理终端的技术规范,在2017年2月23日央行发布特急文件《中国人民银行关于强化银行卡受理终端安全管理的通知》(“21号文”)明确提到,严格从规范银行卡交易报文管理、加强银行卡受理终端注册管理、强化银行卡受理终端产品质量管理、加大银行卡受理终端支付风险防控力度等,并要求支付机构在限定的时间内完成规范。
银行卡交易报文管理
21号文规定,POS终端要在本代本、本代他交易报文中包含受理机构编码、商户编码、终端编码、终端序列号、终端应用版本编号等信息,并于2017年6月前完成POS终端应用程序升级。
同时,收单机构要按照《银行卡收单业务管理办法》传送交易信息,交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。
因此,支付机构应当完成POS终端应用程序升级,并按规定报送MCC码、POS终端序列号、交易信息等。
银行卡受理终端注册管理
支付机构应当对POS机终端信息在银行卡清算机构进行注册,并于2017年7月1日起完成全部采用密码识别技术增强POS机合法身份信息验证,确保注册信息真实可靠。支付机构一方面要严格执行“一机一密”的要求;另一方面正确执行行业MCC码费率标准。
银行卡受理终端产品质量管理
21号文及《中国人民银行关于进一步加强银行卡风险管理的通知》要求,支付机构应从终端产品选型、验收、现场检查等环节加强安全管理,确保终端产品的技术标准符合性。银行卡清算机构应会同成员机构采取入网终端签名、唯一性标识等技术措施,加强受理终端入网管理,严禁不符合标准、非法改装的受理终端入网使用。对于存量终端应建立定期检查机制,持续开展终端抽检工作,确保布放的终端与合格样品的一致性,严控改装终端的使用,并且自2017年6月1日起,银行卡清算机构对于禁止未通过检测认证的终端产品入网。
因此,支付机构应及时清理不符合规定的POS终端,定期开展现场巡检和商户培训工作,布放合格POS终端并完成入网,落实商户实名制,并进行征信查询并留存商户档案。
银行卡终端支付风险防控
银行卡终端风险防控主要涉及以下方面:
第一,报文数据核对。2017年6月1日起,银行卡清算机构每日对终端注册数据和交易报文数据进行核对,对恶意篡改终端信息等违规行为将纳入黑名单管理。
第二,交易风险监控。清算机构将利用大数据分析技术鉴别移机、切机、二清、套码等违规行为。
第三,终端密钥管理。根据《中国人民银行关于进一步加强银行卡风险管理的通知》,支付机构一是不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理;二是指定专人管理终端密钥和相关参数,确保不同的受理终端使用不同的终端主密钥并定期更换;三是通过协议禁止实体和网络特约商户、外包服务机构留存支付敏感信息;四是每年对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估,并形成报告存档备查,对于未遵守相关协议的,应立即中断合作。
因此,支付机构应当建立技术检测,防止异常和交易风险,严格管理商户资金清算及秘钥,避免开放给外包代理商,并且对商户入网资质进行严格审批。
结合上月9家支付机构未被续展及从刘处长披露的信息不难看出:央行对于第三方支付机构管理进一步趋严。支付牌照在央行去年宣布不再核发新牌照至今,第三方支付牌照价格一路飙升,甚至有牌照被炒到20亿元,足见其稀缺性。但同时支付行业种种不合规现象时有发生,为此,央行进一步严格管理也在预料之中。支付机构应当坚决按照周小川行长指示:“我们支持支付业真正把心思都扑在通过科技手段提高支付系统的效率、安全和为客户服务上,而不是瞄着人家的资金,在资金上打主意。”这就要求,支付机构在技术系统安全性、报送信息真实性及商户定期检查方面落实到位。
总之,央行对银行卡收单业务技术提出较高要求以防止支付安全风险,支付机构应当按照规定及时完成收单业务合规来应对严监管。
(编辑:杨少康)
来源: 陈云峰 | 中伦文德