03-银联二维码支付风险防控与补偿机制介绍.ppt

银联卡二维码支付风险防控与补偿机制介绍风险控制部二〇一七年二月目录业务风险分析一风险防控体系二业务风险点伪冒绑卡风险注册账户盗用风险二维码被截屏风险伪冒二维码风险信息泄露风险信用卡套现风险欺诈分子在掌握持卡人身份及银行卡信息后,冒充持卡人绑定银行卡并进行二维码支付欺诈分子冒充持卡人登录其应用账户,并对原已绑定开通二维码支付的银行卡进行盗用欺诈分子通过木马病毒对持卡人的付款二维码进行截屏,或诱骗持卡人进行截屏并提供,便可冒充持卡人进行付款欺诈分子通过注册虚假小微商户获得收款专用二维码,并张贴于其他合法商户的经营场所,诱骗持卡人进行二维码支付应用服务方在信息采集时违规留存相关信息或在信息上送时未对信息进行有效加密,可能导致敏感账户信息泄露二维码支付可能较传统刷卡支付的费率低,存在套利空间,套现风险可能会向二维码支付转移业务风险分析主要风险点分析业务风险分析伪冒绑卡风险注册账户盗用风险鉴于银联二维码支付产品是在非面对面场景下,通过验证银行卡及个人信息完成绑卡及使用,预计后续面临的主要风险将是伪冒绑卡风险及注册账户盗用风险。根据云闪付及无卡业务的风险防控经验,非面对面场景下,可能出现持卡人身份及银行卡信息泄露或相关信息验证强度不足的情况,伪冒绑卡风险预计将成为银联二维码支付的主要风险点之一。银联二维码支付业务中,应用服务方负责对用户身份的识别。如应用服务方未采取有效验证机制确认用户身份及支付意愿,或因免密登录、免密支付等策略的风险敞口过大,易引发注册账户盗用风险。同时,应用服务方自身风控能力及风控机制存在差异,因此注册账户盗用风险可能成为银联二维码支付的主要风险点之一。不同扫码方式风险点对比业务风险分析风险点主扫模式被扫模式伪冒绑卡风险注册账户盗用风险二维码被截屏风险伪冒二维码风险信息泄露风险信用卡套现风险主要风险主要风险不存在存在存在(纸质收款码下,该风险较高)不存在主要风险主要风险存在存在存在存在风险防控体系风险规则支持风险监控与处置风险产品支持风险垫付与补偿机制风险服务1234风险防控体系风险防控体系风险规则支持制定《银联卡二维码支付业务风险管理规则》(征求意见稿)规则主要内容发卡机构风险管理收单机构风险管理应用服务方风险管理风险事件处置风险责任划分新增小微商户管理及二维码布放管理要求入网检测及担保要求注册账户管理及银行卡验证要求风控要素上送及限额管理要求小微商户管理:商户负责人审查、收款银行卡验证、经营场所调查、商户信息录入、交易报文标识、限额管控、T+0结算限制。二维码布放管理:布放场所要求、内部管理要求、巡检要求。入网检测及担保要求:检测风控要素采集上送能力、敏感信息加密传输能力、二维码防截取、复制、篡改能力,非成员机构入网担保要求。注册账户管理及银行卡验证要求:实名制要求、验证强度要求、已绑卡管理要求、注册账户管理要求。风控要素上送及限额管理要求:必备与选送风控要素、限额管理要求、免密限额要求。风险防控体系风险规则支持风险责任划分:发卡机构:主要承担持卡人账户管理不善及持卡人恶意否认的风险责任收单机构:主要承担商户风险高发或违规及收单端信息泄露的风险责任应用服务方:主要承担伪冒绑卡、注册账户盗用及其信息泄露的风险责任依据各方业务职责,明确风险责任划分原则发卡机构:负责验证银行卡信息,并进行交易授权;收单机构:负责商户拓展及管理;应用服务方:负责提供具有扫码支付功能的APP、采集验证信息、验证用户身份并完成绑卡主要业务职责:风险监控与处置监控整体思路:重点针对伪冒绑卡风险及注册账户盗用风险,通过银联实时、准实时风控系统开展交易监控伪冒绑卡风险监控针对伪冒绑卡风险,基于绑卡环节上送的设备信息、地理位置信息等风险要素,针对设备SIM卡号码与银行预留手机号不一致、单设备短时间内频繁绑定等可疑绑卡行为,建立针对性风险监控模型,防范伪冒绑卡风险12账户盗用风险监控针对注册账户被盗用风险,基于交易环节上送的设备信息、地理位置信息、交易信息、商户信息等风险要素,通过比对绑卡时相应信息,并综合短时间跨地区、异常大额等可疑交易行为,建立针对性风险监控模型,防范注册账户盗用风险。监控关键要素:设备标识、设备GPS位置、设备SIM卡号码、设备SIM卡数量、终端IP信息、注册账户ID账户注册日期、绑卡方式、银行预留手机号风险防控体系--详见《中国银联扫码支付系统指南第2部分报文接口规范》实时监控:通过风控系统与交易系统对接,当交易系统收到绑卡或支付交易请求时,转送风控系统判断,对风控系统判断为高风险的交易实时拒绝交易请求,并阻止该卡、该设备后续发起的风险交易尝试。准实时监控:当笔绑卡或支付交易完成后,风控系统进行准实时监控,对判断为风险交易发送发卡银行向持卡人进行调查确认,并将风险交易的银行卡、设备号加入黑名单,阻止后续发起的风险交易尝试。