(电子商务研究中心讯)
第一章总则及基本要求
第一条为规范银行卡收单机构业务外包行为,有效防范银行卡收单业务外包风险,促进银行卡收单业务健康有序发展,依据《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号)、《中国人民银行加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)、《商业银行信用卡业务监督管理办法》(中国银行(4.08, 0.01, 0.25%)业监督管理委员会令2011年第2号)、中国支付清算协会(以下简称“协会”)《银行卡业务风险控制与安全管理指引》(中支协发〔2014〕39号)等制度,制定本规范。
第二条协会会员单位在中华人民共和国境内从事银行卡收单业务并将收单业务进行外包,以及从事银行卡转接清算业务,应遵循本规范。
第三条收单机构不得将特约商户资质审核、受理协议签订、收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由收单业务外包服务机构(以下简称“外包服务机构”)办理。
第四条收单机构应根据业务监管部门业务制度和本规范的管理要求,制定本机构银行卡收单业务外包管理制度,明确外包的业务范围、外包服务机构的准入标准及管理要求、外包业务风险管理和应急预案等内容,并督促外包服务机构依照制度要求开展外包业务。
第五条收单机构应要求外包服务机构遵守国家法律、法规、监管机构的规定、行业自律规范,确保服务水平符合规范要求。
第六条收单机构同时提供收单外包服务的,应当对收单业务和外包服务业务实施分别管理。
收单机构应通过成立事业部、设立独立部门等方式,实现其收单业务与外包服务隔离,确保收单业务管理人员及业务人员不得与外包人员兼岗,并在外包业务活动中严格遵守信息保密协议,不得泄露或利用其他收单机构的特约商户信息牟取不当利益。
第七条收单机构应通过协议禁止并采取有效措施防止外包服务机构转让或转包业务。
第八条收单机构作为收单业务主体的管理责任和风险承担责任不因外包关系而转移。由于外包服务机构的过失,造成银行卡清算机构、发卡机构、特约商户和持卡人资金损失的,收单机构应全额承担先行赔付责任,再由收单机构根据外包服务协议进行处理。
第九条收单机构不得将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息;不得将特约商户的结算资金划转至外包服务机构拥有或实际控制的结算账户。
第十条会员单位应按照协会关于外包服务机构信息备案及信息共享机制的要求,客观、祥实记录与外包服务机构启动和终止合作的具体情况,及时准确向协会报送、更新外包服务机构基本情况、业务合规及风险情况等信息。
第二章收单外包服务机构管理要求
第十一条与外包服务机构开展业务合作前,收单机构应进行全面尽职调查,审慎选择符合本规范准入要求的外包服务机构作为合作机构。
收单机构对外包服务机构的调查内容应包括但不限于管理团队、经营状况、财务状况、内控水平以及收单业务外包相关资质、专业背景、从业经验、服务能力、业务合规、突发事件应对能力及风险情况。
收单机构的外包活动涉及多个外包机构时,应对这些外包机构进行关联关系调查。
第十二条收单机构选择合作的外包服务机构应具备以下基本条件:
(一)持有工商行政管理部门核准的营业执照,机构名称、经营场地必须与营业执照一致;
(二)注册资本满足业务开展基本要求;
(三)具有健全的组织架构、内控制度、反洗钱制度、业务和风险管理制度、信息安全及保密管理机制、业务运行应急预案、完善的服务体系和服务支持能力等;
(四)外包服务机构至少应有2名以上熟悉银行卡收单业务的高级管理人员,具有从事经济、金融、会计、计算机、电子通信或信息安全行业工作经验,且具备与外包业务规模相匹配的人员队伍;
高级管理人员,包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。
(五)有良好的商业信誉,财务制度健全,经营状况良好,无重大违纪违规记录;
(六)不在银行卡清算机构或协会公示的外包服务机构黑名单内。
第十三条收单机构在与外包服务机构签订协议前,应要求外包服务机构提供包括但不限于以下基本材料:
1、机构全称、实缴货币注册资本、从事外包服务的人员名册、当前所维护的商户与机具数量及所服务的收单机构等信息;
2、加盖公章的外包服务商工商营业执照复印件等能够证明企业资质的有效证件;外包服务商已取得《支付业务许可证》的,应同时提供加盖公章的《支付业务许可证》复印件。
3、法定代表人或主要负责人身份证件的复印件、高级管理人员身份证件的复印件及简历;
4、表明外包业务服务能力的其他材料。
第十四条收单机构应对拟合作的外包服务机构开展实地考察,确认其承担外包业务的各项资质和能力,并妥善保存相关资料备查。
第十五条收单机构应强化对外包服务机构合作准入的审批管理,严格控制审批权限,明确审批流程,根据本机构风险控制状况及风险偏好,由总部(总行)或分支机构确定合作的收单机构外包服务机构,相关审批文档应留存备查。
第十六条收单机构委托外包服务机构推荐商户的银行卡交易应直接提交收单机构业务系统进行处理。
第十七条收单机构应严格执行终端主密钥管控要求,不得将终端主密钥灌装外包给外包服务机构。
第十八条收单机构委托外包服务机构推荐商户,经收单机构审批准入后,与商户签约的收单业务协议,其签约主体应为收单机构。
第十九条收单机构与外包服务机构签订的外包协议应包括但不限于以下内容:
(一)外包服务机构承诺遵守监管政策、行业自律规范,承诺因其自身违反相关政策制度时,承担相应责任;
(二)外包服务机构有义务配合收单机构接受监管部门、行业自律组织以及银行卡清算机构关于收单业务规章制度建设、业务运作和风险防范等方面的检查,配合公安等有关部门的调查;
(三)外包服务机构应承认银行卡清算机构品牌和商标专属权,履行维护银行卡清算机构品牌知识产权等义务;
(四)双方就外包业务合作范围(含业务类型及合作地域),外包费用标准及支付方式,协议生效及终止时间的约定;
(五)对外包服务机构关于推荐商户现场核实及提交商户申请材料应真实、有效的要求;
(六)合作中业务监督管理,保密要求等内容的约定;
(七)业务保证金金额及处置办法的约定;
(八)损失赔偿以及业务争议解决的约定;
(九)定期通报外包活动的有关事项;及时通报外包活动的突发事件;
(十)客户信息安全存在风险或客户权利受到影响时,收单机构有权随时终止外包合同;
(十一)合作终止后,外包服务机构有义务协助收单机构做好后续工作。
同时应在协议中明确禁止外包服务机构有以下行为:
(一)冒用收单机构名义开展业务活动;
(二)向其他机构转让、转包业务;
(三)推荐非真实、违规经营的商户或协助商户以虚假材料申请入网;
(四)存储客户银行卡密码、有效期、卡片验证码、磁道或芯片信息等敏感信息;
(五)自主设置交易路由、加载未经收单机构同意的程序,改造已经收单机构同意的程序;
(六)对推荐商户的银行卡交易通过编制、篡改、仿冒或重组交易报文等方式隐匿、歪曲真实交易;
(七)其他违反监管政策、行业自律规范及银行卡清算机构业务制度的行为。收单机构与外包服务机构签署的协议,应自协议终止之日起至少保存五年。
第二十条收单机构与外包服务机构开展实体特约商户收单业务合作,应严格落实收单业务本地化经营管理要求。
收单机构将实体商户推荐业务(指商户信息提供、协助收单机构开展商户调查及商户资料的收集、整理与提交)外包的,应确保外包服务机构所推荐的实体商户位于收单机构法人所属省(区、市)域内或已设立的分支机构所属省(区、市)域内。如外包服务机构通过总对总方式推荐实体商户,收单机构应确保已在所推荐实体商户分支机构所属省(区、市)域内均设立分支机构。
收单机构将受理终端布放与受理标识张贴、特约商户培训、受理终端维护、特约商户调单等收单业务外包的,应确保外包服务机构在实体商户所属省(区、市)域内已设立分支机构并设立固定的营业场所。
第二十一条收单机构与外包服务机构需终止协议的,收单机构应妥善处理善后事宜,并于终止协议之日起,根据协会相关规定,更新外包服务机构合作关系并向协会进行报备。
第三章收单外包服务业务管理要求
第二十二条收单机构应在收单外包服务业务开展前,根据外包服务机构业务开展情况、风险违规情况和外包服务机构资质制定对外包服务机构的培训方式、培训标准和培训频率。
第二十三条收单机构应建立对外包服务机构的检查制度,了解外包服务机构开展业务的合规状况,及时控制业务外包风险。
收单机构应每年开展至少一次现场检查,形成检查报告并存档备查,检查包括但不限于以下内容:
(一)业务经营及财务状况;
(二)业务管理及风险控制状况;
(三)人员状况及服务水平;
(四)信息安全及保密管理情况;
(五)协议条款履行情况。
收单机构应每年开展至少一次非现场检查,形成检查报告并存档备查。收单机构非现场检查方式包括:电话访谈、记录单据(如巡检记录、培训记录、相关表格单据等)抽检、业务报表及材料报送、舆情监测等。
收单机构在检查过程中发现外包服务机构有违规或违约行为、所维护特约商户风险较高或其他异常现象的,应向外包服务机构提出警告,并要求限期整改。对整改期限后仍出现违规行为或风险情形的外包服务机构,收单机构应采取必要的风险控制措施。
第二十四条对于外包服务机构推荐的所有实体特约商户,收单机构应每年独立开展至少一次现场核实,对特约商户经营状况、银行卡受理机具安全与维护、相关业务系统安全性以及收单业务风险情况等进行全面评估,并形成现场核实及评估报告存档备查。
第二十五条开展终端布放与维护委托服务,收单机构应要求其合作外包服务机构遵守以下规定:
(一)收单机构直接承担被没收卡片的回收、登记、转递、销毁等工作;
(二)收单机构须全面掌握委托布放终端机具的准确地址等相关信息及其变更情况;
(三)外包服务机构须建立机具定期回访及问题维护响应机制;
(四)外包服务机构提供的服务人员数量应与合作业务、商户及机具规模相匹配。
第四章风险管理要求
第二十六条收单机构应将商户收单业务外包风险纳入本机构风险管理体系,制定和建立突发事件应急预案和机制,防范因专业化服务异常或中断出现的风险,确保收单业务的正常运行。
第二十七条收单机构应建立外包服务机构考核评估机制,综合考虑外包服务机构的区域特征、业务规模、财务和资信状况、风险管理能力等因素,定期评估外包服务机构业务完成量、合规状况、风险事件(涉及欺诈交易金额、收单欺诈率)等重要指标。
对于风险等级较高的外包服务机构,收单机构可采取强化交易监测、增加检查频率、收取保证金、终止业务合作等风险管理措施。
第二十八条收单机构或其分支机构应指定专职岗位负责商户收单业务外包的管理,其主要职责包括以下方面:
(一)负责拟定外包业务风险管理及内控制度等;
(二)负责外包服务机构的日常管理,包括尽职调查、业务抽查、定期检查、非现场监控、协议执行情况及风险状况监控、日常沟通等;
(三)负责制定外包服务机构与收单机构合作业务流程,协调落实客户服务和纠纷解决;
(四)负责外包服务机构的评估与考核,对服务内容进行完善。
第二十九条收单机构可根据风险策略和经营原则,在开展业务合作前要求外包服务机构缴纳一定数额的保证金或提供质押担保,避免因外包服务机构违规或风险行为产生损失后无力清偿而转嫁至收单机构承担,并在协议中约定由于外包服务机构原因造成收单行损失的,收单机构有权从风险保证金中抵扣相应款项。
第三十条收单机构应要求外包服务机构推荐的商户真实有效,并全面掌握特约商户名称、地址、商户类别等关键信息,根据商户真实业务及实际需求审慎开通终端交易功能及交易类型,提高对新入网商户、使用个人银行结算账户、交易日当日结算以及开通无卡、无密、预授权类交易、消费撤销(冲正)、退货等高风险交易类型的商户巡查频率。
第三十一条收单机构应通过设置交易限额、加强交易监测和回访检查等手段强化对外包服务机构所推荐商户的风险管控。
第三十二条外包协议到期后双方协商约定不再续签或因法律、政策变化等不可抗力因素导致协议终止的,收单机构应按照协议约定妥善处理遗留事项。
外包服务机构出现以下情形的,收单机构应立即终止外包协议,强制外包服务机构中止合作关系:
(一)提供虚假材料,骗取收单机构合作资格;
(二)与不良商户勾结进行如虚假伪冒申请、伪卡盗刷、套现、洗钱、分单、虚假交易等活动;
(三)采取不正当竞争手段盗取、转移合作收单机构商户或受理终端;
(四)留存、窃取或泄露客户账号、身份证号码等敏感信息及交易信息;
(五)对商户的银行卡交易进行交易处理,自主设置交易路由、加载未经收单机构同意的程序或改造已经收单机构同意的程序,通过编制、篡改、仿冒或重组交易报文等方式隐匿、歪曲真实交易;
(六)将外包业务进行转包、转让;截留商户结算资金进行二次清算;
(七)因自身行为严重影响收单机构声誉或给收单机构造成重大经济损失;
(八)外包服务机构经营范围变更,经收单机构确认已不适合与之合作开展收单业务;
(九)监管机构终止外包服务机构业务运作或营业执照,或外包服务机构被政府机构、司法机构列入破产清算。
(十)严重违反法律、法规或行业自律规定;
(十一)收单机构认为需要提前终止协议的其他行为。
外包服务机构退出后,收单机构应收回所有相关资料,并要求对方继续承担为收单机构资料及客户信息保密的责任。
收单机构应制定外包服务机构退出应对方案及应急管理机制,保证商户服务顺利过渡,确保外包服务机构退出后收单业务及商户服务质量不受影响。
第五章银行卡清算机构外包业务管理要求
第三十三条银行卡清算机构应根据监管部门业务制度、行业自律规范制定相应品牌的银行卡收单业务外包操作指引,并建立健全外包服务机构信息备案、评价评估或资质认证等机制。
第三十四条银行卡清算机构应在其成员机构收单业务外包相关制度中明确收单成员机构外包业务范围、外包服务机构资质、收单成员机构承担的职责和义务、外包合作协议基本内容等重要事项。
第三十五条银行卡清算机构应建立外包服务机构信息备案机制,明确备案流程和手续,组织收单成员机构开展外包服务机构的信息备案工作。
第三十六条银行卡清算机构可建立外包服务机构评价评估机制,明确评价评估流程和手续,对外包服务机构进行评价评估,并根据外包服务机构的业务开展情况和风险状况实施动态管理。
第三十七条银行卡清算机构可建立外包服务机构资质认证机制,明确资质认证流程和标准,按照标准对外包服务机构开展某一类业务的资质能力等方面进行认证。
第六章监督检查
第三十八条收单机构应在本规范发布之日起开展对合作外包服务机构的审查评估工作,对于不符合本规范要求的外包服务机构,要求其限期整改,外包服务机构整改达不到要求的,收单机构应制定相应的外包服务机构更换和业务应急方案,有序终止业务合作。
第三十九条对因会员单位外包业务管理不善或未有效落实本规范而导致发生重大风险事件,对行业造成负面影响的,协会将依据《中国支付清算协会银行卡行业自律公约》、《网络支付行业自律公约》、《移动支付行业自律公约》等有关自律性惩戒措施对其进行处理。
第七章附则
第四十条银行卡收单业务,是指收单机构与特约商户签订银行卡受理协议,在特约商户按约定受理银行卡并与持卡人达成交易后,为特约商户提供交易资金结算服务的行为。
特约商户是指与收单机构签订受理协议,受理银行卡的商户。
收单机构,包括从事银行卡收单业务的银行业金融机构,获得银行卡收单业务许可、为实体特约商户提供银行卡受理并完成资金结算服务的支付机构,以及获得网络支付业务许可、为网络特约商户提供银行卡受理并完成资金结算服务的支付机构。
银行卡清算机构,是指经中国人民银行批准,通过设立银行卡清算标准和规则,运营银行卡业务系统,为发卡银行和收单机构在境内提供银行卡交易转接处理,协助完成资金结算服务的机构。
收单成员机构,是指获准加入相应银行卡清算机构,从事银行卡收单业务的收单机构。
收单业务外包服务机构,是指经工商行政管理部门批准成立,接受收单机构委托,承接银行卡收单非核心业务并提供相应服务的企业。
第四十一条本规范由中国支付清算协会负责解释和修订。
第四十二条本规范自发布之日起实施。(来源:浙江省商贸业联合会)