二、加强银行卡交易监测和使用管理

(三)保护持卡人信息安全。发卡机构应建立有效的信息安全防护系统，保护持卡人信息安全。要为申请人提供安全可靠的密码设置和修改服务，密码应能通过柜台、电话银行等渠道快速、安全修改。向持卡人提供对账单及其他服务凭证时，应对卡号进行部分屏蔽(办理柜台业务打印的凭证除外)。发放的银行卡卡片应符合《银行卡卡片规范》(JR0052-2009)和《银行卡联网联合技术规范》(JR0055-2009)的要求。发卡机构应积极发行采用PBOC 2.0标准的银行IC卡，提高卡片防伪能力。经持卡人同意，对大额交易，发卡机构可以采取电话、短信等渠道向持卡人确认或进行风险提示等风险管理措施。对于银行卡信息可能发生泄露的，发卡机构应联系持卡人，提示持卡人尽快换卡或修改密码，不能联系到持卡人且情况紧急的，可采取措施临时锁定持卡人账户。

(四)完善对交易信息的动态监测。发卡机构要建立和完善银行卡交易监测系统，建立持卡人主体交易信息数据库，实现对持卡人信息的风险防控。对信用卡授信额度及分期付款等业务的信用额度应合并计算，统一各项业务指标和风险指标的统计口径。

(五)加强大额、可疑交易信息监测和报送。发卡机构要严格执行反洗钱规定，履行大额、可疑交易报告义务，加强对银行卡资金交易的监测。对同一持卡人大量办卡、频繁开户销户、短期内资金分散汇入集中转出等异常情况，要及时进行反洗钱报送。对有疑似套现、欺诈行为的持卡人，发卡机构可采取临时锁定交易等措施，并及时向公安机关报案。对确认存在套现、欺诈行为的持卡人，发卡机构应采取止付卡片、追索欠款等措施。

发卡机构要将相关银行卡风险信息及时报送人民银行征信系统，并积极报送中国银联银行卡风险信息共享系统，充分利用共享机制进行风险防控。

(六)严格自助转账业务的处理。未经持卡人主动申请并书面确认，发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务;为持卡人开通自助转账业务时，要向持卡人充分提示开通有关业务的风险，并要对持卡人进行更为严格的真实身份核查，确保实名开户;未履行职责，产生资金风险的，要依法承担责任。持卡人开通电话、ATM转账的，每日每卡转出金额不得超过5万元人民币。持卡人开通网上银行转账的，应采用数字证书、电子签名等安全认证方式，否则单笔转账金额不应超过1千元人民币，每日累计转账金额不得超过5千元人民币。缴纳公共事业费及同一持卡人账户之间转账的除外。

三、进一步强化对受理市场的风险控管

(七)严把特约商户准入关，落实特约商户实名制。收单机构发展特约商户要建立严格的实名审核和现场调查制度，充分利用联网核查身份信息系统、人民银行征信系统、中国银联银行卡风险信息共享系统等核查方式，核实商户法定代表人或负责人、授权经办人的个人身份，了解商户的经营背景、营业场所、经营范围、财务状况、资信等，必要时，要向公安部门、工商行政管理部门、商户开户行或其他单位进一步核实。特别要关注批发、咨询、中介、公益类等低扣率、零扣率商户的审查。

(八)建立健全对特约商户的现场检查和非现场监控制度。收单机构要建立商户交易数据库和监控系统，设置可疑交易监控和分析指标，根据特约商户的经营状况和规律，建立风险控制模型。建立对特约商户的定期现场检查制度，对于新签约商户、出售易变现金商品(如珠宝、电脑等)商户，以及发生过可疑交易、涉嫌欺诈交易或涉嫌协助持卡人套现等有不良记录的高风险商户，要提高现场检查频率。严格对消费撤销、退货、消费调整等高风险业务的交易授权管理。

发现有关商户涉嫌违规受理银行卡的行为时，收单机构要及时调查核实，并予以纠正。对有疑似受理伪卡、盗录信息、套现、欺诈行为的，收单机构可暂停其银行卡交易。对确有受理伪卡、盗录信息、欺诈、套现等违法行为的商户，收单机构应立即终止其银行卡交易，并向公安部门报案，将有关情况报告人民银行，将商户和其法定代表人或负责人的相关信息报送人民银行征信系统，并积极向中国银联银行卡风险信息共享系统报送。

对于因管理不善，导致所拓展商户和所布放POS机多次发生故意受理伪卡、盗录信息、套现、欺诈等违法犯罪行为的收单机构，人民银行要予以通报并限期整改。

(九)完善收单协议和商户档案管理。收单机构应与商户签订书面协议，明确各方的权利、义务和责任。协议应包括：收单服务的终止条件、受理机具的使用要求、账户与交易数据保密条款、交易凭证的管理、各类风险损失情况下经济责任的承担等。要建立完备的商户档案，保存商户准入的证明文件复印件、风险评估报告、商户培训、POS机管理、商户信息变化、对商户的现场检查和非现场监控情况等文件资料。要加强对特约商户的培训和风险教育，至少半年一次对商户收银员和相关人员进行义务培训。

(十)严格对收单外包服务机构的管理。收单机构可以委托收单外包服务机构为特约商户提供POS机布放、维修等一项或多项服务。但特约商户的资金清算责任和风险管理责任由收单机构承担。非金融机构作为外包服务机构参与外包服务的，必须具有健全的组织架构、内控制度和业务管理、风险控制措施，有熟悉银行卡相关业务的专业人员担任董事、高级管理职务，必须执行人民银行有关业务、技术标准。

收单机构要协调程序开发商加强POS终端程序的保密管理，不得将POS密钥管理、下载、程序灌装工作委托给外包服务机构，不得允许外包服务机构以商户名义入网。对于涉及客户信息和交易信息处理的外包服务机构，收单机构不得允许外包服务机构存储银行卡卡号以外的信息。由于外包服务机构的过失，造成发卡机构和持卡人资金损失的，应由收单机构先行赔付，再根据外包协议进行追偿。

(十一)遵守收单市场秩序。收单机构应严格遵守商户类别代码和扣率的有关规定，禁止套用、变造与真实商户类型不相符的商户编码以及多家商户共用一个商户编码和多台终端机具共用一个终端编号。要正确设置并向中国银联注册有关商户信息，在交易处理时向中国银联准确上送，同时确保受理终端能够完整、准确读取并传输卡片验证码。

收单机构原则上不得为经营场所地不在收单机构注册地的特约商户提供银行卡收单服务。如确有因财务、资金清算需要为经营场所不在收单机构注册地的特约商户提供收单服务的，应经收单机构总部审核同意，同时将有关收单事项向人民银行报告。严禁收单机构为了自身短期利益而出现争抢优质客户、一柜多机、不计成本降低商户结算手续费等非理性竞争行为。

四、改进银行卡受理终端的管理

(十二)加强ATM巡检、监控。收单机构布放的ATM终端要符合《银行卡自动柜员机(ATM)终端规范》(JR/T0002-2009)的要求，确保ATM的安全技术防范能力。收单机构要对ATM建立定期巡检制度，及时发现和排除风险隐患。要加大傍晚、夜间等案件高发时段ATM的巡查和监控力度，完善技术措施，创造条件实现ATM的实时监控。要及时向客户提示犯罪分子利用 ATM作案的新手段和新动向，提高客户的安全意识和自我保护能力。发现犯罪分子作案痕迹后，各收单机构应立即向公安部门报案，并协助破案。

(十三)落实POS机安全技术标准。收单机构要加强对POS机申请、参数设置、程序灌装、使用、更换、维护、撤消的管理，建立覆盖各环节完整的管理制度，规范POS机终端程序的版本控制。要严格落实POS机安全技术标准，各种POS机应符合《银行卡销售点(POS)终端规范》(JR/T0001-2009)的要求。要改善POS机密钥和参数的安全管理，确保不同的POS机使用不同的终端主密钥并定期更换(即“一机一密”)。POS机密钥和相关参数必须由收单机构指定专人管理。未达到要求和没有完成POS机“一机一密”改造工作的地区和机构，必须于2010年年底前完成改造。要严格按照规定设置和保管POS机终端维护人员密码、收银主管密码、收银员密码，并加大密码更换频率。

(十四)控制移动POS机的安装。收单机构应谨慎对待特约商户安装移动POS机的申请，除航空、交通罚款、上门收费、移动售货、物流配送等确有使用移动POS机需求的行业商户，其他类型商户原则上不得安装移动POS机。收单机构要使用更为严格的技术手段，对移动POS机的使用进行有效跟踪和监控，原则上不应允许移动POS机跨地区使用，要屏蔽移动POS商户SIM卡的漫游功能。对于确有移动POS机跨地区使用需求的商户，收单机构要对其进行严格核实确认并经总部审核同意后再予以开通，有关信息要同时向人民银行报告。要加强对移动POS机安装商户的回访工作，如发现商户私自移机使用或超出其经营范围使用的情况，一律取消其受理资格，并将有关信息录入人民银行征信系统和中国银联银行卡风险信息共享系统。收单机构要加强对电话POS等安全性较低的低成本受理终端的管理。

五、提高中国银联防风险服务水平