華文網

「新年來新規到」規範來襲,條碼支付業務漸入正軌

《金卡生活》雜誌

中國銀聯 主管主辦

理論研究 實務探討

長按二維碼關注我們

2017年12月27日,中國人民銀行發佈關於印發《條碼支付業務規範(試行)》的通知,配套印發《條碼支付安全技術規範(試行)》和《條碼支付受理終端技術規範(試行)》,旨在鼓勵並規範金融創新,促進條碼支付健康可持續發展,新規自2018年4月1日起實施。

條碼支付業務規範主要措施

條碼支付實際上就是通過掃描條碼完成支付,不僅包括條碼,而且也包括我們在生活中經常用到的二維碼。

新規對條碼支付提出了以下幾點主要措施。

強調業務資質。明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。

重申清算管理。針對部分支付機構與多家銀行業金融機構(以下簡稱銀行)或支付機構直連進行商戶拓展,

進一步強化了支付機構與銀行多頭直連的現象,明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時,應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。

維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段損害其他市場主體利益、排擠競爭對手,破壞市場公平競爭秩序。

規範條碼生成和受理。提出交易驗證方式、交易限額管理、資訊管理和安全防護,靜態條碼應用管理、綜合應用支付標記化技術等措施,保障條碼支付業務的安全性。

加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查,以及交易風險監測,客戶安全教育等方面提出要求,強化業務風險管理。

降低條碼支付技術風險。首先,加強條碼安全防護,

採取支付標記化(Tokenization)、有效期控制、條碼防偽識別等手段,提升條碼生成、存儲、展示、識讀、解析、使用等環節的安全防護能力。其次,提升條碼支付交易安全強度。再次,強化條碼支付交易風險監測與預警。最後,加強用戶端軟體安全管理。

著重防範靜態條碼風險。第一,靜態條碼應由後臺伺服器加密生成。第二,展示靜態條碼的介質應放置在商戶收銀員視線範圍內,

商戶應定期對介質進行檢查。第三,態條碼採用防護罩等物理防護手段避免被覆蓋或替換。第四,在靜態條碼介質顯著位置明顯展示收款方資訊。第五,通過風險防範能力分級管理,進一步規範使用靜態條碼。

規範條碼支付交易報文管理。一是採用數位簽章、加密傳輸等措施,加強支付指令真實性。二是在交易報文中準確記錄發起方、接收方、網路路由、唯一交易流水號等關鍵資訊,保障交易可追溯性和一致性。三是完善商戶、管道、訂單等交易資訊,精准刻畫交易全貌,確保支付指令完整性。

條碼支付交易限額管理

條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足,中國人民銀行堅持條碼支付小額、便民的定位,對條碼支付風險防範能力進行分級。

第一,風險防範能力達到A級,即採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協定自主約定單日累計限額。

第二,風險防範能力達到B級,即採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過5000元。

第三,風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過1000元。

第四,風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過500元。

為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防範能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。

特約商戶受理條碼支付收款具體要求

由於條碼支付業務涉及銀行帳戶和支付帳戶,且可應用于網路特約商戶和實體特約商戶,為保持監管制度和標準的一致性,遵循銀行卡收單業務管理的相關要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶資訊留存及管理、黑名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的管理要求。

為了兼顧小微商戶受理條碼支付的需求,明確在符合相關資質審核和認定的前提下,小微商戶可以受理條碼支付。同時,為了防範套現等交易風險,對以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。

一圖看懂

保障交易可追溯性和一致性。三是完善商戶、管道、訂單等交易資訊,精准刻畫交易全貌,確保支付指令完整性。

條碼支付交易限額管理

條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足,中國人民銀行堅持條碼支付小額、便民的定位,對條碼支付風險防範能力進行分級。

第一,風險防範能力達到A級,即採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協定自主約定單日累計限額。

第二,風險防範能力達到B級,即採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過5000元。

第三,風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過1000元。

第四,風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過500元。

為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防範能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。

特約商戶受理條碼支付收款具體要求

由於條碼支付業務涉及銀行帳戶和支付帳戶,且可應用于網路特約商戶和實體特約商戶,為保持監管制度和標準的一致性,遵循銀行卡收單業務管理的相關要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶資訊留存及管理、黑名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的管理要求。

為了兼顧小微商戶受理條碼支付的需求,明確在符合相關資質審核和認定的前提下,小微商戶可以受理條碼支付。同時,為了防範套現等交易風險,對以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。

一圖看懂