2. RSA：IE反钓鱼屏蔽功能 3. Mark Monitor：反钓鱼网址
浏览器屏蔽服务 4. ESET：代扣功能和活动 5. 遨游： 恶意网站警告
支付宝ESU（是支付宝公司常 设的跨部门协作应对突发事 件的团队。
反钓鱼邮件
防骗宝典
PCI DSS认证
• 支付卡行业与数据安全标准 • 12项国际数据安全标准 • 与TRUSTWAVE开展PCI DSS认证项目
支付宝风险管理介绍
创新/赢势/赢天下
概述
支付宝风险管理架构 信用卡套现风控措施 银行卡盗用风控措施
商户风险管理 问题及答疑
支付宝风险管理架构
支付宝风险管理架构——组织架构
支付宝成立后第一批设立部门，目前专业风控人员超过180人
金融风险管理
用户风险管理
风险管理部
商户风险管理
安全策略
安全智能分析
安全市场运营
快捷支付绑定校验规则
银行开户名与支付宝户名匹配 身份证号送公安网验证真实性并送银行核对 卡号送银行进行匹配 手机号与银行预留手机号保持一致
信息互换
可疑IP地址 可疑银行卡号 可疑身份证号 可疑订单号 可疑手机号码
建立信息互换 机制，可以有效地 打击盗卡行为，最 大限度地减少持卡 人资金损失，将银 行卡案件控制在交 易过程中。
事后补救
案件跟踪处理 案件反查 黑名单 数据分析 CTU规则调整
商户管理
商户准入审核要点
1. 身份信息实名认证 2. 银行卡信息认证 3. 网站浏览 4. 内部反欺诈数据库过滤 5. 营业执照审核 6. 经营范围 7. 高风险行业/特殊行业准入要求 8. 培训销售团队-商户风险手册 9. 。。。
风控业务流
规则＆模型库
规则实验室
会员交互 自助任务 业务验证
CTU
风控任务平台
案件库
处罚中心
网络安全运营
1. 163免费邮箱 2. Hotmail邮箱 3. Gmail邮箱 4. Tom邮箱
安
全安
策 略 中 心 诚 信 邮 件 联 盟
E全S U合应 作 急 响 应 团
队
1. 金山：安全整体合作项目(反 钓鱼识别，客户端产品
• 数据分析和数据挖掘，套现行为特征，建立反套现规则监控
事后
• 处理套现账户
• 邮件警告 关闭收款功能 冻结账户 关闭卖家功能
银行卡盗用风险控制 措施
银行卡盗用风险控制措施
建立联系
签定保密协议 双方指定联系人 明确协查流程 为银行协查 主动向银行反馈
若有资金截留， 凭银行提供的《退 款公函》支付宝将 资金直接退回银行 卡账户中。
图片来源：Novell
风险管理体系
风险核查管理规定 风险监测系统规则管理规定 银行卡被盗处理流程 信用卡套现处理流程 商户准入标准及管理办法
信用卡套现风险控制 措施
信用卡套现风险控制措施
事前
• 支付宝信用体系
• 用户教育及宣传 • 支付宝信用模型评分，实名认证，关闭卖家收款功能。
事中
• 套现模型，规则及处理平台
外围安全防护
系统权限控制
CTU
人工核实
Healthy behavior
安全控件 支付盾 数字证书 手机动态口令 安全教育 支付宝工具条 钓鱼头像
用户权限控制 交易额度控制 风控名单库 安全检测
CTU分析引擎 增强身份认证 安全模型 规则维护 规则监控/自学习 规则运行分析 机器识别
商户管理流程
销售培训
签约商户
商户准入审核
冻结可疑交易
商户监控
商户教育
终止服务
黑名单机制
快捷支付风险控制措施
快捷支付风控措施---商户准入条件
商户资质审核及行业选择 必须是半年以上的网上商户 近半年内无违规核查记录 结合信用度，好评率
快捷支付风控措施---事中控制
对商家实施收费防止套现 支付密码+手机验证码 对虚假交易实时监控 发生退款原路退回至付款卡
安全产品规划
风险侦测系统CTU
支付宝安全体系
用户安全教育 CTU，支付盾 SQL注入，跨站攻击 防火墙，系统补丁 机房网络安全
运营 安全产品 应用安全 系统安全 物理安全
支付宝安全产品
防钓鱼水 印
安全中心
安全控件
支付宝令
安全产 品
安全工具 条
手机动态 口令
支Hale Waihona Puke 盾数字证书支付宝风控体系
behavior