银联卡移动支付业务（智能卡模式）风险规则（试行）目录1 总则目的定义及业务场景适用范围主要业务术语智能卡移动终端支付应用软件可信服务管理（TSM）Upcard应用初始化和个人化应用管理终端2 发卡机构风险管理业务申请及开通开通卡种持卡人身份审核Upcard应用开通补充要求风险告知业务开通协议风险要求支付交易风险管理交易验证交易限额管理交易验证容错次数限制交易风险监控监控指标指标运用智能卡生命周期管理制卡及运输智能卡初始化智能卡金融信息加载与个人化智能卡配发智能卡挂失和解挂智能卡注销移动终端支付应用软件安全要求基本要求登录控制账户信息安全移动终端支付应用软件发布移动终端支付应用软件维护应用管理终端风险管理基本要求补充要求终端申领签署终端申领协议终端接入终端申领登记应用管理终端巡检与维护应用管理终端回收第三方服务机构风险管理资质要求合作协议必备风险条款要求缴纳风险保证金风险培训日常风险管理违规处理3 收单机构风险管理交易处理规范设置交易报文账户信息安全管理交易凭证对卡号屏蔽的要求商户风险管理禁入商户谨慎发展商户入网审查商户签约商户入网商户风险培训商户注册登记商户日常回访商户风险监控近场交易受理终端安全管理基本要求终端申领签署终端申领协议终端布放终端接入终端巡检与维护终端回收终端风险监控收单专业化服务机构风险管理资质准入风险审查签署协议风险培训日常监督管理收单专业化服务机构的风险监控违规处理业务终止4 风险事件报送及处置发卡机构风险报告及处理风险报告卡片账户处理协助案件调查优化风险监控措施收单机构风险报告及处理报告风险事件调查欺诈商户协助案件调查风险整改中国银联风险事件协查及处理发送风险提示组织开展案件调查督促风险整改5 风险责任划分基本原则风险责任划分6 附则1 总则目的为加强银联智能卡移动支付业务风险管理，保障银联智能卡移动支付业务持续健康发展，特制定本规则。

定义及业务场景本规则所指智能卡移动支付业务是指消费者通过移动终端（主要为手机）完成货币资金转移的支付方式。

根据交易发起方式，可分为移动近场支付和移动远程支付。

移动近场支付指通过支持近场通讯的实体受理终端（包括POS、ATM、自助终端等），在交易现场以联机或脱机方式接入收单网络完成货币资金转移的支付方式。

本规则中特指基于PBOC 规范的智能卡发起的移动近场支付。

移动远程支付指手机等移动终端，通过无线通信网络接入，直接与后台服务器进行交互，完成货币资金转移的支付方式。

适用范围本规则适用于接入银联网络开展智能卡移动支付业务的各参与方，包括银行卡发卡机构、收单机构、中国银联。

发卡机构、收单机构应通过与第三方专业化服务机构、特约商户之间的协议明确本规则规定的相关风险管理要求。

本规则适用于境内移动支付业务。

主要业务术语智能卡集成了安全芯片（安全运算和安全存储单元）的集成电路（IC）卡片，在智能卡移动支付中存储持卡人账户信息和各种支付应用。

智能卡包括SD卡、SIM卡、安全芯片内置的移动终端和外接设备等形式。

移动终端支付应用软件移动支付业务中，在移动终端上使用（通常为手机），实现金融支付功能的应用软件。

可信服务管理（TSM）即可信任的服务管理系统，在智能卡参与的移动支付场景中，TSM 系统负责智能卡多应用管理的业务、技术及安全。

Upcard应用即UnionPay card应用，将经安全加密后的磁条卡信息下载到智能卡并实现移动支付功能的应用。

初始化和个人化智能卡初始化是指向智能卡安装初始根密钥，并获取手机支付应用（PBOC或UPCARD）。

智能卡个人化是指初始化智能卡内的手机支付应用文件系统和密钥信息，收集用户的个人信息并写入智能卡。

应用管理终端智能卡移动支付Upcard应用中具备刷卡上送磁密信息功能，并对智能卡进行个人化和磁条卡信息下载的终端机具。

2 发卡机构风险管理业务申请及开通开通卡种发卡机构应仅限以个人标识代码（PIN）作为交易验证方式的银行卡（凭密交易银行卡）开通智能卡移动支付业务（除电子现金账户外）。

持卡人身份审核对于PBOC应用的借贷记帐户，发卡机构应根据自身发卡风险策略，认真审核持卡人身份及有效证件，如要求持卡人本人至发卡机构柜面申请办理，或落实其他“亲访亲签”要求。

对于Upcard应用，发卡机构应根据不同开通渠道分别验证以下要素：（1）通过发卡机构柜面办理的，应审核持卡人有效身份证件，并验证银行卡磁道信息和密码。

（2）通过第三方服务机构现场办理的，应审核持卡人有效身份证件，验证银行卡磁条信息、密码，并获得发卡机构对磁条卡信息下载操作的授权。

（3）持卡人通过刷卡自助终端办理的，发卡机构应验证银行卡磁道信息、密码和持卡人身份证号。

Upcard应用开通补充要求发卡机构或第三方服务机构在将银行卡磁条卡信息下载到智能卡时，必须在交易报文中明确标识该笔交易为磁条卡信息下载。

采用非柜面形式开通业务时，第三方服务机构及自助终端管理机构应就验证报文、磁条信息下载授权等报文的格式或内容事先取得发卡机构的认可。

发卡机构应限制同一磁条卡信息仅能下载至一张智能卡。

风险告知发卡机构应向持卡人进行业务风险告知，风险告知内容包括但不限于：（1）持卡人权利和义务；（2）开通智能卡移动支付业务可能存在的风险以及风险防范措施建议；（3）持卡人业务查询、投诉渠道和流程；（4）其他风险注意事项。

业务开通协议风险要求智能卡移动支付业务开通协议中需明确以下内容：（1）本机构与持卡人之间的权利、义务；（2）安全用卡提示及风险防范建议；（3）风险责任界定及承担原则；（4）挂失、解挂、换卡、注销等客户服务条款。

业务如有收费，必须在协议中明确收费标准，协议中没有明确收费标准的，计划开始收费前必须与客户重新签订协议。

支付交易风险管理交易验证发卡机构应在交易授权前首先验证卡片是否已开通移动支付业务功能。

未开通业务功能的，拒绝该笔交易请求。

发卡机构应验证联机交易上送的银行卡信息（磁条卡为银行卡磁道信息、芯片卡为ARQC）和交易密码。

验证不通过的，拒绝该笔交易。

对于芯片卡脱机交易，发卡机构应验证TC，验证不通过的，拒绝承兑该交易。

交易限额管理发卡机构应针对移动支付业务不同交易类型，分别设置相应交易限额、交易频率等要素的限制，并在每次交易时予以验证，验证不通过的，拒绝该笔交易。

交易验证容错次数限制（1）密码容错次数发卡机构根据监管部门及自身风险控制要求设置交易验证容错次数限制，对于超出容错次数的账号，发卡机构应及时冻结卡片，并提示持卡人联系发卡机构办理卡片解冻手续。

发卡机构验证持卡人有效身份后，方能重新开通卡片支付功能。

（2）其他要素容错次数发卡机构可比照交易密码容错次数，根据自身风险防范策略设置其他验证要素的容错次数及后续处理流程。

交易风险监控监控指标发卡机构应制定移动支付业务风险监控指标，密切跟踪各项监控指标的变动情况，发卡机构监控指标包括但不限于：（1）单笔交易金额；（2）单卡每日累计交易金额、交易次数；（3）单卡短时间内（如一个交易日内）余额不足、密码验证错误等原因被拒绝的交易次数；（4）交易与持卡人背景情况、过往消费特征等是否相符；（5）新业务开通后短时间内（如一个交易日）连续大额交易情况；（6）卡片连续多个交易日在特定商户类型发生交易的笔数和金额。

指标运用发卡机构发现持卡人触发风险监控指标时，应及时采取人工授权干预、拒绝交易授权、暂时冻结移动支付交易功能等风险处置措施。

智能卡生命周期管理制卡及运输发卡机构应在智能卡制卡环节落实以下要求：（1）使用符合《中国银联移动支付技术规范》，且经中国银联认证的智能卡。

（2）为每张智能卡分配初始根密钥，且密钥长度不得低于128位。

（3）为不同的智能卡设置不同的访问密码，访问密码应设置容错次数限制（建议为3-5次）。

对于密码验证错误达到容错次数的，应暂时冻结该张智能卡，并要求持卡人持有效身份证件至智能卡发放网点解锁。

（4）符合《银联卡业务运作规章》第五卷《风险控制与安全管理》和《中国银联移动支付产品认证规则》中的相关规定。

智能卡初始化发卡机构在初始化智能卡时应落实以下要求：（1）每张智能卡有唯一的硬件序列号。

（2）为每张卡片分配唯一一个智能卡主密钥，密钥长度至少128位，并在卡片个人化完成后用智能卡主密钥替换智能卡初始根密钥。

（3）为每张智能卡中的金融应用分配唯一一个应用密钥,加解密应使用双倍长密钥算法。

智能卡金融信息加载与个人化对于通过空中下载方式加载金融账户信息的，应落实以下要求：（1）建立端到端安全的金融账户信息传输通道。

（2）要求用户在身份验证时上送由智能卡硬件序列号，并在用户身份验证通过后，建立银行卡卡号与智能卡硬件序列号的定制关系。

（3）在用户发起金融账户信息下载请求时验证智能卡硬件序列号与卡号的定制关系。

验证不通过的，拒绝金融账户信息下载交易。

（4）金融账户信息下载完成后应进行完整性校验，校验通过后再进行数据的加载或者更新。

（5）金融账户信息下载完成后应清除暂存账户信息。

对于加载的金融账户信息为PBOC应用的，需符合《中国金融集成电路（IC）卡规范》；对于加载的金融账户信息为UPcard 磁条卡信息的，还需落实以下要求：（1）对于通过现场应用管理终端下载磁条卡信息的，应在用户申请下载磁条卡信息时要求用户刷卡上送磁道信息和密码，供发卡机构验证。

验证不通过的，拒绝后续业务流程。

（2）对于通过手机空中下载磁条卡信息的，应限制用户下载磁条卡信息有效时间（最多不超过60分钟）。

超时未下载，应及时清除智能卡标识代码与卡号所对应的磁条卡信息。

（3）对于上述现场下载和空中下载两种方式，均应使用双倍长密钥算法对磁条卡信息进行硬加密保护。

智能卡配发发卡机构应在用户开通业务并申领智能卡时审核用户有效身份证件，与用户签署申领协议，明确双方权责义务。

本阶段签署的申领协议与业务申请环节签署的智能卡移动支付业务开通协议为同一协议。

智能卡挂失和解挂发卡机构应向智能卡持卡人提供完善的挂失和解除挂失服务，并落实以下要求：（1）向持卡人提供7×24小时智能卡挂失服务；（2）验证持卡人身份真实性；（3）在接到持卡人挂失请求并验证持卡人身份后，立即冻结挂失智能卡（不包括电子现金账户）；（4）要求持卡人亲至柜面解除智能卡挂失，并核查持卡人身份证件和智能卡有效性。

智能卡注销发卡机构应在用户申请销卡时，及时在系统中永久注销智能卡，并提醒用户通过有效措施销毁智能卡中所有数据信息。

移动终端支付应用软件安全要求基本要求发卡机构发布的移动终端支付应用软件应符合《中国银联移动支付技术规范》，并经中国银联认证。

登录控制移动终端支付应用软件必须符合以下登录控制要求：（1）强制要求用户登录并验证登录密码，且仅在用户登录成功后才能进行支付。