visa的风险管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,*,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,*,*,VISA 电子支付安全,VISA 电子支付安全,VISA 电子支付安全,VISA 电子支付安全,连接持卡人、商户、和金融机构的交易处理网络,Visa,是什么,非股份、非盈利的会员制组织,全球支付技术公司,认识,Visa,不是信用卡发卡,机构,Visa,不是什么,业务不存在消费,信用风险,不提供贷款,全球各大区分布,亚太区,Asia-Pacific Region,加拿大区,Canada Region,中欧东欧中东非洲区,Central&Eastern,Europe,Middle East,Africa Region,欧盟区,European Union Region,拉美及加勒比海区,Latin America&Caribbean Region,美国区,USA Region,Visa,国际组织全球董事会,Visa International Board,Visa,支付网络的角色,发卡行,收单行,发卡,承担持卡人信用风险,设定并收取卡费及利率,为消费者提供客户服务,1.,提供处理和操作系统,2.,为金融机构客户设定标准和规则,3.,开发产品,4.,提供风险管理,5.,建立和管理全球品牌,6.,开发新的市场机会,1,.,签约零售商,2.,提供数据处理服务,3.,管理支付授权、清算和结算,4.,生成循环交易报告,5.,为零售商提供客户服务,客户,品牌,数据处理,产品,庞大的、多元化的客户网络,强大的品牌影响,最先进的数据处理能力,丰富的产品与服务,Visa,独特的竞争优势,Visa,支付类型,信用卡产品，从可信用额度中提取资金,先购买后付款,借记卡产品，如,Visa,支票卡，从储蓄账户中提取资金,即买即付,预付费产品，从提前预存了资金的支付卡账户中提取资金,先付款后购买,易观国际此前发布的,中国第三方网络支付安全调研报告,显示，目前安全问题仍然是用户不使用网络支付的主要原因，占比高达,54%,。,用户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗的原因带来资金损失所占的比例最高，分别为,24%,和,33.9%,，成为第三方支付的头号大敌。,支付行业的现状,综合来看，当前网络支付面临的问题包括信息泄露、交易欺诈、经营风险和系统风险等。其中交易欺诈和信息泄露是网络支付面临的主要问题,信息泄露,交易欺诈,经营风险,系统风险,支付安全,Visa,的风险管理策略,整个支付行业的安全性不是由所采用的最保险措施来决定，而是取决于支付系统中最薄弱环节的脆弱性。,Visa,确保支付行业安全的策略是，实施多层次的安全保护，并通过技术创新、加强合作和完善业务流程等方面的努力创建多层次的安全机制。,Visa,是通过“三管齐下”的方式来实现其支付安全战略的。,Visa,的风险管理策略,预防,通过采取安全措施防止犯罪集团及其他犯罪分子窃取支付数据。,响应,通过对事件的监测和管理，减少其对支付,行业,的影响，为应对当前的挑战、防止进一步损失提供战术上的支持。,保护,防止犯罪,集团,及其他犯罪分子利用窃得的数据实施犯罪行为。,Visa,的预防,构建稳固的安全防护,设立数据安全标准,Visa,是最早着手解决新兴的信息安全问题的行业领袖。早在,2000,年，,Visa,就建立推出了客户信息安全计划（,AIS,）,也是第一个全球范围内保护,Visa,支付系统中的敏感账户及交易资料的数据安全标准。,2004,年，,Visa和其他主要支付品牌达成一致，,共同制定,了一个全球通用的安全标准,，,即支付卡行业数据安全标准（,Payment,Card Industry Data Security Standard,PCI,DSS,）,。,AIS,规定被纳入成为支付卡行业数据安全标准（,PCI DSS,）的一项行业标准。,1,商户,2,服务供应商,VisaNet,处理机构,支付应用程序,3,4,AIS,商户,收单银行有责任确保所有商户遵守,PCI,数据安全标准,(,DSS,),规定，并且根据交易数量、潜在风险，以及引入到支付系统中的危险，确定商户达标确认的优先次序。,收单银行根据商户,12,个月的,Visa,交易数量，将商户分为四个等级，所有商户可归入其中一个等级。,收单银行,二级商户,三级商户,一级商户,四级商户,VISA,提交,报告,每年进行现场的,PCI,数据安全评估，并且每季度进行网络扫描。,收单银行必须确保他们的商户按适当水平确认，并从商户获得规定的达标确认文件。,每年完成,PCI,自我评估问卷,(SAQ),，并且每季度进行网络扫描。,收单银行必须向,Visa,提交每两年一次的状况报告，所有达标确认文件必须可应要求向,Visa,提供。,服务供应商,服务供应商是代表,Visa,发卡行、商户或其他服务供应商，对,Visa,持卡人的数据进行处理、储存和传送的机构。,Visa,发卡行及收单银行负责确保其所有服务供应商遵守,PCI,数据安全标准,(,DSS,),规定。,Visa,将根据交易数量、潜在风险及引入付款系统的危险，确定达标确认的优先次序。,VISA,服务供应商,服务供应商,发卡行,/,收单行,Visa,要求服务供应商每,12,个月确认一次是否遵守,PCI DSS,。,如果服务供应商在每年到期日前,90,日内未重新确认完全遵守,PCI DSS,，该服务供应商将从注册名单上除名。,VisaNet,处理机构,VisaNet,处理机构,(,VNPs,),是直接与,Visa,支付网络相连，在支付处理和保护持卡人数据过程中履行基本职责的实体（,Visa,客户及非,Visa,客户）。,Visa,有关,VNPs,和服务供应商遵守支付卡数据安全标准,(,PCI,DSS,),的指导原则如下：,1.,负责储存、处理及或传送卡片数据的所有客户,VNPs,和服务供应商必须遵守,PCI DSS,；,2.Visa,客户对其服务供应商的行动负责并负有法律责任；最低要求，他们必须确保持卡人数据通过遵守,PCI,DSS,得到妥善保护；,3.,储存、处理及或传送卡片数据的所有客户,VNPs,和服务供应商必须遵守,PCI,DSS,。,所有,VisaNet,处理机构必须在截止日期前提交,PCI,DSS,达标报告,(,ROC,),，确定达标水平。如果没有完全遵守，必须向,Visa,提交补救方案。,支付应用程序,支付卡行业,(,PCI,),支付应用程序数据安全标准,(,PA-DSS,),是一系列全面的国际安全标准，符合,PA-DSS,的应用程序可帮助商户和代理商减少资料外泄，防止持卡人敏感数据的储存，并支持完全遵守,PCI,数据安全标准,(,DSS,),。,Visa,大力鼓励支付应用程序提供商开发并确认其产品符合,PA-DSS,的要求，并实施一系列授权，以减少来自,Visa,支付系统的非安全支付应用程序的使用。这些授权要求,Visa,客户确保其商户和服务供应商使用的支付应用程序符合,PA-DSS,。,2005,年，,Visa,开展了“支付应用最佳案例”（,Payment Application Best Practices,PABP,）项目，帮助软件厂商开发安全支付应用软件。,2007,年下半年，,PCI,安全标准委员会决定采用,Visa,的“支付应用最佳案例“作为支付行业内新的第三方应用软件安全标准,并将其称为“支付应用数据安全标准”。,积极加强安全标准合规工作,尽管支付行业安全标准是由,PCI,安全标准委员会进行管理的，但是，该标准的实施却取决于各支付卡组织的推动力度。,而,Visa,一直将不断推进支付安全标准这一工作为己任，予以认真贯彻和执行。,Visa,PCI,加速合规计划（,PCI,CAP,）,第,25,页,符合安全标准的商户,惩罚,奖励,Visa,超过,99%,的一级和二级商户已经确认它们没有储存敏感数据,提供广泛的教育资源,作为数据安全的倡导者和领先者，,Visa,还面向商户、收单机构、卡信息处理机构和支付应用供应商开展了多种教育活动。,Visa,的在线教育中心提供了多种网络会议、,安全警示和培训课程，能够帮助商户更好地了,解,PCI,DSS,的内容以及合规要求。,Visa,还积极与各知名企业合作，推广这些教育项目。,Visa,的保护,更强大的验证功能,EMV,标准是银行卡从磁条卡向智能,IC,卡转移的技术标准，是基于,IC,卡的金融支付标准，已成为公认的全球统一标准。,EMV,标准目的是在金融,IC,卡,支付系统,中建立卡片和终端接口的统一标准，使得在此体系下所有的卡片和终端能够互通互用，并且该技术的采用将大大提高银行卡支付的安全性，减少欺诈行为。,EMV2000,标准是国际上金融,IC,卡借记,/,贷记应用的统一技术标准，由国际三大银行卡组织联合制定，标准的主要内容包括借贷记应用交易流程、借记,/,贷记应用规范和安全认证机制等。,使用支持,EMV,标准的支付卡,EMV,迁移,EMV,迁移是银行卡从磁条卡向智能,IC,卡转换的过程。是基于,CPU,IC,卡的金融支付标准，目前已成为公认的框架性标准。,时间表,自,2004,年,1,月开始，所有,VISA,品牌的芯片卡必须符合,EMV,标准。,奖惩措施,在信息转接费率上给予,10,个基点的优惠 过时则将被处以,5,万美元的罚金,风险责任转移政策,将目前伪卡的风险责任由发卡行承担的规则改为由发卡行、收单行中未实现,EMV,迁移的一方承担,智能卡是一款内置微型芯片的支付卡,智能卡与个人密码一起使用时，更能减少卡片遗失或被窃所引致的欺诈情况。,每当客户在商户销售点使用智能卡时，卡上的芯片都会传输保密信息验证每笔交易。保密信息因每笔交易而异，使骗徒盗取资料难上加难。,智能卡,Visa,国际组织欧洲区开发出一款新型银行卡，名为“,Visa,保险码”，卡片的密码随时更新。,除网络使用外，新卡还方便电话银行登录。持卡人以往登录电话银行需提供自己的出生日期、家庭住址等个人信息，现在只需提供卡片上显示的一次性密码,由于每次使用时密码均不相同，新卡可阻止任何未经授权的使用，包括网上购物、登录网上银行等。,Visa,验证服务,Visa,验证服务是,Visa,国际组织针对,Visa,卡网上支付提供的一种安全身份验证方式。持卡人通过预先在发卡银行设定的网上交易密码进行身份验证。,商户、发卡行、持卡人之间的安全验证,持卡人,发卡行,商户,验证网站是否可靠,验证客户的信息是否正确,预留信息,输入信息,检验通过,Visa,验证不仅可以确保在虚拟环境下持卡人身份的真实性，还可以保护在线商户的利益免遭欺诈，,Visa,验证服务最大的吸引力就在于，它可以令所有在支付链上的关联人士受惠,。,继静态密码之后，,2008,年,12,月，,Visa,在全球首推通过手机动态密码验证方式对网上购物的持卡人进行身份验证，这项业务是通过短信方式将动态密码发送到持卡人指定号码的手机。发卡行通过这种随机产生的一次性动态密码来验证持卡人身份，是网上购物具有更高的安全性，而持卡人也无需记住自己的密码。,Visa,的响应,对欺诈行为采取即时对策,网络仿冒诈骗不但牵涉欺诈及身份盗窃等非法行为，也严重影响消费者对网上购物、网络银行交易的信心。据易观国际的调查，目前安全问题仍然是用户不使用网络支付的主要原因，占比高达,54%,。,作为支付业的领导者，,Visa,非常重视这个问题，现已着手进行铲除通过网络欺诈的非法网站，同时保护消费者避免收到这类欺诈邮件。,自从网络仿冒诈骗事件首次出现，,Visa,已第一时间采取以下措施：,1.,率先与第三方厂商展开品牌保护的行动，并研发侦测网络仿冒诈骗的科技。,2.,设立电子邮件信箱，专门处理网络上的欺诈问题