visa的风险管理合集课件.ppt

1、 连接持卡人、商户、和金融连接持卡人、商户、和金融机构的交易处理网络机构的交易处理网络VisaVisa 是什么是什么 非股份、非盈利的非股份、非盈利的会员制组织会员制组织全球支付技术公司全球支付技术公司认识认识VisaVisa不是信用卡发卡不是信用卡发卡机构机构Visa不是什么业务不存在消费业务不存在消费 信用风险信用风险不提供贷款不提供贷款全球各大区分布亚太区亚太区Asia-Pacific Region加拿大区加拿大区Canada Region中欧中欧东欧东欧中东中东非洲区非洲区Central&Eastern Europe,Middle East,Africa Region欧盟区欧盟区Eur

2、opean Union Region拉美及加勒比海区拉美及加勒比海区Latin America&Caribbean Region美国区美国区USA RegionVisa 支付网络的角色发卡行发卡行收单行收单行1.发卡发卡2.承担持卡人信用风险承担持卡人信用风险3.设定并收取卡费及利率设定并收取卡费及利率4.为消费者提供客户服务为消费者提供客户服务1.提供处理和操作系统提供处理和操作系统2.为金融机构客户设定标为金融机构客户设定标准和规则准和规则3.开发产品开发产品4.提供风险管理提供风险管理5.建立和管理全球品牌建立和管理全球品牌6.开发新的市场机会开发新的市场机会1.签约零售商签约零售商2.

3、提供数据处理服务提供数据处理服务3.管理支付授权、清算和管理支付授权、清算和结算结算4.生成循环交易报告生成循环交易报告5.为零售商提供客户服务为零售商提供客户服务客户客户品牌品牌数据处理数据处理产品产品庞大的、多元化庞大的、多元化的客户网络的客户网络强大的品牌影响强大的品牌影响最先进的数据处理能力最先进的数据处理能力丰富的产品与服务丰富的产品与服务Visa支付类型信用卡产品，从可信用额度中提取资金信用卡产品，从可信用额度中提取资金先购买后付款借记卡产品，如借记卡产品，如VisaVisa支票卡，从储蓄账户中提取资金支票卡，从储蓄账户中提取资金即买即付预付费产品，从提前预存了资金的支付卡账户中提

4、取资金预付费产品，从提前预存了资金的支付卡账户中提取资金先付款后购买 易观国际此前发布的中国第三方网络支付安全调研报告显示，目前安全问题仍然是用户不使用网络支付的主要原因，占比高达54%。用户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗的原因带来资金损失所占的比例最高，分别为24%和33.9%，成为第三方支付的头号大敌。支付行业的现状 综合来看，当前网络支付面临的问题包括信息泄露、交易欺诈、经营风险和系统风险等。其中交易欺诈和信息泄露是网络支付面临的主要问题信息泄露信息泄露交易欺诈交易欺诈经营风险经营风险系统风险系统风险支付安全支付安全Visa的风险管理策略 整个支付行业的安全性不是由所

5、采用的最保险措施来决定，而是取决于支付系统中最薄弱环节的脆弱性。Visa确保支付行业安全的策略是，实施多层次的安全保护，并通过技术创新、加强合作和完善业务流程等方面的努力创建多层次的安全机制。Visa是通过“三管齐下”的方式来实现其支付安全战略的。Visa的风险管理策略预防通过采取安全措施防止犯罪集团及其他犯罪分子窃取支付数通过采取安全措施防止犯罪集团及其他犯罪分子窃取支付数据。据。响应通过对事件的监测和管理，减少其对支付行业的影响，为应通过对事件的监测和管理，减少其对支付行业的影响，为应对当前的挑战、防止进一步损失提供战术上的支持。对当前的挑战、防止进一步损失提供战术上的支持。保护防止犯罪集

6、团及其他犯罪分子利用窃得的数据实施犯罪行防止犯罪集团及其他犯罪分子利用窃得的数据实施犯罪行为。为。Visa的预防构建稳固的安全防护设立数据安全标准 Visa是最早着手解决新兴的信息安全问题的行业领袖。早在2000年，Visa就建立推出了客户信息安全计划（AIS）也是第一个全球范围内保护Visa支付系统中的敏感账户及交易资料的数据安全标准。2004年，Visa和其他主要支付品牌达成一致，共同制定了一个全球通用的安全标准，即支付卡行业数据安全标准（Payment Card Industry Data Security Standard,PCI DSS）。AIS规定被纳入成为支付卡行业数据安全标准（

7、PCI DSS）的一项行业标准。1商户商户2服务供应商服务供应商VisaNetVisaNet处理机构处理机构支付应用程序支付应用程序34AIS商户 收单银行有责任确保所有商户遵守PCI数据安全标准(DSS)规定，并且根据交易数量、潜在风险，以及引入到支付系统中的危险，确定商户达标确认的优先次序。收单银行根据商户12个月的Visa交易数量，将商户分为四个等级，所有商户可归入其中一个等级。收单收单银行银行二二级级商商户户三三级级商商户户一一级级商商户户四四级级商商户户VISAVISA提交报告每年进行现场的PCI数据安全评估，并且每季度进行网络扫描。收单银行必须确保他们的商户按适当水平确认，并从商户

8、获得规定的达标确认文件。每年完成PCI自我评估问卷(SAQ)，并且每季度进行网络扫描。收单银行必须向Visa提交每两年一次的状况报告，所有达标确认文件必须可应要求向Visa提供。服务供应商 服务供应商是代表Visa发卡行、商户或其他服务供应商，对Visa持卡人的数据进行处理、储存和传送的机构。Visa发卡行及收单银行负责确保其所有服务供应商遵守PCI数据安全标准(DSS)规定。Visa将根据交易数量、潜在风险及引入付款系统的危险，确定达标确认的优先次序。VISVISA A服务服务供应供应商商服务服务供应供应商商发卡行发卡行/收单行收单行Visa要求服务供应商每12个月确认一次是否遵守PCI D

9、SS。如果服务供应商在每年到期日前90日内未重新确认完全遵守PCI DSS，该服务供应商将从注册名单上除名。VisaNet处理机构 VisaNet处理机构(VNPs)是直接与Visa支付网络相连，在支付处理和保护持卡人数据过程中履行基本职责的实体（Visa客户及非Visa客户）。Visa有关VNPs和服务供应商遵守支付卡数据安全标准(PCI DSS)的指导原则如下：所有所有VisaNetVisaNet处理机构必须在截止日期前提交处理机构必须在截止日期前提交PCIPCI DSSDSS达标报告达标报告(ROCROC)，确定达标水平。如果没有完全遵守，必，确定达标水平。如果没有完全遵守，必须向须向V

10、isaVisa提交补救方案。提交补救方案。支付应用程序 2005年，Visa开展了“支付应用最佳案例”（Payment Application Best Practices,PABP）项目，帮助软件厂商开发安全支付应用软件。2007年下半年，PCI安全标准委员会决定采用Visa的“支付应用最佳案例“作为支付行业内新的第三方应用软件安全标准并将其称为“支付应用数据安全标准”。积极加强安全标准合规工作 尽管支付行业安全标准是由PCI安全标准委员会进行管理的，但是，该标准的实施却取决于各支付卡组织的推动力度。而Visa一直将不断推进支付安全标准这一工作为己任，予以认真贯彻和执行。Visa PCI加速

11、合规计划（PCI CAP）第 25 页符合安全标符合安全标准的商户准的商户惩罚惩罚 奖励奖励VisaVisa超过超过99%99%的一级的一级和二级商户已经和二级商户已经确认它们没有储确认它们没有储存敏感数据存敏感数据提供广泛的教育资源 作为数据安全的倡导者和领先者，Visa还面向商户、收单机构、卡信息处理机构和支付应用供应商开展了多种教育活动。Visa的在线教育中心提供了多种网络会议、安全警示和培训课程，能够帮助商户更好地了解PCI DSS的内容以及合规要求。Visa还积极与各知名企业合作，推广这些教育项目。Visa的保护更强大的验证功能使用支持EMV标准的支付卡EMV迁移 EMV迁移是银行卡

12、从磁条卡向智能IC卡转换的过程。是基于CPU IC卡的金融支付标准，目前已成为公认的框架性标准。时间表时间表自2004 年1 月开始，所有VISA 品牌的芯片卡必须符合EMV 标准。奖惩措施奖惩措施在信息转接费率上给予10个基点的优惠 过时则将被处以5 万美元的罚金 风险责任转移政风险责任转移政策策 将目前伪卡的风险责任由发卡行承担的规则改为由发卡行、收单行中未实现EMV 迁移的一方承担 智能卡是一款内置微型芯片的支付卡 智能卡与个人密码一起使用时，更能减少卡片遗失或被窃所引致的欺诈情况。每当客户在商户销售点使用智能卡时，卡上的芯片都会传输保密信息验证每笔交易。保密信息因每笔交易而异，使骗徒盗

13、取资料难上加难。智能卡 Visa国际组织欧洲区开发出一款新型银行卡，名为“Visa保险码”，卡片的密码随时更新。除网络使用外，新卡还方便电话银行登录。持卡人以往登录电话银行需提供自己的出生日期、家庭住址等个人信息，现在只需提供卡片上显示的一次性密码 由于每次使用时密码均不相同，新卡可阻止任何未经授权的使用，包括网上购物、登录网上银行等。Visa验证服务 Visa验证服务是Visa国际组织针对Visa卡网上支付提供的一种安全身份验证方式。持卡人通过预先在发卡银行设定的网上交易密码进行身份验证。商户、发卡行、持卡人之间的安全验证持卡人发卡行商户验证网站是否可靠验证客户的信息是否正确预留信息输入信息

14、检验通过 Visa验证不仅可以确保在虚拟环境下持卡人身份的真实性，还可以保护在线商户的利益免遭欺诈，Visa验证服务最大的吸引力就在于，它可以令所有在支付链上的关联人士受惠。继静态密码之后，2008年12月，Visa在全球首推通过手机动态密码验证方式对网上购物的持卡人进行身份验证，这项业务是通过短信方式将动态密码发送到持卡人指定号码的手机。发卡行通过这种随机产生的一次性动态密码来验证持卡人身份，是网上购物具有更高的安全性，而持卡人也无需记住自己的密码。Visa的响应对欺诈行为采取即时对策 网络仿冒诈骗不但牵涉欺诈及身份盗窃等非法行为，也严重影响消费者对网上购物、网络银行交易的信心。据易观国际的

15、调查，目前安全问题仍然是用户不使用网络支付的主要原因，占比高达54%。作为支付业的领导者，Visa非常重视这个问题，现已着手进行铲除通过网络欺诈的非法网站，同时保护消费者避免收到这类欺诈邮件。自从网络仿冒诈骗事件首次出现，Visa已第一时间采取以下措施：1.率先与第三方厂商展开品牌保护的行动，并研发侦测网络仿冒诈骗的科技。2.设立电子邮件信箱，专门处理网络上的欺诈问题。3.展开有关网络仿冒诈骗的地区性消费者教育及宣传活动。4.组成内部网络小组，侦测并关闭黑客和非法使用者的网络。Visa发现电子邮件欺诈及非法网站时，旗下专家会立即评估事件，并确定邮件及网站来源，然后主动联络网站建立者及网络服务供

16、应商，要求他们立即关闭该非法网站。整个关闭工作可在近两小时内完成，具体所需时间还要取决于网络服务供应商所处地点。5.与反网络欺诈的行业领导者合作，共同监测Visa品牌，以侦破网络仿冒诈骗活动。Visa也是“反网络仿冒诈骗工作小组”（Anti-Phising Working Group,APWG）的赞助商及活跃成员。这是一个全球性的业界联盟，针对网络仿冒及诈骗、相关方案及测试、以及黑客入侵的管道搜寻，让业界进行保密性的讨论。此外，Visa也与领先业界的网络安全公司WholeSecurity合作，共同推出全球首项反网络仿冒及诈骗服务-“举报网络仿冒诈骗防护网”(Phish Report Netwo

17、rk)，这个防护网让资料遭受盗用的企业，能在最短的时间内，安全地向中央资料库举报诈骗欺诈网站，令其他企业有所防范。Visa使用小贴士 1、建议使用Visa双币信用卡或外币单币卡进行网上支付，选择与交易货币相符的双币卡或单币种外币卡，轻松节省货币转换费；2、在电脑上安装并定期更新杀毒软件，尽量不要在网吧或没有安装防病毒软件的电脑上使用信用卡网上支付；3、选择知名度高、口碑好的网站进行网上消费，不要轻信陌生发件人发送的电子邮件广告，更不要通过电子邮件传送Visa卡资料；4、保存所有交易记录，以便在需要时作退货或查询之用；5、开通交易短信提醒功能，并仔细检查每月账单，发现可疑交易时请立即与发卡银行联系；6、保护好卡片上的卡号、姓名、有效期和背后的CVV2验证码信息，不要轻易将这些信息告知他人。谢谢观赏谢谢观赏