互联网支付业务

一、互联网支付业务流程分析（一）业务模式
在基于Internet的电子支付过程中,主要涉及如下角色：客户、商户、支付服务方金融机构、第三方支付公司,总体结构示意如下：
➢客户是支付过程中,购买商品或服务的个人或企业；
➢商户是支付过程中,提供商品或服务的个人或企业,或者给买卖双方提供撮合的交易平台；
➢支付服务方是支付过程中,给客户及商户提供支付结算服务的机构,视不同情况,可为银行或第三方支付公司;
具体而言,如果客户通过银行直接完成支付,则支付服务方为银行；如果客户通过第三方支付公司转结银行完成支付,对商户而言第三方支付公司为支付服务方,对银行而言第三方支付公司为商户,银行为支付服务方;
总体业务流程为：客户通过游览器访问商户的网站,选择商品并结账；商户记录客户的订单,按照支付服务方的格式组织报文并提交；客户在支付服务方完成付款过程；支付服务方把支付结果通知商户的网站；商户为客户提供商品/服务,如下所示：
该流程图具体说明如下：
➢用户在商户网站等选购货物,并申请使用互联网支付；
➢商户生成订单,并送给支付平台,将用户转向网络支付业务系统；
➢支付平台收到订单请求后,返回给商户订单已接收；
➢用户在支付平台上选择互联网支付的银行,使用银行卡进行互联网支付；
➢网络支付业务系统记录用户所选择的支付方式,并将用户转向给相
应支付系统：
➢支付平台把扣款信息发送给银行,并引导用户到银行和实现方式有关；用户在银行完成卡、密码等信息输入,完成付款；银行把支付成功的信息反馈支付平台、用户；
➢支付平台向用户提供支付界面；用户完成账户、密码等信息输入,完成付款；
➢支付平台将支付结果通知反馈商户,商户收到支付成功通知后进行发货处理；
➢根据商户结算周期与商户进行资金清结算,风险识别通过后,将资金结算到商户之前关联的银行账户;
（二）资金流说明
买方和卖方的最终资金来源在银行结算账户或银行卡;若买卖双方在开立支付账户,则通过资金交易的触发,产生账户之间资金及权益所有权的转移,在不发生充值和提现、退款的情况下,在备付金银行账户的资金不发生转移；若为银行账户支付模式,则通过网关将买方通过备付金银行账户转移至,由根据约定的交易指令或交易周期将资金转移至卖方银行账户;
➢买方可以用其管理的银行卡向其支付账户进行充值；也可以将充值的金额从其支付账户返回到其关联的银行卡;
➢买方可以用其支付账户完成代收付资金的支付,系统内部将支付资金从买方支付账户转移到卖方的支付账户；买方也可以申请退款,系统内部将支付资金从卖方的支付账户返回到买方支付账户;
➢买方可以用其银行卡通过互联网支付完成代收付资金的支付,系统内部将支付资金从买方银行卡转移到卖方的支付账户；买方也可以申请退款,系统内部将支付资金从卖方的支付账户返回到买方银行
卡;
➢同一客户名下的不同支付账户之间可以进行转账,转账资金从转出支付账户流出,流入转入方支付账户;
➢通过结算业务,将卖方支付账户中的需结算资金转入其关联银行账户;
根据与入金方签订的协议及使用场景,支持以下两种资金流转：买方通过银行账户进行支付；买方通过支付账户进行支付;
对于买方通过支付账户支付,买方为其支付账户关联同一客户名称的银行账户,以银行账户资金对支付账户进行充值；待提交订单确认支付,买方发起支付指令时,将买方支付账户资金转移至卖方支付账户资金,根据与卖方协议约定的结算方式进行结算;
（三）具体业务流程与资金流转
1.客户开通流程
客户开通时,需要选择合同约定的业务类型；客户在开户时将相关信息填写完成,并接受客户开户相关协议后,客户开户状态为待审核状态,经审核通过后,客户开户才算正式完成;客户开户信息同时保存为个人客户信息和机构客户信息;
若收款方为企业客户,开通时需要参与技术联调测试环节,即我司提供标准接入接口给企业客户收款方,企业客户按接口开发接入支付平台模块后进行联调测试包括企业客户申请、资质审核、关联银行卡、开通业务等主要操作;
目前客户开通主要是线下后台录入的方式,该流程说明如下：
➢客户申请注册,填写基本信息,提交资质证明；
➢反洗钱实名认证,支付平台相关人员录入资质等基本信息,并做出风
险审核；
➢支付平台相关人员录入客户关联银行信息；
➢支付平台申请银行账户验证；
➢银行处理验证并将结果反馈给支付平台；
➢支付平台做银行关联处理、银行账户实名认证处理；
➢支付平台开通支付账户并通知给客户；
➢支付平台相关人员将客户协议归档;
2.充值流程
客户充值以POS刷卡、网银转账、银行代扣三种不同方式;以网银转账为例,基本流程如下：
该流程说明如下：
➢客户提交充值请求；
➢选择付款银行和充值金额；
➢平台创建充值订单,对是否风险交易进行判断,若为风险交易且满足交易拒绝条件,则通知客户交易被拒绝,提示客户联系客服人员,否则进行下一步；
➢客户被引导到对应银行的网关页面,根据银行业务流程完成支付；➢银行向平台发送处理结果,同时向客户展示支付结果页面；
➢若支付成功,则平台提交充值入账请求,进行入账处理,通知客户充值成功;
资金变化发生节点如下：
➢客户在银行系统完成支付,交易资金从客户的银行账户中扣减,转入在银行的结算账户中；
➢银行向平台发送支付成功通知,支付账户完成充值入账处理,客户的
支付账户余额增加;
3.支付流程
（1）银行账户支付流程
支付流程如下：
流程图说明如下：
➢非注册客户且客户类型支持网银支付,客户通过客户交易系统发起支付请求；
➢客户在客户系统选择付款银行；
➢平台创建支付订单,对是否风险交易进行判断,若为风险交易且满足交易拒绝条件,则通知客户交易被拒绝,提示客户联系客服人员,否则进行下一步；
➢客户在银行网银页面填写支付信息并完成支付；
➢银行完成扣款,通知平台扣款成功；
➢平台进行账务处理,并通知客户支付结果；
➢客户系统记录支付成功,并在页面通知客户支付成功;
资金变化发生节点如下：
➢客户在银行系统完成支付,交易资金从买方的银行账户扣减,转入公司在银行的结算账户；
➢银行通知扣款成功,进行支付完成后的入账处理,增加客户支付账户余额;
（2）支付账户支付流程
支付流程如下：
流程图说明如下：
➢客户类型支持支付账户支付,客户通过客户交易系统发起支付请求；
➢平台创建支付订单,对是否风险交易进行判断,若为风险交易且满足交易拒绝条件,则通知客户交易被拒绝,提示客户联系客服人员,否则进行下一步；
➢判断余额信息,完成支付账户扣款；
➢平台进行账务处理,并通知客户支付结果；
➢客户系统记录支付成功,并在页面通知客户支付成功;
资金变化发生节点如下：
➢客户在系统完成支付,交易资金从买方的支付账户扣减,转入卖方的支付账户；
➢如果卖方在符合条件的情况下提出提现请求或满足卖方结算条件,则资金划转至卖方在银行的结算账户；
4.非实时清分业务流程
非实时清分是在联机交易完成后,日终时根据客户的交易记录,按照支付工具和资金通道进行汇总、分类、轧差后生成结算金额的过程;
5.结算业务流程
客户结算数据应来源于客户的清分记录,根据客户结算周期,系统生成打款批次,财务依据打款批次,为客户结算出款；并生成客户外收手续费报表;
结算流程为如下几个步骤：
➢获取客户结算信息；
➢根据结算周期和上次结算信息取得本次结算的起止时间；
➢统计客户在结算区间内的未结算状态可结算的帐务历史；
➢汇总交易总笔数,总交易金额,总手续费,总实际发生额
➢根据账务历史类型进行分类汇总；
➢判断结算金额是否满足最低结算金额；
➢将结算信息及汇总数据存入结算记录表;
6.退款业务流程
退款的前提条件是客户已签约成功、账户状态正常,且交易完成清算日期三个月以后不允许发起退款;
流程说明如下：
➢客户提出退款申请,同意退款；
➢平台收到请求后与原支付订单匹配,创建退款订单；
➢平台对是否风险交易进行判断,若为风险交易且满足交易拒绝条件,则通知客户交易被拒绝,提示客户联系客服人员,否则进行下一步；➢平台修改原交易状态,向银行提交退款请求；
➢银行处理退款请求；
➢平台进行资金退款处理；
➢系统记录退款结果,通知客户退款成功;
➢资金变化发生节点如下：
➢银行处理退款请求,扣减结算账户金额,退回到客户的银行账户中；➢处理退款请求,扣减客户的支付账户;
7.资金通道差错退款流程
资金通道是银行及其他支付机构,包括与合作的第三方支付机构,他们所提供的支付结算方式和通道,如：B2C支付、快捷支付、信用卡支付、
储值卡支付等;
支付平台与银行的差错类型主要是长款和短款：长款即对账过程中,支付交易产生银行多账,即我方交易关闭,交易状态为失败,银行成功；短款即对账过程中,支付交易产生银行少账,即我方成功,银行失败;因短款可能会对支付公司造成损失,因此针对每一笔交易都要做防短款处理,让短款出现的概率降到最低;
长款产生的原因主要是网络故障导致交易未返回或在测试环境对账出现异常；短款产生的原因主要是正常支付银行未返回,系统认为银行支付成功,属于程序BUG问题,或退款业务在支付系统未处理,发送银行退款成功;通过退款和补单处理长款问题,通过人工追款、调账、认损处理短款问题;
系统对账后,订单已关闭,系统自动生成退款单,结算审批通过后进行退款操作;对账后,银行成功,我方订单交易已关闭,则系统生成退款单,退款类型为“银行多账差错退款”,由于用户交易未成功,客户也未做清算,未增加账户余额,创建订单时,不需要判断账户余额是否足够,也不需要冻结清分账户余额,退款成功也不需要解冻;结算审批通过后,进入退款批次生成列表,等待结算退款操作;若退款成功,则出具退款凭证；若退款失败,客户部门核实退款信息;
二、技术实现
（一）系统建设目标
支付业务系统,主要处理互联网支付相关的用户管理、商户管理、商户接入、消费、充值、转账、提现、结算以及风险控制等一系列支付相关功能;系统建设目标如下：
➢创立互联网支付品牌,吸引客户尝试产品并长期使用；
➢建立强大的支付平台,使支付成为支付行业重要成员；
➢建立专业的运营支撑,提供一流的客户服务；
➢通过丰富的产品和服务,提升支付的盈利水平;
（二）系统总体架构
1.应用架构
2.物理架构
（三）系统功能概述
系统分为7个模块：
1.支付网关
本系统为个人/企业用户提供支付工具,根据客户设置提供银行选择,协同合作银行网银、商户商城、支付系统完成用户在网上商城上商品的购买;支付网关提供接口标准,使用CFCA证书进行安全认证,保证业务的安全性;支付网关与各商业银行、银联或其他资金通道进行接口,
按资金通道要求的接入方式开发接口;
2.交易前置
包括交易网关和交易路由;交易网关连接的系统包括：支付网关、客户门户、支付核心系统和账务核心系统；交易网关连接内部的各个系统,使用内部的通讯格式,并使用内部的通讯加密算法,保证交易信息的安全性;交易路由是对交易各参与方的交易流程进行调度,协同各系统完成支付交易;交易路由具有冲正的功能,以保证各系统交易的一致性;
3.门户系统
为客户提供互联网方式管理其自身信息,查询支付业务情况,包括支付订单查询、结算信息查询等业务相关查询;客户还可以通过门户系统提交退款申请;门户系统通过交易前置调用支付核心的交易,获得实时的支付交易信息;
4.支付处理核心系统
支付处理系统为交易的处理核心,接收各类前置以及各类门户交易请求,执行交易处理逻辑;支付处理核心系统分为：支付、清分、结算和对账的功能;
支付功能包括：互联网支付、移动远程支付,在支付过程中有风险控制的相应功能;
清分功能是对客户支付交易日志中记录的成功交易,逐笔计算交易本金及交易费用手续费、分润等,然后按清算对象汇总轧差或外收形成应收或应付金额;
结算功能是根据客户的结算周期,进行应收应付款的汇总,生成相
应的结算凭证、单据;结算打款是将结算账户资金通过银行银企直连接口或网银划转到客户的银行账户;
对账功能是和外部机构就各种交易进行双边数据核对并进行相应处理的过程,包括收款对账、提现对账、清算流水对账、结算对账、签约对账等;
5.业务管理系统
系统为业务管理部门提供对支付平台的全面管理,包括客户管理、支付业务管理、风险控制、统计报表等功能;
➢客户管理包括客户的新增、审核和黑名单管理功能;
➢支付业务管理包括：对账管理、退款管理、结算管理和日终运行处理;
➢风险控制包括：交易监控、风险规则管理、黑名单和反洗钱管理; ➢统计报表分为业务类报表和运营管理类报表；业务类报表包括：结算单报表、交易量报表、退款报表等;运营管理类报表包括：交易监控记录表、黑名单报表、反洗钱报表、银行差异报表等;
6.账务核心系统
账务核心系统为支付系统的账务处理的核心,负责各类账户的管理,处理实时交易,完成支付业务对账户的处理请求;账户管理功能包括：账户开销户、账户冻结和解冻;账务核心系统接收支付处理系统发起的下列支付类处理,通过接口实现下列交易：即时支付、结算打款、交易冲正、交易撤销等;
（四）技术安全保障
1.系统安全
1.传输层安全控制
该层次主要解决在通信过程中的传输层安全,并在传输层上提供实现保密、认证和完整性的方法;系统使用SSL加密传输协议、MAC地址绑定访问等技术来解决安全问题;
2.数据层安全控制
该层次主要解决在通信过程中数据的加解密、身份认证、抗否认性和唯一性等安全通信问题,系统支持PIN校验、关键域加密、报文加密、数字签名技术来解决安全问题;
访问控制层安全控制
该层次主要解决外部系统访问系统服务的安全问题;系统支持CA 认证、数字证书、访问控制、口令认证等技术来解决安全问题;
3. 核心数据系统支撑
核心业务系统设备采用冗余方式,如双机热备方式或集群方式部署,确保业务的连续性,同时数据中心与应用系统均有灾备系统支撑;
4.防火墙
采用防火墙firewall过滤、限制信息交换,防止外部非法入侵和内部信息外泄;平台的主要部分子集合以防火墙分隔为若干个逻辑分区,两层防火墙之间是所谓“非军事区”DMZ;
根据以下原则选择防火墙产品：稳定可靠、技术领先、效率高；不同厂家不同产品可以混合使用;
5.入侵侦测系统
为防止网络攻击,支付业务系统将安装切实有效的入侵侦测系统Intrusion Detection System,简称IDS;
6.完善的监控和审计
除采用安全技术确保网络安全外,支付业务系统还采用了其他行政、制度、审计等方式保证网络安全;实践表明,良好的安全审计功能,可以大幅度提高系统的整体安全性,及早发现、排除安全隐患;
在支付业务系统中,审计内容将分为两部分：
交易服务器等主机系统提供的针对应用访问情况的审计日志;用于了解有哪些人访问了系统,使用了哪些服务,有没有人试图攻击系统或违反系统限制条件等由系统自动生成;
针对交易内容的应用程序所记的审计日志;用于了解用户交易不成功的原因、交易金额的总量、有无频繁大量转账的情况等;由后台管理功能模块生成,包括重点交易的关键数据,如UID、交易日期、时间、交易代码、币别、交易金额等;
2.应用安全
网络支付系统应用层的安全包括应用服务器产品与应用本身的安全;公司的应用框架建立在Java应用服务器之上,充分地利用该应用服务器的安全特性;
1Java应用服务器
目前主流的应用服务器产品比如Tomcat、WebSphere和WebLogic 都提供了以下应用级安全措施：
SSL支持：提供软件包支持SSL协议；
认证策略：提供验证试图访问网络资源的用户身份的一组策略；
权限策略：提供了对用户或用户组访问网络资源的范围及权限的定义；
授权策略：提供授权策略,使用户在经过授权后临时访问特定的网络资源；
安全API：为所有安全特性提供了统一的基于Java接口的API;
2应用框架的安全策略
我们根据主流应用服务器的安全特点及网络支付系统的特点,在应用框架以其为核心的支付业务框架产品中提供了加强的、有针对性的安全保证机制：
➢记录客户访问系统的次数;
➢检测证书UID并核对登录密码;
用户登录系统时须输入用户名和密码,为防止恶意攻击,采用了特殊的策略：若客户在短时间内连续若干次登录不成功,则强制该用户隔一段时间后由支付平台运维人员设置才可重新登录;系统亦对客户选择的密码进行检查,避免用户采用过于简单的密码,也可以要求用户定期更改密码;
首次登录强制性要求用户修改密码;
关键信息以加密方式存贮,如密码采用单向散列算法的散列值存入数据库,防止操作员读取密码明文;
会话Session管理：我们的方案是应用服务器自身的会话管理及应用框架的会话管理的结合;该机制使得在应用层不具备持续性connectionless的HTTP/HTTPS协议,能够支持需要连续性的互联网应用,实现用户登录后在新的状态下从事交易、超时断路等功能;
3先进的加密技术保护您的隐私
门户网站采用了先进的128位SSL加密技术参照国内银行网站的普遍做法,确保页面上输入的任何信息可以安全传送,而不用担心有人会通过网络窃取敏感信息;
3.网络安全
内部网络根据功能分成不同的子网域；业务数据专网与公网的完全
意义上的隔离；网络传输设备的硬件加密；网络防火墙的对外部网络与内部网络隔开的屏障与使用；对通讯运营商提供设备及技术方式的安全考虑周全,后备通讯线路的保障以及后备线路状态所能支撑的业务种类;
三、风险分析及管理措施
（一）风险类型与风险管理目标
支付机构作为在收付款人之间提供货币资金转移服务的中介机构,业务风险与安全管理是其核心竞争力,一方面支撑支付公司的稳健运营,避免大的风险和安全事件带来资金和声誉方面的损失,另一方面,以风险调整后的收益平衡业务拓展、产品创新、管理成本、IT投入、风险容忍、品牌形象等,站在经营风险而不是被动防范风险的角度,将业务风险和安全管理发展成收益要素而不是成本;
支付业务覆盖如下风险类型：
➢战略风险包括政策风险、决策风险、声誉风险
➢财务风险
⏹自有资金财务风险筹资风险、投资风险、经营风险、流动性风险
⏹客户备付金财务风险清结算操作风险、备付金银行风险、资金组
合与流动风险、备付金监管合规风险
⏹财务共有风险重要空白凭证、会计档案、财务人员准入与管理、
基本制度与操作规范
➢市场风险
⏹商户价格风险
⏹银行通道价格风险
➢运营风险
⏹交易风险
◆卖方欺诈
◆买方欺诈
◆交易本身银行账户盗用、恶意交易、投诉与纷争
◆产品/营销套利
⏹账户安全风险
◆账户信息风险
◆账户资金风险
⏹合规风险
◆洗钱与恐怖融资
◆金融产品套现
⏹信用风险
◆商户信用风险
◆用户信用风险
◆合作伙伴信用风险
⏹IT系统风险
◆系统平台风险
◆数据安全风险
◆网络安全风险
◆业务中断风险
➢法律风险
⏹知识产权
⏹法律诉讼
支付的风险管理覆盖以上风险类型,致力于基于社区电子商务相关的风险监测与反欺诈,负责监测和阻止系统内的可疑危险行为,向公司和用户提供支付安全保障;
支付业务风险管理的目标如下图所示：
（二）风险管理制度体系
1.风险管理制度文件体系
为了保证支付业务的健康、快速发展,规范公司风险管理相关事宜,公司拟定了风险管理制度体系详见补充材料风险合规管理制度文件,如
公司加大对支付行业的研究力度,遵守各项法律法规,规避政策风险,以依法运营为基本原则,以部门及人员建设为基石,以完善风险管理体系为可持续发展方向,稳步开展支付服务工作;
2.风险管理组织架构与岗位职责
风险合规中心是风险管理的执行部门,下设风险管理部和反洗钱合规部;公司深刻认识到风险管理需要建立“高层基调”,设立了风险管理的三道防线：
在此基础上,公司规划了风险管理的相关岗位职责：
➢交易监控相关岗位职责：
⏹内外部欺诈：制定客户准入政策,审核客户开通申请,客户风险控
制培训,交易反欺诈监控,欺诈交易和拒付交易的善后处理
⏹防钓鱼：钓鱼案件的善后处理,防钓鱼规则设定和调整
⏹账户安全：确保账户资金安全,监控账户的行为和资金流,实时阻
截盗用行为,盗用案件善后处理。