支付系统风控体系架构

支付系统风控安全体系

一、账户信息安全

物理安全：机房网络安全；

系统安全：防火墙，系统补丁；

应用安全：SQL注入，跨站攻击；

安全产品：U盾等；

（一）《银联卡收单机构账户信息安全管理标准》（ADSS--银联标准）

1. A DSS核心标准

1.1 支付机构系统只能存储用于交易清分、差错处理所必须的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码及个人标示代码（PIN）及有效期。

1.2 银行卡主账号（卡号）

1.3 持卡人身份证件号码

2. ADSS标准

2.1 政策制定与人员组织管理

2.2 账户信息生命周期管理

2.3 访问控制管理

2.4 网络，系统及终端安全管理

3. 其他相关规定

3.1 《银联卡收单业务账户信息安全合规管理暂行规定》；

3.2 《银联卡账户信息安全合规评估机制》；

3.3 合规评估机构名单：

银行卡检测中心；

北京神州绿盟科技有限公司；

中国金融认证中心；

甫瀚咨询（上海）有限公司；

4. 免责条款

对于经银联卡账户信息安全外部合规评估合格的被评估单位，如发生账户信息泄露事件，经中国银联风管委认定，可减轻或免除相关罚款责任。

（二）《第三方支付行业数据安全标准》（PC I-D S S--国际标准，V I SA和M as te r C ard）PCI-DSS是一套包含6大领域12 项要求的规范，包括自我安全检测、漏洞分析、安全调查三个阶段，范围涉及硬件、软件及员工等，主要重点是对持卡人数据的保护。

二、账户实名验证

参考《支付新规解读》

三、账户风险等级划分

参考《账户风险等级划分制度》

四、账户交易风险

参考《收单支付交易风控规则整理》