银联卡账户信息安全管理标准ADSS工作要求

银联卡账户信息安全管理标准（ADSS）工作要求

（特约商户篇）

宣贯对象：适用于各类基于POS、移动POS、电话支付终端、MIS系统等终端类型开展银行卡受理业务的特约商户。

一、什么是银联卡账户信息？

银联卡账户信息是指记录在银联卡片上的卡号、卡片有效期、磁道信息、卡片验证码（CVN）等信息，以及网上业务、电话银行、手机银行等业务的用户注册名、银行卡密码（PIN）、真实姓名、证件号码、联系方式等身份验证信息。

其中，银行卡磁道信息、卡片验证码（CVN）、银行卡密码（PIN）和卡片有效期是敏感账户信息，应进行重点保护。

二、银联卡账户信息安全管理标准（ADSS）1有哪些基本要求？

1、商户银行卡受理系统、商户收银系统和终端机具等均不得留存银行卡磁道信息、卡片验证码（CVN）、银行卡密码（PIN）、卡片有效期等敏感账户信息；

2、受理终端应对打印的交易凭条（“预授权”交易除外）、交易流水清单，以及终端电子屏幕显示的银行卡部分卡号信息予以屏蔽。屏蔽内容是除卡号前6位和后4位以外的其余卡号字段。

3、收银员、收银主管等商户员工有义务对银行卡卡号、交易数据和持卡人资料进行保密；

4、收银员特别是收银主管应妥善保管POS 终端个人操作密码，防范终端操作权限被冒用；

5、定期邀请收单机构对商户内部员工开展账户信息安全管理培训；

6、定期主动开展账户信息安全自评估；有条件的商户，聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估；

7、发生账户信息泄漏事件时，积极配合收单机构做好应急处臵、事件调查等工作。

三、如何才能达到银联卡账户信息安全管理的工作要求呢？

特约商户应向所属收单机构寻求支持和帮助，对照银联卡账户信息安全管理制度规定，重点围绕以下方面做好账户信息安全管理工作：

1、建立并明确商户内部各岗位对账户信息访问、存储、使用、传输、加密、销毁等环节的工作要求；

2、加强对商户员工账户信息安全的培训，确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级，以及违反安全规定可能导致的后果；

3、选用通过中国银联安全认证、符合《银联卡收单机构账户信息安全管理标准》安全要求的终端机具和商户银行卡受理系统和商户收银系统；

4、聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估；

5、对于商户银行卡受理系统、商户收银系统以及终端机具已留存有银行卡磁道信息、卡片验证码（CVN）、银行卡密码（PIN）、卡片有效期等敏感账户信息的，应立即进行全面排查整理，并彻底清除。

四、什么情况下特约商户需承担银联卡账户信息安全风险责任？

特约商户如出现以下情形之一的，将根据与收单机构签订的协议条款内容承担相关风险责任：

1、默许、纵容欺诈分子，或与欺诈分子勾结，盗录银行卡磁道信息、卡片验证码（CVN）、银行卡密码（PIN）、卡片有效期等敏感账户信息的；

2、违规留存并泄漏账户信息，或者不及时报告、不协助调查账户信息泄漏情况而导致发卡机构、持卡人遭受经济损失的；

3、在账户信息安全检查中不符合要求，且在检查后12个月内仍未达到相关要求的。