【支付业务】跨境支付

1.跨境支付概念

跨境支付存在的基础是不同交易币种、不同结算币种、不同跨国监管主体资金转移、不同国家支付网络（如SWIFT、卡组织等）的连接

跨境支付的连接方众多，比如：

整个全景分成4个阶段：交易发起阶段、资金转移阶段、资金交付阶段和资金交付后阶段

1、在交易发起阶段，参与方有客户、汇出行和汇率转换机构

客户与汇出行之间进行的事项有资金处理和费用受理、验证客户信息和反洗钱信息提交、与汇率转换机构进行换汇，以及交易查询和争议处理

2、在资金转移阶段，参与方有当地清分网络、SWIFT和中间行（或称代理行）

当地清分网络进行资金和费用的计算，SWIFT提供国际间资金处理报文传输网络，中间行为汇出与汇入行无直接关系的资金转移活动提供中间账户

3、在资金交付阶段，参与方有汇入行、收款人和汇率转换机构

汇入行与客户之间进行资金处理和费用受理、客户信息和反洗钱信息提交，与汇率转换机构进行换汇，包括协助客户与汇入行进行转账交易的查询和争议处理

4、在资金交付后阶段，参与方有各环节银行、汇率转换机构和政府监管机构

各银行与汇率转换机构向政府监管机构提供交易详细信息和报告

---

2.跨境支付方式

电汇

电汇是指汇出行应汇款人申请，通过电子报文指示国外汇入行（目的地分行或代理行）支付对应金额给收款人的结算方式。电汇采用的系统网络是SWIFT，SWIFT是银行之间交换信息的基础设施

电汇主要有以下3个要素：

1、费率。费率由手续费和电报费构成

2、时效。电汇一般会在3～5个工作日内到达，根据电汇模式具体细分，清算行模式下为T+1处理时间，代理行模式下为T+3处理时间

清算行模式：清算行模式相当于汇入行在汇出行当地有营业部，属于走出去。汇出行在当地就可以进行资金处理，处理后由汇入行处理

代理行模式：代理行模式相当于汇出行国家直接将款项汇入汇入国，在汇入过程中需要经过中转机构

3、金额限制。单笔金额小于5万美元，可以直接汇出；单笔金额大于5万美元，需要提供相关证明材料

第三方支付

国内外都涌现了很多优秀的第三方支付公司，国外有PayPal、Adyen，国内有支付宝、连连支付、钱海等。在这些公司的业务模式中，在线跨境支付有两种最主要的表现形式，一种是通过独立品牌账户进行支付，一种是通过聚合多个品牌实现支付

---

3.跨境支付展业资质

支付业务许可证

国内支付机构要想进行跨境支付展业，首先要获得由中国人民银行颁发的《支付业务许可证》。《支付业务许可证》的业务类型包括互联网支付收单、移动电话支付收单、预付卡发行与受理收单、银行卡收单、固定电话支付收单、数字电视支付等

外汇管理局许可证

支付机构或者大型商户要想跨境展业，必须拥有国家外汇管理局发放的，允许其进行外币交易、结售汇及相关资金收付等业务的许可

当地人行许可证

跨境人民币支付业务不需要外汇管理局的批复，由各地央行分支机构发布相关文件即可

国际机构认证及本地化资质

国际各卡组织以及一些地区均有收单认证资质要求，未获得相关资质不允许处理其交易

1、支付卡产业数据安全标准

2006年下半年，五大支付公司美国运通、美国发现金融、JCB、Mastercard和Visa国际组织共同筹办设立了统一且专业的支付卡产业信息安全标准委员会（Payment Card Industry Security Standards Council，PCI SSC）。PCI SSC维护的标准主要有以下3类：

• PCI PTS是用户密码交易安全的标准
• PCI PA-DSS是支付应用系统传输的数据安全标准
• PCI DSS即支付卡产业数据安全标准，是支付安全、信息存储要求的标准。PCI DSS是领域内最为权威且全球广泛采用的信息安全合规建设以及安全评估的最佳实践，被视为支付卡行业最高级别的安全标准认证

PCI DSS的六大要求和12项操作细则如下：

1️⃣ 要求一：建立和维护安全的网络

• 安装并维护防火墙配置以保护持卡人数据。
• 系统口令和其他安全参数不使用厂商默认设置。

2️⃣ 要求二：保护持卡人数据

• 保护存储的持卡人数据
• 对公共网络上传输的持卡人数据进行加密

3️⃣ 要求三：维护漏洞管理程序

• 使用并定期更新防病毒软件
• 开发和维护安全的系统和应用

4️⃣ 要求四：实施访问控制措施

• 限制对持卡人数据的访问：最小原则
• 为计算机访问用户分配唯一的账号
• 限制对持卡人数据的物理访问

5️⃣ 要求五：定期监控和测试网络

• 跟踪并监控对网络资源和持卡人数据的所有访问
• 定期测试安全系统和流程

6️⃣ 要求六：维护信息安全策略

• 维护信息安全策略，以解决内外部的安全问题

审核内容一般包括应用与数据库系统、操作系统、网络设备、安全技术管理、安全管理环境：

1️⃣ 应用与数据库系统的检查重点如下：

• 持卡人数据的显示、存储和传输保护；
• 用户账号和密码存储的安全性；
• 日志的集中管理与审计。

2️⃣ 操作系统的检查重点如下：

• 管理协议的安全性；
• 账号和密码的安全性；
• 日志的集中管理与审计；
• 防病毒管理；
• 安全加固与配置。

3️⃣ 网络设备的检查重点如下：

• 管理协议的安全性；
• 账号和密码的安全性；
• 日志的集中管理与审计；
• 访问控制规则；
• 安全加固与配置。

4️⃣ 安全技术管理的检查重点如下：

• 安全扫描与渗透测试；
• 日志、文件完整性、时间的集中管理；
• 物理安全；
• 介质管理。

5️⃣ 安全管理环境的检查重点如下：

• 人力资源与培训是否到位；
• 风险评估覆盖面是否全面；
• 安全职责是否明确；
• 安全管理体系是否健全。

2、合格服务提供者

合格服务提供者（QSP）为Visa支付收单资质认证

3、支付服务商

支付服务商（PF）为Mastercard支付收单资质认证