互联网支付公司关于许可存续期间经营情况的自评报告0123模版

xx信息技术有限公司支付机构许可存续期间自评报告一、基本情况xx信息技术有限公司(以下简称“xx”或“公司”)成立于2008年，2011年获得互联网支付、预付卡发行与受理支付业务许可。机构基本信息如下：1.机构名称：xx信息技术有限公司2.法人代表：x3.注册地：x4.注册资本：人民币壹亿元5.企业性质：有限责任公司6.工商注册号：x7.公司的经营范围：信息采集、经济信息、网络销售服务，电子、机电、通讯设备、仪器仪表、五金交电、办公用品、建筑装潢材料、日用百货、计算机零配件的批发和零售，广告发布和媒介代理，彩票代理、通过员工服务卡体系为企事业单位提供各种员工福利相关的管理、策划、咨询服务及代理服务、代理航空权益卡以及航空机票；互联网支付、预付卡发行与受理；第二类增值电信业务中的信息服务业务（含互联网信息服务业务，不含固定电话信息服务业务）。8.税务登记信息：x9.机构代码证号：x（一）出资人情况x2015年6月5日，中国人民银行同意xx本次变更，并出具中国人民银行银函【2015】149号文件，《中国人民银行关于xx信息技术有限公司变更主要出资人及相关股权结构的批复》，详见附件8。（二）内部管理情况xx经过多年的不断发展，建立了一套完整的内控体系，并根据海航集团的最新管理要求及时修订优化，新增了稽核审计等相关制度。同时，严格按照公司制度定期或不定期开展自我审查、内部专项审计等工作，对公司日常管理实施有效的风险管控。公司现有正式员工215名，其中，总公司人员165名，分公司人员50名。设立了互联网支付业务部、预付卡业务部、运营部、资金管理部、产品技术部等10个部门，在陕西、山东、云南等13个省设立了分公司，其中完成业务备案的分公司12家。分公司申请备案的时间为2011年，由于监管法规尚未出台，未取得备案回执。x并于2015年4月30日，完成新的《支付业务许可证》领取。公司现有高级管理人员8名。其中，具备人民银行规定资质条件的8名，按照人民银行规定备案的高级管理人员分别是：x。二、业务开展情况（一）业务量情况1.互联网支付业务公司自获得互联网支付业务许可以来，历年客户数量分别为2011年0.15万户，2012年9.75万户，2013年32.26万户，2014年20.95万户，2015年50.14万户。历年特约商户数量分别为2011年0.02万户，2012年0.04万户，2013年0.05万户，2014年0.03万户，2015年0.2万户。历年开立支付账户数量分别为2011年0.15万个，2012年9.75万个，2013年32.26万个，2014年20.95万个，2015年50.14万个。历年业务量分别为2011年44.83万笔、197.6亿元，2012年130.05万笔、311.99亿元，2013年164.77万笔、89.6亿元，2014年362.67万笔、177.31亿元，2015年3486.62万笔、584.21亿元。2.预付卡业务公司自获得预付卡发行与受理支付业务许可以来，历年预付卡发行情况分别为：2011年发行11.66万张、9508.87万元、卡均815.51元；2012年发行10.94万张、6954.19万元、卡均635.67元；2013年发行29.57万张、34723.66万元、卡均1174.29元；2014年发行12.2万张、23000万元、卡均1885.25元；2015年发行19.70万张、21476.40万元、卡均1090.17元。历年合作商户数量及结算金额分别为：2011年961户、9278.32万元；2012年1597户、6103.84万元；2013年963户、32705.52万元；2014年1100户、28600万元；2015年1006户、18877.15万元。历年年末预付卡合计余额分别为：2011年2779.31万元、2012年847.26万元、2013年824.35万元、2014年1789.87万元、2015年4312.22万元。历年预付卡受理笔数及金额分别为：2011年49.02万笔、9278.32万元；2012年27.33万笔、6103.84万元；2013年54.08万笔、32705.52万元；2014年19.28万笔、28600万元；2015年44.43万笔、18877.15万元。（二）业务拓展范围目前，公司预付卡发行与受理已在海南、上海、浙江、山东、湖北、广东、云南、陕西、北京、辽宁等10省实质开展业务，并先后在海南、北京、辽宁、上海、浙江、山东、湖北、广东、四川、贵州、云南、陕西、天津等13省设立过分公司。各省及分公司历年业务量见附表。（三）创新业务情况1.互联网支付业务获得支付业务许可以来，公司根据市场需要，开发推广了网关支付、快捷支付、安心收、实名认证等业务、产品，解决手机端、PC端以及线下环境的全支付问题，得到了综合商城、O2O、旅游、企业管理等行业客户的肯定。同时,紧跟互联网行业的发展步伐，着力打造大数据服务平台。（1）支付产品创新①快捷支付xx在保障标准网关支付的基础上全力开发出了快捷支付产品，未来将会把快捷支付打造成新生的主打产品。快捷支付不需开通网银，只需提供相关信息，用户输入正确的动态口令，即可完成支付。不仅操作简便，还提高了安全保障性。②安心收安心收产品是将原有代扣产品增加安全验证后重新包装上线，在保留支付额度及付款便利性的基础上解决了安全性的问题。该项产品有效满足了商家线下支付，未开通网银用户的支付需求，获得了商户的一致好评。③声波支付xx声波支付功能，根据产品设计，用户手机客户端发出声波，收款终端设备获取声波并转化为一个交易号，用户确定购买商品后，将商品信息+交易号发送到新生后端生成账单，新生在一定时间内为商户和用户分别做结算。④穿戴智能硬件支付“穿戴式智能设备”是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。xx正在将支付服务附加在各种智能硬件上，以智能硬件为标识进行小额场景化支付，基于此xx与丽江古城已就联合推出智能手环达成合作，即将进入市场推广阶段。（2）数据服务创新xx的发展方向重点是大数据服务，源于交易，贵于数据，成于服务。在新的互联网时代，用户的支付数据是价值最好的数据源之一，支付公司的价值不仅体现在支付业务本身的盈利能力中，其沉淀的支付数据和用户资源具有高附加值，通过向企业商户和个人消费者两个方向的服务延伸加以变现。xx大数据服务应用从以下两个维度展开：=1\*GB3①商户端xx对支付大数据进行深度挖掘、科学分析，以平均一月一次的频率，发起并主导涵盖互联网金融、居民日常生活、支付与创新等领域的调研报告，为相关行业和企业发展提供决策支持。该系列调研报告2016年将会继续进行，并逐渐形成一种长效机制。商户可以据此开展精准营销、客户服务、资金融通等增值服务工作。=2\*GB3②用户端针对一直存在的移动支付交易安全问题，xx大数据服务大有作为。一般来说，用户的消费行为和习惯都是遵循一定模式的，xx将通过数据分析，对疑似非法侵害行为作出预警。同时。针对用户进行信用评分，根据评分不同提示商户对用户提供差异化服务。（3）行业开拓创新xx将未来业务的增长点定位于生活服务行业、民生旅游行业及企业服务平台行业、跨境贸易行业、基金服务行业等领域，其中重点关注行业内创业型公司。由于创业型公司处于创业阶段，其高成长性及充足的发展空间对产品的需求量越来越大，能够为公司带来强劲的业绩增长。生活服务行业在线预订，线下消费是近年兴起的一个消费习惯，各种生活服务的触网，正在进入人们生活中的方方面面，近年来团购、汽车上门服务、美容服务是其中的典型代表。生活服务行业有着强烈的营销推广需求，同时在努力营造品牌效应。xx和商户进行联合营销，促进品牌的建立，形成合作共生关系。②民生旅游行业民生旅游行业随着国内经济水平的提高，正在快速成长。在线旅游行业主要有传统的预订网站、点评网站和比价搜索网站，单纯的支付合作已经不能满足目前的旅游市场需求，xx在行业内走市场细分之路，根据不同的经营模式采取不同的合作方式，不但提供标准的支付产品，同时提供额外的销售渠道和宣传资源等增值服务，未来xx将联合海航集团内凯撒旅游，途牛旅游共同打造在线商旅平台。企业服务平台行业基于xx有互联网支付业务与全国预付卡发行与受理两项许可，公司能为面向B端服务的企业提供综合解决方案。依据企业的资金需求，提供增值产品或联合银行提供融资服务。通过打造新生会员管理系统平台，为商户提供支付、营销、会员卡管理等一站式会员服务。利用网络支付解决商户工资下发笔数多容易混乱、下发速度慢等问题，利用预付卡解决企业员工福利发放问题。未来xx将以支付为基础积累数据，深耕企业级服务与行业解决方案。基于真实交易的数据，可有效捕获用户深层次需求，提高金融服务效率。通过融合各方面资源，可为商户量身定制全方位的支付、管理、营销、运营解决方案。④跨境贸易行业人民币已成为中国第二大跨境支付货币和全球第四大支付货币。人民币跨境支付结算需求迅速增长，对金融基础设施的要求越来越高，xx为响应国家号召，积极推动跨境支付业务的发展。目前xx已获外管局批复在六个行业领域开展跨境外汇支付业务试点，同时跨境人民币结算业务亦取得人行备案。⑤基金服务行业随着银行理财产品、保险、信托等理财行业快速发展，基金行业在资产管理规模、持有人认可度、产品线维度等方面均取得了突破。xx正在申请基金支付业务许可，针对基金行业需求，未来xx将根据不同的经营模式采取不同的合作方式，不但提供标准的支付产品，还支持定制化产品服务。未来xx将以支付为基础积累数据，深耕企业级服务与行业解决方案。基于真实交易的数据，可有效捕获用户深层次需求，提高金融服务效率。通过融合各方面资源，可为商户量身定制全方位的支付、管理、运营解决方案。随着时间的推移，支付行业产品差异越来越小，传统的纯产品合作竞争力越来越小，支付公司必须找到合适的突破口和良好的商业模式，为不同行业商户提供定制化服务来满足日益复杂的商户诉求。2.预付卡业务获得支付业务许可以来，公司根据生活服务、线上线下结合、企业服务等领域的市场需要，开发推广了员工福利卡、商务往来卡、礼品馈赠卡、会员卡等业务、产品，解决商户业务拓展难、客户粘性低、员工福利意见大、小额交易烦等问题，同时为客户提供了涵盖“吃、住、行、游、购、娱”等全方位的持卡服务，得到了广大商户、客户的肯定。公司力求打破传统单一的线下礼品卡发展模式，逐步向行业综合性支付解决方案提供商转变，通过以社区、旅游、医疗、交通等为主要突破口，整合了多方资源，聚焦打造以“智慧城市”为发展目标的综合性支付解决方案。xx逐步完善现代智慧化城市建设布局，在为广大用户带来更实惠、更便捷的消费体验的同时，更为联盟商家实现了用户导流和精准营销，并衍生出一系列跨行业的发展机会和盈利模式。（1）业务模式创新=1\*GB3①智慧社区模式创新xx针对不同社区需求和地域区别制定个性化的解决方案，目前已与房地产龙头企业万科合作在万科项目商圈内联合发行万科易卡，并在广州、佛山等地实现运营，积累了涵盖卡片发行、卡片生产、终端布放、系统整合以及培训维护等一整套成熟方案经验。xx与北京亦庄合作将移动APP贯穿智慧社区，线上通过APP将网络支付、预付卡、数据管理和会员管理等串联互通，线下用多用途预付卡替代业主现有门禁卡，促进了“互联网+社区+支付”的结合，成为房地产企业在营销、物业保值增值等环节的重要推手。现阶段xx已与绿地、恒大、复地、戴德梁行等各类房地产开发类及服务类相关企业已建立了合作关系，预计2016年可在全国范围内复制并全面落地，计划5年内实现5000个智慧社区的服务目标。=2\*GB3②智慧旅游模式创新xx充分运用互联网+思维，在丽江古城范围内依托“智能手环+移动APP+声波”的应用，将预付卡账户、蓝牙技术、NFC、超声波技术等集于一体，为游客充分展现了无线充值、小额免密消费、电子门票声波推送、移动WIFI、地图导航等功能的综合应用，从而实现了智能旅游、便捷消费的新旅游解决方案。同时，支付+大数据的应用，全面提升了政府对景区在人流实时监控、疏散、导流、危机应急处理、消费欺诈等方面的管理能力，基本杜绝了不文明旅游现象，挽回了前期因为不文明事件而在游客心中留存的不良形象。该模式2016年拟在云南省内大理、昆明、香格里拉、腾冲、西双版纳五个热点旅游景区复制，并计划5年之内完成海南、广西、甘肃、四川乃至全国的服务目标。=3\*GB3③智慧医疗创新模式智慧医疗模式为医院和患者设计打造“一卡、两端、一平台”的解决方案。“一卡”为集支付、身份识别为一体的会员信息管理的载体，设计分为智能穿戴产品和普通卡片供用户选择，智能穿戴设备拥有计步、心率测量等基本功能，实现数据整合与病患在医院内的联动，及时通过数据积累帮助患者预判病情、提示就医。“二端”包括自助服务端和移动端，自助服务端解决患者在院内医疗服务的需求，实现无需排队、无人值守、自助完成快捷方便的缴费、查询、挂号等功能；移动端通过患者下载使用APP完成线上挂号、线上预约、线上排队、线上缴费、线上查询、线上互动等功能，将患者的需求延伸到院外。“一平台”为患者服务系统管理平台，集成医院医疗信息管理系统，成为医务人员查询患者信息的入口，平台汇集多终端信息管理功能，围绕患者信息做数据分析，实现医院、患者之间有效而便捷的互动。智慧医疗项目目前正与惠州人民医院、广东省妇幼等大型综合三甲医院实现合作，提供包含APP移动端和自助设备在内的一整套解决方案，计划5年之内拓展50家三甲医院。④智慧交通项目创新模式智慧交通为全国高速公路提供集成智能支付、会员制管理等服务，将高速公路相关资源包括加油站、收费站、餐饮、酒店等整合至APP开发平台，同时与线下预付卡相关联，实现会员线上线下互联互通的服务场景。预付卡实现一卡通集成加油加气等功能，满足会员线上线下同时消费的服务场景。公司目前正与江西高速公路投资集团推进合作，该项目计划5年之内在全国各条高速公路上实现互联互通。（2）产品创新xx拥有完善的二维码、闪付、指纹、人脸、可穿戴设备等创新技术支付手段，覆盖日常小额快捷支付商户，包括商超、便利店、百货、药房、快餐连锁、停车场、加油站、旅游景点等公共服务领域，创新的支付手段能够带给消费者更为便捷的消费体验。xx预付卡业务以支付服务作为最底层的生态链进行一系列资源整合，将客户的资金流、信息流合一，形成一个快速叠加的效应，规模化加工后即可形成大数据应用。为政府决策、商户导流、客户消费提供了深层次服务，进一步提高了平台商户及用户的黏性。目前xx在以传统预付卡业务为基础的前提下，逐步开展线下+线上的综合性服务。同时，预付卡内的沉淀资金一直以来都是大家关注的一块存量资金，xx在2016年将积极申请基金支付牌照，联合国内优秀的公募基金管理公司进行货币基金理财，为持卡客户解决这一部分资金长期闲置而无法保值增值的问题，从而打破了传统意义上的预付卡的功能定位，让其具有消费与理财的双重属性，从而实现取之于持卡者，造福于持卡者。3.跨境支付业务公司获得了外汇局跨境外汇支付业务许可，拟开展跨境外汇支付业务，目前处于系统上线阶段，已拓展部分商户，尚无业务量。同时，公司获准开展跨境人民币业务，并与外资机构合作，拟开展境外收单业务。（1）获批跨境外汇支付业务2015年初，国家外汇管理局发布《国家外汇管理局关于开展支付机构跨境外汇支付业务试点的通知》，将跨境外汇支付业务试点范围扩大至全国。xx紧跟政策步伐，立即将开展跨境外汇支付业务项目提上日程。2015年10月，xx获得国家外汇管理局海南省分局批复，获准开展跨境外汇支付业务。获批的业务范围除了常规的货物贸易、酒店机票、留学服务外，还包括其他支付公司未获批的国际贸易物流、旅游服务、国际会议会展三大类创新业务。（2）获批跨境人民币业务在申请跨境外汇支付业务许可的同时，公司还与工商银行、中国银行、建设银行等有跨境人民币业务经验的国有银行积极接触，推进跨境人民币业务方面的合作。2015年11月，公司与中国银行广州分行和建设银行广州分行合作开展的跨境人民币业务获得中国人民银行广州分行的备案批准。（3）搭建境外收单体系在全球经济依旧处于复苏乏力、需求不振的状况下，我国对外贸易发展仍不断改善、稳中趋好。基于战略布局考虑，xx积极与境外渠道合作搭建境外收单体系，在为境内出口商户吸引流量的同时，也为我国进出口贸易取得国际认可做出了贡献。公司已与Computop、PagBrazil和PPRO等境外知名网关服务商、支付公司和清算机构进行接洽并达成合作意向，即将开始正式签约。（4）推出跨境B2B新业务模式在“互联网+”为代表的新经济浪潮冲击下，传统企业面临业务转型和商业模式重塑。公司抓紧机遇，与传统企业进行深度合作，以跨境B2B为重点，打造出崭新的跨境电子商务发展模式。经过对长三角、珠三角等电子商务重点地区的深入调研，公司了解到目前跨境B2B领域支付解决方案仍处于空白，具有广大市场前景。据此，有别于传统B2C跨境支付产品，我司为B2B领域的中小企业打造出定制化、差异化、专业化跨境支付综合解决方案。（5）以创新型解决方案吸引商户在商户拓展方面，公司重点在垂直行业及跨境电商类等货物贸易行业，以及留学教育、国际旅游、国际物流运输等服务贸易行业寻求合作。商户拓展人员利用创新型综合解决方案在长三角、珠三角等跨境电商和传统外贸发达的区域开展业务推介，并不断与相关企业取得合作意向。截至11月底，意向商户已涵盖20余家独立商户、4家大型平台类商户。三、公司运营情况(一)资产负债情况历年年末，公司资产总额分别为2011年82,698.78万元、2012年86,144.00万元、2013年93,327.66万元、2014年71,389.27万元、2015年81,655.98万元。剔除客户备付金存款余额后的资产总额为2011年76,832.92万元、2012年83,492.46万元、2013年92,210.76万元、2014年56,713.13万元、2015年53,560.60万元。其中固定资产总额为2011年864.69万元、2012年1,229.99万元、2013年867.21万元、2014年465.93万元、2015年271.94万元，无形资产为2011年55.02万元、2012年63.39万元、2013年2,048.93万元、2014年2147.81万元、2015年2,897.32万元，流动资产（剔除客户备付金存款余额）为2011年69,761.81万元、2012年75,121.88万元、2013年82,203.62万元、2014年47,095.76万元、2015年48,004.25万元，现金和银行存款（剔除客户备付金存款余额）合计为2011年5,011.16万元、2012年7,040.35万元、2013年2,350.73万元、2014年41.26万元、2015年560.97万元。负债总额为2011年72,718.47万元、2012年77,173.00万元、2013年86,610.52万元、2014年65,373.20万元、2015年74,377.28万元，剔除客户备付金后的负债总额为2011年66,852.61万元、2012年74,521.46万元、2013年85,493.62万元、2014年50,697.06万元、2015年46,281.90万元。其中，短期借款为2011年15,350.00万元、2012年16,900.00万元、2013年10,000.00万元、2014年10,000.00万元、2015年10,000.00万元，长期借款为2011年0万元、2012年0万元、2013年0万元、2014年0万元、2015年0万元。（二）盈利情况公司营业收入主要包括互联网支付业务收入和预付卡业务收入，自获得支付业务许可以来，历年营业收入分别为2011年5,702,150.93元、2012年8,909,821.03元、2013年13,785,275.08元、2014年17,070,910.87元、2015年144,246,288.29元。其中历年支付业务收入分别为2011年4,494,762.93元、2012年8,601,105.05元、2013年13,785,225.08元、2014年15,755,774.19元、2015年143,053,707.72元，分别占营业收入的比率为2011年78.82%、2012年96.54%、2013年99.99%、2014年92.30%、2015年99.17%。公司历年营业利润分别为2011年1,032,095.17元、2012年-6,404,740.86元、2013年-22,516,188.48元、2014年-7,526,815.62元、2015年12,730,427.97元，历年净利润为2011年1,037,006.19元、2012年-6,406,598.86元、2013年-22,538,897.29元、2014年-7,010,591.15元、2015年12,626,288.81元。公司累计亏损与实缴货币资本之比为2011年末0.20%、2012年末10.29%、2013年末32.83%、2014年末39.84%、2015年末27.21%。（三）所有者权益情况公司历年净资产总额（所有者权益）分别为2011年99,803,164.53元、2012年89,710,249.99元、2013年67,171,352.70元、2014年60,160,761.55元、2015年72,787,050.36元。各年净资产收益率分别为2011年1.06%、2012年-6.76%、2013年-28.73%、2014年-11.01%、2015年18.99%；各净资产增长率分别为2011年3.28%、2012年-10.12%、2013年-25.12%、2014年-10.44%、2015年20.99%。四、备付金管理情况（一）备付金银行情况公司现有备付金银行19家，其中备付金存管银行为光大银行，备付金合作银行18家，分别为x。所有建立了合作关系的备付金银行中具有备付金银行资质有x行等19个，不具备资质有0个。（二）备付金账户及备付金存放情况公司开设备付金存管账户2个（预付卡业务及互联网支付业务各1个），备付金收付账账户19个，汇缴账户7个，风险准备金账户1个，与备付金相关的自有资金账户12个。2015年12月末，各备付金银行余额为28,095.38万元，业务系统备付金26,476.76万元。备付金银行余额与业务系统备付金余额差异为1,618.62万元，原因为2015年部分互联网支付业务及预付卡业务手续费收入未从备付金银行账户结转至自有资金账户，故2015年12月末备付金银行余额大于业务系统备付金余额。备付金以活期方式存放的合计28,095.38万元。备付金存管账户余额合计11,394.05万元，占各备付金银行存款余额合计的40.55%。公司平均实缴货币资本与备付金日均余额比率为55.90%。自2011年9月起，按季计提风险准备金，计提比例为10%，现已累计计提风险准备金11.03万元，全部按要求存放在风险准备金账户。（三）备付金使用情况xx与中国光大银行等备付金银行进行了系统对接，其中xx支付业务核心系统与中国光大银行资金监管系统（内部称为FCS）实现了技术对接。系统对接分为两部分，第一部分是备付金信息核对校验，第二部分是外围接口。信息核对校验部分根据《中国人民银行关于建立支付机构客户备付金信息核对校验机制的通知》进行开发设计，能够实现《支付机构客户备付金信息统计报表》中的各类表格系统自动生成，勾稽关系自动审核，报表数据系统传输确认，已确认数据自动锁定等。xx目前该系统生成各类备付金日报表，并经过系统审核比对后，直接用对接程序上报到FCS系统上。不通过系统能时时看到FCS系统反馈的核对结果。外围接口是核对校验系统的有力补充，是核对校验报表的数据基础和业务保障。xx目前的每日出款等业务是通过外围接口实现的，并且能时时反馈出款情况。每日出款明细和备付金核对校验形成数据关系，保证报表数据的真实完整。存续期内公司无违规使用备付金情况，未被人民银行（或相关部门）实施过处罚。五、合规与风险管理情况（一）合规机制建设及运行情况1.合规体系建设与运行情况（1）合规文化建设公司管理层自觉遵守合规红线，践行“风控在前、业务在后”的精神，倡导在合规的前提下发展业务的理念。管理层针对内外环境及业务结构变化，适时调整风险管理思路，更新风险管理知识，不断提高对风险的敏感性。同时，公司管理层及时吸取行业内风险管理经验，不断丰富公司的风险管理文化。为适应风险管理的新需求，公司管理层不断健全基础设施建设，引进经验丰富的风险管理人员，紧跟业务创新步伐，及时开发新的风险管理工具，并根据风险形态变化，强化内部控制机制，实现业务的持续稳健经营。（2）合规机制建设与运行公司本着强化事前审核、注重事中监控、规范事后处理的宗旨开展合规风险管控工作，依据监管法规建立了一系列制度和流程，并严格按照制度要求来执行。=1\*GB3①事前商户准入审核机制在事前审核方面，严格执行《xx信息技术有限公司商户准入制度及风险管理办法》，对商户五证一表及网站、备案信息等进行审核，确保商户实名制有效落实，杜绝非法网站接入。同时，针对特殊行业制定了《关于P2P行业商户准入提交资质的业务通告》，对入网商户与黑名单共享平台数据进行匹配，强化事前审核。=2\*GB3②事中可疑交易监控机制在事中监控方面，制定了《xx信息技术有限公司交易监控审核操作手册》，对平台交易监控措施进行了规范。通过数据的积累，对交易进行统计分析，并结合以往的经验和案例，判断是否构成可疑交易。对识别的可疑交易进行调单、商户巡检等处理，及时发现洗钱、套现等非法行为。=3\*GB3③事后案件调查处理机制在事后处理方面，公司建立了《xx信息技术有限公司案件调查管理制度》，对本公司内部调查立案范畴及处理流程做了详细规定。针对各类重大风险事项，严格按照《xx信息技术有限公司重大风险事项报告管理办法》执行，一旦发现有严重违规情况出现，及时上报监管机构，必要时向公安机关报案。（3）合规管理纳入考核体系《xx信息技术有限公司反洗钱与反恐怖融资管理办法》、《xx信息技术有限公司备付金管理办法》等制度规定应对未履行反洗钱义务、挪用备付金等不合规行为进行问责。公司发生合规风险事件时，按照奖惩制度对相关责任人进行经济处罚，涉嫌犯罪的，移送公安机关。同时，公司划定了合规红线，并将合规管理作为绩效考核的扣分项，在月度和年度绩效考核时进行相应的考核分扣减，直接影响月度绩效、年度绩效及职位晋升等，对员工的行为形成了有效的约束。2.内控体系建设与运行公司根据支付业务自身的业务特性和风险管理的需求，形成了由市场拓展部、行政人力资源部、资金管理部、互联网支付服务部、产品技术部、风险合规部构成的内控防线，分别在业务的前台、中台和后台等不同层面各司其职，形成对业务风险的多层次和立体防范体系。此外，风险合规部门定期组织制度流程梳理工作，并对合理管理及内控控制进行专项检查，确保内部控制体系建设的健全性和运行的有效性。（1）完善制度体系公司每年至少开展一次全面的制度自查工作，对内部控制制度建设的健全性和合理性进行评价。根据评价结果，结合业务发展需要及时修订优化相关的制度和流程。2015年，为进一步加强风险管理，针对风险事件管理、可疑交易人工审核等事项制定了更细化的制度。（2）编制运营手册xx风险合规部组织各部门编制运营手册，在明确各部门职能和相关岗位人员职责的基础上，规范各项业务的操作流程。运营手册为各部门工作的指引性文件，有助于新员工更快的适应环境，降低操作风险。（3）开展合规自查工作公司风险合规部组织开展风险商户、反洗钱、备付金、客户权益保障、信息安全等一系列合规自查工作。对网络支付业务与预付卡业务进行全面的合规检查，从业务模式及业务流程设计等方面防范合规风险。=1\*GB3①商户合规自查为防范商户转接支付接口、欺诈盗刷等风险，风险合规部定期对商户的合规性进行自查，对可疑风险商户，依据风险商户相关管理办法予以处理。风控人员通过登陆商户主页、模拟下单交易、核实客服电话、比对资质等方式排查商户是否存在风险隐患，并根据商户风险的等级采取相应的整改措施。=2\*GB3②反洗钱义务履行专项检查风险合规部定期检查客户身份识别、大额和可疑交易报告、客户身份资料及交易记录保存、客户洗钱风险等级划分及调整等内控控制规程是否有效执行，及时提示业务部门对客户身份资料金进行归档。=3\*GB3③客户投诉处理专项检查风险合规部定期对客户投诉处理情况进行专项检查，确保投诉处理流程有效执行，钓鱼、盗刷、欺诈、转接接口等商户风险投诉事件得到妥善处理。=4\*GB3④备付金管理专项检查风险合规部根据年度审计计划对备付金专用存款账户开立、使用和管理、备付金使用与划转、风险准备金计提等情况进行检查，严防备付金挪用等不合规行为。=5\*GB3⑤信息安全专项检查风险合规部根据年度审计计划对信息系统设计与运行、信息安全保障措施等情况进行检查，严防系统中断、恶意攻击、信息泄密等风险事件。=6\*GB3⑥网络支付业务合规检查风险合规部根据年度审计计划对网络支付业务的合规管理情况进行全面检查，严防套现、欺诈、非法融资、洗钱、恐怖融资等风险，并确保对可疑交易及时采取调查核实、延迟结算、终止服务等风险管理措施。=7\*GB3⑦预付卡业务合规检查风险合规部根据年度审计计划对预付卡业务的合规管理情况进行全面检查，确保预付卡发行与受理、充值与赎回、消费退货等环节符合监管法规要求。（4）内部控制有效性评价对业务操作中存在的各类问题，按问题类别、检查项目、检查时间等分别录入“问题库”中，通过对其分析、分类,找出内部控制流程存在的漏洞。同时，梳理相关业务内部控制关键控制点，通过穿行测试，查阅文档等方式对内部控制有效性进行评估，并对评估发现的内部控制缺陷进行分类整改。3.全面风险管理体系建设与运行（1）风险管理体系建设xx通过加强人文基础设施建设和技术基础设施建设来构建风险管理体系。人文基础设施建设主要包含风险治理、风险组织以及政策程序。技术基础设施建设主要通过建立风险数据集市，利用高度集成的管理信息系统，开发运用各种风险计量工具，实现风险管理程序化、集成化和智能化。公司成立了风险管理委员会，负责在遵循合法性、安全性和效益性的原则下，构建科学规范的风险管理体系，提高公司资产与业务的风险防控能力，保障公司经营管理的顺利开展和稳健运行。风险管理委员会负责审议并通过公司的风险管理政策及重大风险审查报告，负责监督和指导公司各项业务的风险识别、防范、控制、转嫁等工作。（2）风险管理流程及机制运行公司风险管理主要通过风险识别、风险评估、风险监测、风险控制、风险检查、风险报告等机制对风险进行程序化管理，并运用风险管理系统进行自动化控制。①风险识别风险识别是指由业务部门及相关职能部门在对业务模式、产品设计、业务流程等进行全面梳理的基础上，对风险的存在和发生的可能性以及风险产生的原因等进行分析判断。②风险评估风险评估是指在风险识别的基础之上，应用一定的方法估计和测定风险发生的概率、损失的大小，以及对整体支付业务所带来的影响，从而明确相应的风险是否能够承受。③风险监测风险监测是指通过一些风险指标来监控风险，如客户的投诉率、当月新增可疑套现金额、当月新增可疑洗钱风险笔数等可供掌握的统计性指标，从而判断风险状况的变化和风险大小。此外，风险监测也可通过风险模型来实现，如对一定风险模型之下的实时交易数据或批量交易数据进行统计分析，并根据风险模型判断当前交易的风险大小和需要采取的措施。④风险控制评估或监测发现风险后，公司会采取一些风险控制措施，如交易阻断、交易延迟、增加交易条件、增加交易限制、交易人工确定、交易风险通知客户、标示交易主体风险等级等。⑤风险检查风险检查是指在风险识别、风险监测、风险控制等一系列手段执行完毕后，抽查、核实相关交易数据及业务资料，对风险可疑客群进行深入调查，了解其真实的风险状况。⑥风险报告风险报告是指对于报告期限内的风险情况进行总体汇总说明或专项说明，最终形成风险报告文件。其内容主要包含各类风险发生的情况，相应风险控制措施及效果，对后续风险管理工作的建议等。（3）风险管理系统=1\*GB3①系统功能原理xx信息系统主要包含两大风险管理模块，反欺诈系统模块与风险规则系统模块。风控系统模块又分为风控决策引擎与风险规则模型两个部分。反欺诈模块主要根据信用、交易、地理位置、身份、设备、客户行为相似、异常行为等综合评估加以计算给出风险评级。风险决策引擎根据失信名单、欺诈数据库、设备指纹、代理侦测、风险引擎、指标算法、生物探针等多方面的数据分析，对不同的场景分级输出风险决策结果。风险规则引擎基于一组预设风险规则模型，通过判断交易因子是否都满足检测风险值来判定风险分级。=2\*GB3②系统功能运用风险管理系统是对支付业务领域各类风险集成化管理。总部风险合规部层面能够集中所有数据，能够对全局的风控工作进行管理，包括规则集中管理、案件集中处理、风险大盘和报表的集中管理。风险管理系统可采取的防控手段分为客户安全预防、风控技术防控、风险模型防控、风险处理、风险分析等。运用7X24小时实时监控与每天日终数据报表监控等多方面的监控手段，可有效的发现异常情况并实时处理，通过短信验证、电话外呼、私密问题、交易阻断等不同的场景设置不同的风险策略。（4）PCI认证PCIDSS是目前在国际上采用的一致的数据安全措施，对于所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。近年来，xx已全力达成PCIDSS认证标准，表明公司在安全支付方面已达到国际领先标准。公司所有涉及线上线下的卡交易将更加安全，交易流程保护也会更加严密、严谨。同时，公司从每个环节把关也让信用卡信息保护更上一层楼，增加网上交易信誉度，对于商户而言，更完善、规范的交易流程也会让其可以赢得更多消费者的青睐。（二）变更事项管理执行情况1.法定代表人变更x2.出资人变更X（三）重大事项报告情况。自公司开展支付业务以来，未出现重大事项，未发生因公司原因造成的客户信息泄露或涉及欺诈、洗钱、套现等违规事件。（四）客户投诉处理情况（或消费者权益保护）1.消费者权益保护为保障消费者的合法权益及信息安全，xx遵循对用户认真负责，以诚信服务为根本的原则，严格遵守支付业务法律法规及《消费者权益保护法》的相关规定，为用户提供满意放心的支付服务。同时，公司为消费者提供交易信息咨询、投诉建议反馈、协助买卖双方沟通等配套服务，在以下几方面对消费者权益进行保护：（1）客户知情权保护客户可通过登录新生支付网站，自动查询交易记录，了解账户余额、交易明细、手续费等详细情况。同时，客户可直接咨询客服人员，了解交易信息，包括交易金额、交易时间、收款方等相关信息。xx要求客服人员对用户咨询信息，详细查询后如实告知。（2）客户消费权保护在商户管理方面，公司建立了商户准入制度及商户巡检制度，通过严格的风险控制手段筛选优质商家，杜绝非法网站接入新生支付平台，保证了用户的合法消费权益。在信息系统方面，公司对POS机具及网络安全等进行定期巡检，并制定突发事件应急预案，确保支付业务系统设施安全可靠运行，保障客户的消费权益。（3）客户信息安全保护为保障客户的信息安全，xx提供严格的信息安全策略，严令任何员工不得擅自查看、记录客户信息，不得将客户任何信息（如电话，账户余额，公司备案信息等）外泄。同时，加强安全技术开发，保障消费者个人信息不被泄漏，对支付交易起到被保护作用。通过VERISIGN签发安全证书，128为SSL链路加密，保障支付信息的机密性、支付过程的完整性、商户及客户身份的合法性及操作等信息的安全性。（4）客户资金安全保护公司提供交易信息透明化及实名认证服务，保证交易真实性，并为消费者提供风险提示、预警等措施，保证交易安全性。同时，在动态监管过程中淘汰不合格商户，对于由于经营不善导致不再符合要求或存在风险隐患的商户，及时下线。此外，通过数字证书保障、多级权限管理体制、资金变动定制通知、7x24小时智能风险监控系统、支付交易订单采用MD5摘要认证等手段保证用户传送到新生支付订单不被恶意篡改，严防不法交易网站通过盗取链接，套用商户网址等手段，篡改交易信息，避免此类事件对消费者造成损失。（5）客户投诉权保护客户有权针对不明交易、交易成功未发货、服务态度、系统问题等进行投诉。公司客服受理投诉后，需核实情况是否属实，并针对相应问题反馈至相关部门，督促相关部门提供解决方案，回访客户。2.客户投诉处理（1）投诉保障机制xx致力于尽最大可能解决用户实际问题，挽回不满意用户。投诉保障机制主要包括四个方面：对投诉提供便利的渠道；对投诉提供迅速有效的处理；对投诉原因进行最彻底的分析；对投诉结果予以最有效的反馈。为及时了解用户对产品质量及服务的反馈意见，改善产品质量及服务水平，加强各部门协调，快速有效的解决用户向公司提出的投诉事项，提高客户满意度，消除由此给公司带来的负面影响，公司对客户投诉处理提出如下要求：=1\*GB3①投诉受理人员的要求网络支付业务部设置投诉受理专岗人员，负责指导，协调，处理客户投诉事项。投诉受理人应保持客观冷静，以积极地态度，明确的思路，稳定用户情绪，认真负责，以同理心去倾听回应用户，给予用户足够的重视和关注，保证在最短时间内处理完投诉事项。=2\*GB3②投诉处理时效性要求公司要求客服人员及时受理各项投诉并登记，并对投诉事项认真调查核实，及时将处理结果通过电话、电子邮件或在线客服等方式告知投诉人。在处理投诉的过程中，发现有关产品或服务确有问题的，相关人员应立即采取措施予以补救或纠正。（2）投诉处理流程公司通过在线客服，客服电话，客服邮箱三种形式，及时受理各项投诉并登记。对于客户投诉的事项，网络支付业务部牵头组织各相关部门认真调查核实并及时将处理结果反馈给客户。在处理投诉事项时，发现公司有关产品或服务确有问题的，立即采取措施予以补救或纠正。具体的投诉处理流程如下：=1\*GB3①投诉受理了解用户投诉的相关内容，如投诉人、投诉时间、投诉事项等。通过客服电话投诉的，由呼叫中心系统自动对投诉电话进行录音，客服人员将相关要点记录即可。=2\*GB3②投诉判断客服人员判定用户投诉理由是否充分，投诉要求是否合理。如投诉不能成立，即可以婉转的方式予以答复，取得用户的谅解、消除误会。如投诉成立，则根据用户投诉信息确定被投诉的责任方，并请用户给予一定时间展开调查。=3\*GB3③投诉调查客服人员对投诉成立的事项展开调查，根据客户投诉的具体原因，判断具体造成客户投诉的责任人。如属产品或技术等问题，交相关负责人处理。如属服务问题，则由客服专员或主管进行处理。=4\*GB3④提出处理方案相关责任人根据实际情况与客户进行协商，提出合理的解决方案，选择双方能达成的对客户而言最佳的解决方案。解决方案确立后，由客服人员告知客户。=5\*GB3⑤实施处理方案解决方案获得客户认可后，由相关责任人负责具体实施。投诉事项解决后，相关责任人员应第一时间通知客服人员，由客服人员回访客户，确认对投诉处理结果是否满意。=6\*GB3⑥投诉总结对投诉处理过程进行总结，信息整理留存，对部门内部存在的问题进行整改，涉及其他部门问题的给予建议，以提高综合服务能力。（2）投诉处理情况2015年共受理用户来访54750通，其中投诉数量为3285通。针对投诉问题，公司均会积极解决并回访用户，最终得到用户的认可，回访满意度为98.5%。现有投诉主要分为交易疑问，使用疑问，预付卡投诉，人员投诉等几大类，其处理情况具体如下：=1\*GB3①交易疑问类投诉针对交易疑问类投诉，xx均按流程如实查询交易信息，包括交易时间，交易金额，商户名称，商家订单号等，并提供给用户。=2\*GB3②商户未及时发货类投诉针对交易成功商户未及时发货类投诉，公司会协助用户与商户沟通，要求商户按时效发货，并提供发货证明。对于不予配合的商户会转至风险合规部由专人审核处理，情节严重的会勒令整改或延长结算周期。=3\*GB3③商户产品质量类投诉针对投诉商户产品质量问题类投诉，先与持卡人确认产品质量问题所在，然后公司相关人员会协助用户与商户沟通更换产品或退货。=4\*GB3④使用疑问类投诉针对使用疑问类投诉，首先沟通确认合作商户或个人用户进行的交易类型，后根据疑问点详细解答，提供正确操作流程及方法，如操作过程中出现报错，则需用户描述报错内容或发送报错截图到在线客服进行判断告知，如客服无法判断或解决则根据报错类型转交至相关负责部门协助处理。=5\*GB3⑤预付卡受理类投诉针对预付卡合作商户无法正常受理使用类投诉，我司会按照当前签订的合作商户列表核对商户信息，如该商户已不在合作范围内，则提供其他可以使用的商户信息供用户选择。如该商户在合作范围内，则联系合作商户确认使用方式，保障用户正常用卡，并会要求合作商户普及卡片使用方式。=6\*GB3⑥人员类投诉针对人员类投诉，公司会先为用户带来不良消费体验进行道歉，随后进行调查，与相关工作人员核实具体情况，确认投诉是否成立。如核实确为工作人员存在疏漏，则对该工作人员展开批评教育，并责令其向用户致歉，寻求用户谅解。同时，对责任人进行问责处理，并在全公司范围内发通告，将此问题引以为鉴。（五）重大风险事件情况本公司涉及的支付业务中未出现各类重大风险事件情况。并且在牌照存续期间内未发生因公司原因造成的客户信息泄露或涉及欺诈、洗钱、套现等违规事件。（六）违法违规情况本公司及公司股东、高级管理人员等未存在涉及违法违规情况，并且未受到人民银行等主管部门实施的行政处罚措施。六、支付业务设施（一）支付业务系统基本情况1.系统功能及性能描述（1）新生在线支付系统新生在线支付系统可分为基础服务、会员账户、记账引擎、网关收单、网关出款、安全风控、管理后台、门户网站等模块，各模块间通过API调用，模块内部再划分各自的子系统，保证了整体架构的低耦合和高内聚。主要功能点和系统间调用如图所示。=1\*GB3①基础服务基础服务模块是整个平台的基础模块，它提供了各种应用的底层服务，包括缓存、日志、通讯、短信、监控、自动作业等等，对于操作细节进行了封装。其它子系统通过调用其服务来完成各自的业务场景。=2\*GB3②会员账户会员账户模块的主要功能是对会员及其账户进行管理。新生操作员在后台录入会员或用户在线注册后，调用此模块来生成会员及其账户。在其它业务场景中，所有交易都会调用此模块来进行会员账户的查询及账户管理和账务变更。这些处理由一系列账户安全保证机制来保证其处理准确性，完整性。=3\*GB3③记账引擎记账引擎模块提供了所有交易相关的记账分录和费用计算引擎。在支付业务中，所有账户余额的变更均会调用此模块按照规定的会计分录来进行记账处理，并对处理的结果出具相关业务报表送互联网支付服务部进行资金清算处理。在涉及到手续费及分润的交易中，还要调用此系统来查询相关的价格策略来计算相关费用。=4\*GB3④网关收单网关收单模块完成金融类和非金融类交易处理流程，是新生网络支付的核心处理系统。主要负责处理所有客户的下单、充值、支付、退款、交易查询、补单、网关对账单下载等交易。除以上类型交易外，网关收单系统也整合了风险控制机制、交易安全机制和账户安全机制来保证交易的合法性和安全性。它还包括了对接各个银行等资金渠道的前置应用。=5\*GB3⑤网关出款网关出款模块主要是负责根据客户的指令，把资金从客户的新生网络支付平台虚拟账户，转出到其它账户。系统主要包括单笔及批量付款到账户、付款到银行、出款订单查询、充退管理、出款渠道管理等业务功能。=6\*GB3⑥安全风控风控安全模块主要负责防止对交易的业务风险的防范，主要包括支付服务的风险控制和账户的风险控制。支付服务系统的风险控制同账户系统的风险控制各有侧重点，账户系统的风险控制和保护的对象是单个账户。而支付服务系统的风险控制除了对交易金额进行风险控制以外还需要控制参与交易的各个实体的风险动作，这些实体可能是交易发起的操作员，交易的商户，充值代理商等。风险控制通过配置风险参数，对不同的交易实体实现灵活的控制机制。=7\*GB3⑦管理后台管理后台模块提供了新生操作员进行各种管理操作的平台。新生操作员登录平台后通过本模块发起对于其它模块的调用来完成各种业务操作。本模块还包含了完备的身份认证功能和权限管理功能，用以保障业务操作的合法性。=8\*GB3⑧门户网站门户网站模块提供了一个展现网络支付平台的特色和功能的平台。同时它也是一个为网络支付平台各类客户的提供服务的渠道（WWW）。其中包括新生支付信息的呈现和管理、客户自服务功能、商户自服务功能、支付服务功能及客服人员服务功能等等。商户及客户通过本模块来发起查询、转账、付款等等一系列支付功能。（2）新生预付卡系统新生预付卡系统划分为基础构件、发卡、账户、清算、风控及安全、客户、门户、综合业务、收单及渠道、核心交易等模块，各模块再细分各自的子系统，子系统间通过hessian方式通讯。主要功能点及调用关系如下图所示。=1\*GB3①基础构件基础构件模块是整个平台的基础模块，它提供了各种应用的底层服务，包括缓存、日志、通讯、短信、监控等等，对于操作细节进行了封装。其它子系统通过调用其服务来完成各自的业务场景。=2\*GB3②发卡发卡模块提供了预付卡的发行和管理的相关服务。包括所有卡种、发行地区等基本信息的维护，卡片的发行、代销、销售，卡片的库存管理，卡种及卡片相关交易权限的设置等等。所有涉及卡片的交易，其它模块也都需要调用此模块来进行卡片信息的查询、卡片密码的验证等操作。它还负责挂失、解挂、冻结、解冻、注销、实名等卡片相关管理功能。=3\*GB3③账户账户模块提供了整个预付卡账户的体系结构，在各种业务场景中，调用本模块来完成账户的创建、余额的变更并记录详细的变更流水。本模块对于账户余额的变更通过加密机进行了账户信息的校验，以保证交易的合法性。=4\*GB3④清算 清算模块提供清结算的相关功能。新生操作员在管理平台通过调用本模块来设置商户的清结算规则，作业调度系统调用本模块来进行每日的清结算跑批，从而算出各个机构的相关费用，然后调用本模块来跟商户和渠道进行对账服务，没有问题后再通过本模块进行结算单的核销。另外本模块还负责每日的日切操作。=5\*GB3⑤风控及安全风控及安全模块包含风险控制和安全服务。安全服务提供了所有操作员和客户的身份认证和权限人生服务，以保证用户操作的合法性。第三方的所有交易还需要调用此模块来进行加解密和加解签，以此保证交易的合法性和正确性。风险控制服务提供了各种风控规则的维护，并通过内含的风控引擎来进行风险的事前、事中风险控制和事后的风险分析。=6\*GB3⑥客户客户模块提供了对于购买预付卡客户的维护，包括客户的开通、修改、激活、锁定、解锁、注销等，并为客户提供了卡片绑定、实名信息修改、登录密码修改和重置、登录预留问题的设置等功能。=7\*GB3⑦门户门户网站模块提供了一个展现预付卡平台的特色和功能的平台。同时它也是一个为预付卡持卡人的提供服务的渠道（WWW）。其中包括预付卡信息信息的呈现和管理、客户自服务功能等等。持卡人通过本模块来发起查询、转账、充值等操作。另外本模块还包含提供给商户使用的预付卡收单网关，为商户提供了新生的预付卡线上支付功能。=8\*GB3⑧综合业务综合业务模块包含了所有的管理平台，包括提供给新生操作员使用的综合柜面、网点柜面、客服柜面，提供给商户使用的商户柜面，提供给代理商使用的代理商柜面。本模块还提供了商户机构管理、终端管理、平台管理等基础信息维护功能，并提供了各种业务报表分析。=9\*GB3⑨收单及渠道收单及渠道模块是所有交易的入口，包括POSC、POSP、web接入、手机客户端接入等，在各个支付场景中，交易信息从这些入口进行综合收单系统，然后发送给核心交易系统来完成交易。本模块还包含了跟各个外部机构对接的前置应用，包括代理商线上接入前置、油联前置、O2O前置等等。=10\*GB3⑩核心交易核心交易模块是平台的核心模块，所有牵涉到客户、卡片、账户变动的操作，均定义为交易，通过交易处理系统进行处理，包括客户管理类交易、卡片管理类交易、账户管理类交易、账户金融类交易、平台管理类交易等。交易模块从收单模块收到交易信息后，调用其它子模块来完成整个交易流程。2.系统架构及软硬件配置新生在线支付系统主要业务线如下图所示。商户网站通过访问新生支付website进行充值提现操作，从website到银行前置再从银行前置返回加解签报文到website，website提交银行订单银行做查询并返回结果通过noticification消息服务器返回支付结果到商户。硬件信息：HPdl388G7，Intel(R)Xeon(R)CPUE5-2620v2@2.10GHz，300G硬盘x4，内存64G软件信息：centos5.11，nginx1.4.7，tomcat，memcached1.4.13，activemq5.4.2，oracle10g3.网络拓扑图描述及结构说明整体网络关键节点均采用冗余部署，保证系统可用性。根据业务需要和安全级别不同，将网络分为边界区域、监控及管理区域、核心服务器区域和数据库服务器区域。在边界区域，部署了防DDOS设备、具有恶意代码防范的IPS设备、防火墙和Web应用防火墙，根据业务需要，采取白名单机制和最小访问原则设置访问控制策略和安全防护策略，最大有效保证业务数据安全。通过核心交换机VLAN功能将内部分为多个区域，根据业务需要依据最小访问原则设置不同区域间访问控制策略。监控和管理区域为管理员操作的区域，包括堡垒主机，登录网络设备和安全设备均通过堡垒主机进行登录，包括监控服务器，对网络中每个设备性能和网络节点流量进行监控。最终可集中审计每个管理员的操作和对整体网络运行情况和设备性能进行监控和报警。4.系统安全性设计服务器采用Linux系统，系统上线是采用配置模板对系统进行配置，采用Nagios和Cacti定制的监控平台，每个系统上线前已经配置了监控，对CPU、内存、磁盘空间和部分进程进行了监控，当低于设置的阈值时会进行报警通知管理员。上线服务器均安装了puppet，对服务器重要的配置文件进行监控和同步，当发生篡改时，会自动恢复。上线服务器均对用户权限进行了设置，禁用了root权限，均为普通用户权限，限制了管理员登录地址，只允许通过堡垒主机登录，在堡垒主机上设置了账户口令策略、登录超时策略和登录失败处理策略，同时记录了每个用户的操作日志，并生成报表进行分析。5.机房建设情况机房为托管，所在位置北京市大兴区西红门镇北兴路东段2号星光影视园1号楼世纪互联8层2机房。通过了银监会的检查，符合国内5星机房标准，国际T3+标准。双路供电；UPS为n+1；视频监控24小时，保存1个月以上；消防具有自动火警系统，采用气体灭火；每个区域均设有电子门禁，外部人员进入需申请临时门禁卡；采用机房专用空调，温度设置为22度，湿度45；大楼的建设均符合机房要求防震避雷等措施。（二）信息安全制度体系及培训落实情况xx依据ISO27001和等级保护三级管理要求建立了管理体系，遵循PDCA模型每年进行改进。在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五方面建立管理文件，涉及安全策略、组织、人力资源、资产管理、访问控制、物理环境、操作安全、日志监控、开发、信息安全事件处理、业务连续性、风险评估、管理评审、合规性等方面。同时，建立4级文件结构，从策略、程序、操作到记录表单，对信息系统运行中涉及的人员和流程进行了安全规范。且每年进行至少2次大型的针对性培训，现实环境发生变化时，会不定期进行小型培训。（三）支付业务系统的安全运行情况xx依据海航云商的管理体系要求，由信息安全领导小组进行推进督促，信息安全工作小组落实执行，每个相关部门和员工都依据相关制度进行日常工作。每年都通过公安网安、PCI机构、央行等监管机构的例行检查，同时，每年进行自查。针对业务连续性和应急方面，公司设立了信息安全事件响应组专门负责相关工作，制定了相关制度策略，定期培训和演练，并处置信息安全事件。（四）支付业务设施安全保障情况目前支付业务设施托管于北京世纪互联机房，机房在物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护10个方面均设置了相应安全保障措施，如进入机房的权限控制、电子门禁和防盗系统设施、气体自动灭火装置、防静电地板和操作台、专用机房空调温湿度控制、防水检测等。同时，基础服务器设施与供应商有相关保障协议和保密协议，提供24小时技术支持和硬件冗余替换。通过机房的安全防护与供应商的服务，结合内部运维人员与监控系统，保障支付业务设施的保密性、完整性和可用性。（五）支付业务系统安全事件报送及处置情况公司内部建立了信息安全事件管理制度和信息安全事件响应组，安全事件发生根据级别、类型不同，有不同的详细处理方法和应急预案。由信息安全事件响应组进行集中管理、处置、分析、归档、总结和培训。同时配合当地公安网监对重大事件进行上报。（六）检测认证及人民银行检查发现的问题及整改情况人民银行会定期发布问题检查情况清单，近期于9月份进行了漏洞风险排查2.0。经过检查，不存在严重问题，且存在问题已经制定了相应整改措施，截至目前，已基本完成整改。七、反洗钱管理（一）反洗钱工作的整体情况。xx自成立以来，建立了反洗钱工作小组，对各部门和所有分支机构的各项经营管理活动进行监督。反洗钱工作由公司副总经理统一领导，各部门分级负责。风险合规部负责牵头组织反洗钱及反恐怖融资工作，分支机构风控专员对业务开展常规的反洗钱及反恐怖融资工作，并接受风险合规部内控室的检查、监督和指导。xx高度重视反洗钱工作，根据《中华人民共和国反洗钱法》、《非金融支付机构服务管理办法》、《支付机构反洗钱和反恐怖融资管理办法》，建立健全xx反洗钱及反恐怖融资内部控制制度，配备反洗钱岗位人员，不断提高反洗钱队伍素质，积极探索反洗钱工作方法和技术，不断提高反洗钱工作质量。（二）反洗钱工作机制建立情况xx风险合规部主要从洗钱风险预防、洗钱风险监控及重大事项管理等方面着手反洗钱工作。在洗钱风险预防阶段，通过严格执行《xx信息技术有限公司商户准入制度及风险管理办法》、《xx信息技术有限公司反洗钱体系客户风险等级管理制度》，筛选优质商户。风险合规部对合作商户进行材料审核，对不符合实名制等要求的商户不予准入。同时，通过制定征信模型，对客户洗钱风险进行评级。在风险监控阶段，按照《xx信息技术有限公司反洗钱和反恐怖融资内部控制制度》制定交易监控规则，对准入商户出入金情况、交易情况进行系统监控，并通过交易审核流程，完善风险监控制度，起到双重监控作用。在重大事项管理方面，按照监管机构的相关管理办法及公司内部控制制度，一旦发现有洗钱情况及时上报相关监管机构，并积极配合后续调查。（三）反洗钱法定义务履行情况1.客户身份识别(1)个人用户身份识别根据《支付机构反洗钱与反恐怖融资管理办法》，个人用户注册网络支付账户时，支付机构须保留客户的国籍，性别，职业，住址等信息，xx平台在客户注册时已将上述信息作为必填项，如不填写则无法完成注册。平台对客户进行实名认证主要通过与公安网全国人民身份证信息查询中心数据对接进行，客户进行实名认证时，不仅要将身份证号与公安网数据库做比对，还需上传身份证正反面扫描件。如果用户不上传，则无法继续点击“下一步”申请实名认证。身份证上传以后，会以身份证号命名，保存在我司专门设立的服务器上。反洗钱工作人员下载证件进行审核。客户只有通过人工审核，才能认证成功。(2)企业商户身份识别xx在与商户建立业务关系时，根据商户提供的经该公司法定代表人签字的企业法人身份证复印件，联网核查进行识别，并对企业法人身份证复印件作为商户重要资料进行永久保存。对于企业法人身份证不能顺利通过系统认证的企业，公司不为其提供支付服务。公司对商户资料实行业务人员与风控人员双重审核、总部与分支机构双重审核，严格审查企业用户提交的加盖公章的五证复印件，主要对营业执照有效期、年检、经营范围等方面进行审查。对于存在疑问的商户，审核人员会登录该商户所在地工商局及第三方征信服务公司对该商户的企业信誉进行查询。此外，审核人员登录企业用户在支付协议中约定的网址，调查该用户实际经营范围，并核对是否与营业执照约定的经营范围相符。同时，查询该网站的ICP备案情况，对于ICP备案主办单位信息与实际企业用户不能一一对应的，严格审查标准，并要求该商户出示证据证明。(3)购卡人身份识别对于购买记名预付卡和一次性购买1万元(含)以上不记名预付卡的单位或个人，xx及分支机构按规定核验单位和个人的有效身份证件并留存证件复印件或影印件。同时，在预付卡业务处理系统中，记载客户购卡详细信息，主要包含预付卡卡号、金额、购卡日期、数量、购卡人姓名(单位名称)、经办人姓名、有效身份证件名称和号码、购卡人联系方式等信息。2.客户洗钱风险分类管理《xx信息技术有限公司反洗钱体系客户风险等级管理制度》已规定了详细的风险等级划分标准，并已将全部特约商户的风险等级录入后台系统，对高风险等级商户实行限额限次和定期审核观察的风险控制措施。根据反洗钱客户风险等级管理制度，风险合规部联合市场拓展部有针对性地选择典型商户进行实地访问或电话回访，持续关注高风险商户的经营情况。同时，通过公司交易管理后台，反洗钱专职人员可以对同一客户的多个账户进行关联管理，全面监控客户的交易情况。此外，xx作为奠基企业之一，是第三方支付安全合作联盟理事会成员，共享黑名单数据，可有效的遏制洗钱风险事件。现黑名单系统已正式上线，公司已把该系统嵌入了管理后台，可按需求进行查询比对。同时，公司规定黑名单客户全部设置为禁止类客户，一经发现，立即清退。3.客户资料和交易记录保存xx采取严谨管理措施和技术措施，严格防范相关信息记录的缺失、毁坏和泄露，保证客户信息和交易数据不被篡改，及时发现并记录任何篡改或企图篡改的操作。对依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息，按照公司相关规定进行存档，并履行保密义务。同时，产品技术部也在不断完善客户身份资料和交易记录保存系统的查询和分析功能，便于反洗钱调查和监督管理。(1)系统保存资料xx业务系统妥善保存客户身份资料和交易记录，确保能够完整准确重现每笔交易。系统保存的客户身份资料包括系统记载的客户身份信息、辅助证明客户身份以及反映公司开展客户身份识别工作情况的各种记录和资料。系统保存的交易记录包括交易双方名称、交易金额、交易时间、交易双方的开户银行名称或支付机构名称、业务凭证、账簿以及其它反映交易真实情况的合同、业务凭证、单据、业务函件、交易双方的银行账户号码、支付账户号码、预付卡号码、特约商户编号等。(2)业务档案资料按照业务档案管理规定，由专人在规定期限内，妥善保存客户档案、流程工作档案、结算业务档案、交易记录、培训记录和异常交易报告记录等工作材料。其中，客户终止协议后，纸质客户档案资料和交易记录保存5年。如果客户身份资料和交易记录涉及正在被反洗钱和反恐怖融资调查的可疑交易活动，而且调查工作在最低保存期届满时仍未结束的，将会保存至调查工作结束。3.大额和可疑交易报告(1)通过风险模型技术手段筛选可疑交易xx风险合规部设置反洗钱岗位，明确由专人通过风险监控管理系统或其他技术、人工分析手段，对符合情形的大额交易和可疑交易进行监控，并根据监管政策要求和监控工作开展情况，组织设定、调整系统监控的范围、规则和参数。反洗钱专职人员每天定时按照不同的风险类型设置的规则，运行数据库程序，进行类实时数据推送，筛选出可疑交易和商户。同时，对大额交易和可疑交易进行人工分析、判断和调查，根据人民银行要求报送可疑交易，并积极配合人民银行、公安机关的反洗钱调查工作。为提升效率，目前公司已初步设计了内嵌可疑交易识别规则的风控系统模型，后续将按照模型进行系统开发，实现自动化监控。(2)可疑大额交易的上报标准xx风险合规部结合客户身份信息和交易背景，对客户行为或交易进行识别、分析，确定或有合理理由判断与洗钱、恐怖融资或其他犯罪活动相关的，在发现可疑交易之日起10个工作日内，以电子方式向中国反洗钱监测分析中心提交可疑交易报告。（四）反洗钱工作配合情况与成效 xx自中国人民银行确定每年9月为反洗钱宣传月后，每年9月都会积极响应央行的反洗钱工作要求，由反洗钱工作小组组织反洗钱知识培训，提升公司员工和社会公众的反洗钱意识。针对一些典型的的网络诈骗洗钱、非法网络集资等网络犯罪活动，公司成功的组织了主题为“警惕网络洗钱陷阱，增强反洗钱意识”的反洗钱宣传活动。与此同时，在xx官方网站和官方微博进行传播，警醒公众，远离洗钱及相关犯罪活动。为提高对反洗钱工作的认识，公司通过在办公区域张贴简述反洗钱文件，对公司全体员工进行反洗钱知识的宣传与传播。同时，反洗钱工作小组制作了反洗钱手册，向公司全体员工进行邮件推送，进一步增强了全体员工的反洗钱意识。2014年5月22日，xx接受人民银行反洗钱处进行现场调查座谈，为期1周，我司全力配合，严格按照人民银行的要求，切实履行好反洗钱义务，维护国家的金融经济安全。（五）其他反洗钱工作情况、问题及工作改进建议xx在落实54号文第13条的过程中，对交易信息的获取遭遇到来自银行通道方面较大的阻碍。持卡人信息作为商业银行的数据资产，各商业银行十分关注对相关信息的保护，一般不会向合作机构提供相关敏感字段。在支付机构与银行的合作中，双方处于不对等的地位，支付机构无法强行对银行作出要求。因此，在执行上述第13条具体要求时，仅仅可以留存到每一笔交易的日期、客户名称、币别、金额，身份证件种类、号码、有限期限这三个字段无法获取。公司多次与各家合作银行沟通，要求其根据《反洗钱法》规定，传送用户交易数据时提供持卡人身份信息，便于客户身份识别保存。但商业银行均告知根据银监会86号文的规定，无法提供。公司将继续向各家合作银行发出公函，要求其依照《反洗钱法》，传送持卡用户身份信息。八、其他需要说明的重大事项无。附:1.网络支付业务统计表2.银行卡收单业务统计表3.预付卡发行业务统计表4.预付卡受理业务统计表5.公司经营情况统计表6.备付金银行及备付金账户统计表7.备付金规模及存放情况统计表注：本报告及附表所涉数据统计要求提交材料公司经营（财报数据）支付业务发展（业务数据）备付金规模（备付金指标）支付机构自评报告文字T年的上半年提交申请：（T-1）年年末。T年的下半年提交申请：T年上半年末。申请日最近一季度季末申请日最近