支付合规:关键法规和最佳实践
任何涉及资金流动的企业都面临合规问题。无论是银行卡交易、电商结账还是加密货币支付,渠道都一样。规则适用,处罚真实存在,而无视规则往往不会有好结果。
支付合规的难点不在于了解它的存在,而在于理解哪些法规适用于您的特定业务、它们之间如何相互作用,以及您实际需要做什么。本指南将涵盖这些内容。
什么是支付合规性?为什么它如此重要?
如果你问五家不同的支付运营商“支付合规”是什么意思,你可能会得到五个不同的答案。实际上,它涵盖了企业如何收集、存储、传输和处理支付数据的全部规则。这些规则的存在是因为,一旦支付系统出现问题——例如欺诈、洗钱或数据泄露——损害就会迅速且广泛地蔓延。
基本上所有从事数字资金交易的企业都须遵守这些规定,包括在线零售商、SaaS平台、市场平台、金融科技公司和加密货币交易商。这些规定没有规模豁免条款。一家十人初创公司与一家大型企业面临着相同的核心要求。
以下数据足以说明问题的严重性:预计2023年至2027年间,支付欺诈和电子商务损失将高达3430亿美元。Verizon发布的《2023年支付安全报告》显示,仍有64%的公司未能完全符合PCI DSS标准。而一次数据泄露就可能引发诉讼、强制审计和卡组织制裁,这些问题可能需要数年才能解决。
保持合规是确保支付网络畅通的关键。一旦因违规或数据泄露而失去合规资格,则可能永远失去这扇门。
谁负责全球支付合规监管
没有哪个单一机构在全球范围内负责支付合规。不同司法管辖区的机构各自制定标准并执行规则,大多数企业最终都需要向不止一个机构负责。
| 监管机构 | 管辖权 | 范围 |
|---|---|---|
| 支付卡行业安全标准委员会 ( PCI SSC ) | 全球的 | 制定 PCI DSS——信用卡支付数据安全基准标准 |
| 金融行动特别工作组( FATF ) | 全球(40多个成员国) | 制定反洗钱和反恐融资标准 |
| 欧洲银行管理局/欧洲央行 | 欧洲联盟 | 执行PSD2,并为支付服务提供商颁发许可证 |
| 金融犯罪执法网络( FinCEN ) | 美国 | 反洗钱执法、银行保密法、加密货币指南 |
| 美国联邦贸易委员会( FTC ) | 美国 | 消费者数据保护、不公平支付行为 |
| ICO/数据保护机构 | 欧盟和英国 | GDPR 执行 |
| 中央银行 | 各国 | 对本地支付服务提供商进行许可和监管。 |
例如,一家位于欧盟的商户如果接受国际客户的美国信用卡,就必须同时应对支付卡行业数据安全标准 (PCI DSS)、通用数据保护条例 (GDPR) 以及可能还有金融犯罪执法网络 (FinCEN) 的相关规定。当您的业务涉及跨境业务时,如何管理这些重叠的合规要求,正是支付合规和监管合规的体现。
关键支付合规法规详解
五项法规界定了大多数企业必须遵守的大部分规定。每项法规针对不同的风险领域,并设有各自的处罚机制。
- 支付卡行业数据安全标准(PCI DSS ) 适用于任何存储、处理或传输持卡人数据的实体。它列出了 12 项技术和操作要求。不合规的罚款金额为每月 5,000 美元至 100,000 美元,具体金额取决于违规的严重程度。
- PSD2——欧盟第二版支付服务指令——对整个欧洲经济区的支付服务提供商进行监管。其核心要求是电子交易必须采用强客户认证(SCA)。违规罚款最高可达500万欧元或全球年营业额的3%。
- 反洗钱/了解你的客户(AML/KYC) ——反洗钱法规要求企业核实客户身份(了解你的客户),监控交易中的可疑活动,并提交可疑活动报告。这些规定源自各国根据金融行动特别工作组 (FATF) 建议制定的法律。
- GDPR/CCPA——欧盟的《通用数据保护条例》(GDPR)和加利福尼亚州的《消费者隐私法案》(CCPA)制定了支付领域的数据隐私规则,规范了个人数据和支付信息的收集、存储和处理方式。GDPR罚款最高可达2000万欧元或全球年营业额的4%。Meta在2022年被罚款4.05亿欧元,这表明监管机构将大规模执法。
- BSA/FinCEN规则——美国《银行保密法》要求金融机构和货币服务企业维持反洗钱计划,报告超过1万美元的现金交易,并提交可疑活动报告(SAR)。FinCEN已将这些义务扩展至在美国运营的加密货币企业。
PCI DSS 4.0:支付数据安全的基础
大多数在线企业在受到其他法规约束之前,首先要遵守的是支付卡行业数据安全标准 (PCI DSS)。PCI DSS 4.0 版本于 2022 年最终定稿,并于 2025 年 4 月全面生效,带来了商家和支付服务提供商需要了解的重要变化。
合规水平取决于年度信用卡交易量:
- 一级:年交易量超过 600 万笔——由合格安全评估师 (QSA) 进行年度现场审计
- 二级:年交易量100万至600万笔——年度自我评估问卷(SAQ)加季度网络扫描
- 三级:每年2万至100万笔电子商务交易——SAQ加季度扫描
- 第四级:电子商务交易量低于每年2万笔——SAQ推荐
4.0 版本与 3.2.1 版本相比有哪些变化:
- 定制化方法:企业现在可以实施符合要求意图的替代控制措施,而不是严格遵循既定的技术规范。
- 强制多因素身份验证:现在所有对持卡人数据环境的访问都需要多因素身份验证,而不仅仅是远程会话。
- 网络钓鱼和社会工程培训:有针对性的意识培训是一项正式要求,而非建议。
- 更强的密码:最低 12 个字符(之前为 8 个字符),高权限账户的密码每 90 天自动轮换一次。
忽视支付卡行业数据安全标准 (PCI DSS) 的代价十分惨重。2008 年,Heartland Payment Systems 公司遭遇数据泄露,总损失超过 2 亿美元。该公司股价在几天内暴跌 50%,在恢复之前市值缩水 77%。小型企业通常难以承受这样的损失。
反洗钱和了解你的客户:从源头上侦测金融犯罪
反洗钱合规意味着构建系统,在金融犯罪流入您的平台之前就将其拦截。KYC(了解你的客户)——身份验证层——正是实现这种监控的基础。
反洗钱合规的真正要求:
- 交易监控:自动化系统标记异常模式——大额转账、资金快速流动、拆分交易(将交易拆分以保持在报告阈值以下)
- 可疑活动报告提交:当出现可疑活动时,必须在规定的时间内向相关部门提交可疑活动报告。
- 制裁筛查:实时核查每位客户和交易对手是否符合美国财政部外国资产控制办公室 (OFAC)、联合国和欧盟的制裁名单。
- 客户尽职调查 (CDD) :持续的风险状况审查,而不仅仅是一次性的准入检查。
- 强化尽职调查 (EDD) :对高风险客户(包括政治公众人物 (PEP) 和来自高风险司法管辖区的任何人)进行更深入的审查。
在企业注册过程中,KYC 通常包括文件验证(政府颁发的身份证明、地址证明)以及活体检测。如今,eKYC 解决方案利用人工智能技术,只需几秒钟即可完成这些操作;对于任何大规模的企业注册而言,这已成为标准流程。
FATF旅行规则增加了一项针对加密货币的特定规定:虚拟资产服务提供商必须收集并传输超过1000美元转账的发送方和接收方信息。具体门槛因司法管辖区略有不同,但无论转账对象是比特币、稳定币还是任何其他数字资产,这项义务都适用。
PSD2、SCA 和开放银行要求
PSD2重塑了欧盟支付服务提供商的身份验证方式。其核心要求——强客户认证——现已成为在欧洲经济区运营的任何支付服务的标准。
SCA 要求使用至少三个独立因素中的两个进行身份验证:
- 你知道的信息:密码、PIN码、安全问题
- 你拥有的东西:手机、硬件令牌、智能卡
- 你的一些特征:指纹、面部识别、语音模式
3D Secure 2.0 是实现非面对面交易强客户认证 (SCA) 的主要技术标准。它在商户、卡组织和发卡银行之间传递风险信号,从而允许低风险交易顺利进行。
SCA豁免条款旨在减少不必要的摩擦:
| 豁免 | 健康)状况 |
|---|---|
| 低价值交易 | 单笔交易金额低于 30 欧元(最多 5 笔连续交易或累计交易金额不超过 100 欧元) |
| 受托受益人 | 客户已预先授权收款人 |
| 定期固定金额付款 | 每期支付给同一收款人的金额相同。 |
| 企业支付工具 | 专用商业支付协议 |
| 交易风险分析 | 实时欺诈评分低于设定阈值 |
PSD2还强制推行开放银行。银行必须在获得客户同意的情况下,通过API向获得许可的第三方服务提供商提供客户账户数据的访问权限。遵守这些访问规则是获得许可的必要条件,并非可选项。
加密货币和数字资产领域的支付合规性
大多数支付合规指南仅涵盖银行卡支付和电汇,这存在明显的漏洞。加密货币商户、支付网关和数字资产企业不仅要遵守反洗钱/了解你的客户 (AML/KYC) 法规的全部要求,还要额外应对日益增多的加密货币专属规则。
根据金融行动特别工作组(FATF)的指导原则,虚拟资产服务提供商(VASP)——包括加密货币交易所、钱包和支付网关——在反洗钱方面被视为金融机构。实际操作中这意味着:
- 在客户注册时完成完整的KYC流程,持续进行交易监控,并履行可疑活动报告(SAR)申报义务。
- FATF旅行规则:超过1000美元的转账需要提供汇款人姓名、汇款人账号和收款人详细信息才能随交易一起旅行。
- 在美国注册的加密货币企业需向金融犯罪执法网络 (FinCEN) 注册为货币服务企业。
- 根据欧盟《加密资产市场监管条例》(MiCA ) 颁发的许可证,该条例自 2024 年起生效,涵盖稳定币发行人和加密服务提供商的储备金要求、消费者保护规则和信息披露义务。
实际挑战在于,合规性必须适用于数百种资产和区块链,而每种资产和区块链的结算最终性和可追溯性各不相同。从零开始构建这样的系统既昂贵又耗时。
Plisio在网关层面处理合规事宜,支持 200 多种加密货币,同时保持符合反洗钱 (AML) 标准的交易监控和 KYC 友好的商户入驻流程。对于希望接受加密货币付款但又不想自行构建合规基础设施的电商企业而言,选择一个能够承担监管复杂性的网关是切实可行的方案。
如何构建支付合规工作流程
合规不是一个可以随时开启的工具,而是一个持续运行的过程,如果把它当作一次性项目来对待,就会失败。
- 评估您的环境——绘制出所有涉及支付数据的系统图:结账页面、支付处理器、数据库、第三方集成。PCI DSS 仅涵盖其规定的范围,而大多数数据泄露事件都发生在未纳入评估范围的角落。
- 进行合规性差距分析——将现有控制措施与支付卡行业数据安全标准 (PCI DSS)、反洗钱/了解你的客户 (AML/KYC) 要求以及通用数据保护条例 (GDPR)(或加州消费者隐私法案 (CCPA))进行比对。记录下缺失的措施,而不仅仅是已实施的措施。
- 实施技术控制——令牌化将卡号替换为非敏感令牌;加密保护传输中和静态数据。仅这两项措施就能消除大部分 PCI DSS 的适用范围。
- 设置交易监控——自动化系统需要实时标记可疑交易。上线前而非上线后,必须定义警报规则、审查队列和升级路径。
- 培训员工——社交工程和网络钓鱼造成的安全漏洞比技术故障更多。PCI DSS 4.0 现在要求进行有针对性的安全意识培训;应将其视为一项实际的控制措施。
- 所有事项都要记录在案——政策、流程、审计跟踪、事件响应计划。监管机构需要文件记录来证明你具备相应的意图和能力,而不仅仅是系统运行正常。
- 定期进行审计——包括年度PCI DSS评估、季度网络扫描和持续的反洗钱项目审查。缺乏积极维护会导致合规性下滑。
- 选择合规的支付合作伙伴——您的支付处理商、网关和银行合作伙伴负有共同责任。选择一个在基础设施层面处理 PCI DSS 合规事宜的合作伙伴,可以大大减少您的工作量。
电子商务支付合规最佳实践
一旦您的支付合规计划开始运行,以下做法可以防止其悄然崩溃:
- 使用通过 PCI DSS 1 级认证的网关——将持卡人数据处理外包给服务提供商,通常会将您的 PCI DSS 范围缩小到 SAQ A。
- 启用 3D Secure 2.0 — 降低非面对面交易的欺诈风险,并符合欧盟强客户认证 (SCA) 要求
- 全面令牌化——在交易入口处用令牌替换卡号;原始持卡人数据绝不应存储在您的系统中。
- 部署设备指纹识别和 IP 地理位置定位——利用行为数据构建欺诈预防信号,且不会增加结账流程的摩擦。
- 应用数据最小化原则——根据 GDPR,仅收集所需数据,仅在必要时保留数据,并按时删除。
- 在启用支付功能之前,请先验证商户身份——在市场或平台上,入驻合规流程也适用于子商户。
- 制定事件响应计划——GDPR要求在72小时内向监管机构报告违规行为;美国大多数州要求30天。未经测试的计划只是一纸空文。
