第一部分 — 入门与平台指南

核心资源，帮助新团队快速上手。

用户角色与权限

Onlayer 支持多种角色类型，以匹配您机构的结构。管理员负责管理平台设置、用户访问和 API 凭证。风险分析师负责查看商户扫描结果、管理警报和创建案例备注。开发人员可以访问 API 密钥、沙箱环境和 webhook 配置。角色可以在“管理员”面板的“设置”→“用户与权限”中分配和调整。

仪表板概览

登录后，您将进入“投资组合仪表板”，其中显示了您的商户投资组合风险评分分布、近期警报和待处理案例审查的摘要。使用左侧导航访问“商户入网”、“监控”、“报告”和“设置”。顶部栏提供全局搜索、通知中心和您的帐户配置文件的访问权限。首次登录时，请使用引导式设置向导配置您的扫描偏好和通知渠道。

警报与通知设置

导航至“设置”→“警报与通知”以配置实时触发器。您可以定义警报条件，例如高风险 MCC 类别漂移、交易洗钱检测 (TLD) 标志或 BRAM/VIRP 违规。对于每个条件，可以在电子邮件通知、平台内警报或 webhook 推送事件之间进行选择。严重性阈值 — 关键、高、中、低 — 可以为每个模块和每个用户角色独立配置。

初始平台设置

首次部署 Onlayer 时，无需 API 集成即可上线。只需提供商户 URL 列表（适用于电子商务）或物理地址（适用于 POS 商户），Onlayer 将处理其余事务。您的客户成功经理将在合同执行后的 48 小时内安排一次入网电话，指导您完成首次扫描配置。

席位与访问管理

平台许可证包含每个机构最多 5 个用户席位，不收取额外费用（MMP 许可证涵盖 3 个部门最多 25 个席位）。额外席位可作为附加项购买。要邀请新用户，请转到“管理员”→“用户管理”→“邀请用户”。用户将收到一封入网电子邮件，其中包含登录说明和角色文档。

审计日志与证据导出

所有平台活动 — 包括扫描触发器、手动审查、警报确认和案例决策 — 都会自动记录时间戳。要导出用于卡组织审计（BRAM、VIRP、PCI-DSS）的审计日志，请导航至“报告”→“审计日志”并应用所需的日期范围。导出文件格式为 CSV 和 PDF，并包含数字时间戳和用户归属。

 

第二部分 — 产品与解决方案

Onlayer 的平台围绕模块化产品构建，可以独立激活或组合使用，以覆盖您的整个商户生命周期 — 从入网尽职调查到持续合规监控。

 

核心平台

 

 

服务模块

 

 

情报附加项

 

 

第三部分 — API 与集成

面向您的工程团队的技术文档。

 

API 集成指南

Onlayer 提供 RESTful API，允许您的工程团队将商户风险情报直接嵌入现有系统 — 包括 CRM、入网门户和内部案例管理平台。身份验证使用在“设置”→“API 管理”中生成的 API 密钥。所有请求都必须包含 Authorization: Bearer [API_KEY] 标头。完整的端点文档、请求/响应架构和速率限制详细信息可在您平台的 API 参考部分找到。

SFTP 数据传输

对于倾向于批量数据传输而非实时 API 调用的机构，Onlayer 支持基于 SFTP 的集成。商户扫描结果、警报文件和合规报告可以按计划（每日、每周或扫描完成后）传输到指定的 SFTP 端点。SFTP 凭证和文件格式规范将在项目激活阶段提供。

Webhooks

Onlayer 支持事件驱动的 webhook 通知，用于实时警报。在“设置”→“Webhooks”→“添加端点”中配置 webhook 端点。支持的事件类型包括：

• merchant.scan.completed

• alert.triggered (BRAM, VIRP, TLD, dark web)

• merchant.status.changed

• pci.certificate.expiring

有效负载以 JSON 格式传输，并进行 HMAC-SHA256 签名验证。重试逻辑处理失败的传输，在 24 小时内进行指数退避。

沙箱与测试环境

在生产上线之前，所有客户都可以使用专用的沙箱环境。沙箱模拟生产功能，但使用合成商户数据运行 — 使您的团队能够测试 API 调用、验证 webhook 传输、模拟警报事件并验证决策引擎逻辑，而不会影响实时商户数据。沙箱凭证在项目激活的第三阶段提供。

集成时间表

• 快速入门（1–2 周）：无需集成。提供商户 URL 或地址，通过仪表板或 SFTP 接收扫描报告。

• 完全集成（4–8 周）：API 和/或 SFTP 连接、自动化扫描触发器、决策引擎集成和实时 webhook 警报。时间表取决于您的内部技术资源和系统复杂性。

安全与数据隐私

Onlayer 仅处理公开可用的商户数据 — 包括网站、社交媒体资料、商业注册和评论平台。不收集或处理任何消费者 PII 或持卡人数据。平台在 ISO 27001 认证的安全控制下运行，数据在静态和传输过程中均完全加密。可以根据您机构的司法管辖区满足数据驻留要求。

 

第四部分 — 模块与工作流程指南

面向您日常运营的分步指南。

 

商户入网工作流程

导航至“入网”→“新商户”，输入商户的主要 URL（适用于电子商务）或注册地址（适用于 POS）。选择适用的渠道类型（在线、线下、链接/社交、仅限应用）并选择要包含的附加项。提交后，Onlayer 的 AI 将立即开始扫描。完整的风险报告将在 1 分钟内生成。如果启用了自动化决策引擎，将根据您配置的规则集自动分配结果（通过 / 附带说明通过 / 失败）。所有决策都提供案例备注和手动覆盖选项。

交易洗钱检测 (TLD) 与欺诈调查

当触发 TLD 标志时，导航至商户的案例文件并审查证据包 — 其中包括映射的 IP 相关性、DNS 链接、重定向链和行为指纹。您可以直接从案例视图发起定制测试交易，以验证实际支付流程。将商户标记为手动审查，升级给您的合规团队，或记录理由关闭警报。所有操作都已审计记录并带有时间戳。

BRAM/VIRP 合规管理

检测到 BRAM 或 VIRP 违规时，Onlayer 会生成一个证据包，包括屏幕截图、标记的内容、违规类别分类和严重性评分。导航至“合规”→“BRAM/VIRP 案例”以审查未解决的违规。您可以导出准备提交的合规报告以供卡组织报告，或在商户纠正违规后将其标记为已修复。当万事达卡或维萨更改方案要求时，政策规则会自动更新。

PCI-DSS 商户管理

PCI-DSS 模块为您的商户投资组合提供自动化合规向导。根据商户的支付接受方式，引导商户完成适当的 SAQ 类型（A、A-EP、B、B-IP、C、C-VT、D）。您的团队拥有一个集中的仪表板，显示每个商户的认证状态、文件有效性和即将到期的续订日期。过期的或缺失的 AOC 文件将触发自动警报。可以导出合规报告以供内部审计和卡组织提交。

持续监控与警报管理

商户监控服务 (MMS) 以可配置的频率运行 — 每周、每月或实时。当监控扫描完成时，将突出显示与上次扫描相比变化的风险信号。警报按严重性排序，并根据类型（风险、合规、运营）路由到相应的团队。要解除警报，请导航至案例，添加解决说明，然后将其标记为已关闭。所有解除都需要有记录的理由，并记录在审计日志中。

导出用于方案审查的审计证据

在进行卡组织审计（BRAM、VIRP、PCI-DSS 或 AML）之前，导航至“报告”→“审计证据导出”。选择商户、日期范围和证据类型（扫描日志、警报历史记录、案例决策或合规证书）。文件将打包成一个 ZIP 存档，其中包含每个商户的单独 PDF 文件和一个合并的摘要 CSV。

注意：所有工作流程指南均假定您已激活相关模块。如果您在平台中看不到特定功能，则可能未包含在您当前订阅中。请联系 [email protected] 讨论模块激活。

 

第五部分 — 术语表

对行业和平台关键术语的通俗解释。

 

BRAM — 商户品牌风险评估

万事达卡的一项计划，要求收单机构负责确保其商户不从事违反万事达卡品牌标准的活动 — 包括销售违禁品、成人内容或假冒产品。违规将导致罚款和强制性补救。

 

VIRP — 维萨诚信风险计划

维萨的 BRAM 等效项。VIRP 要求收单机构负责确保商户遵守维萨的可接受使用政策。收单机构必须监控商户是否存在违禁内容和活动，并且可能因未纠正的违规行为而面临重大的经济处罚。

 

MMSP — 商户监控服务提供商

一家获得卡组织认证的公司，获准向收单机构提供商户监控服务。Onlayer 是万事达卡批准的 MMSP，这意味着收单机构可以使用 Onlayer 的平台来履行其方案监控义务。全球只有少数公司拥有此认证。

 

TLD — 交易洗钱检测

检测非法交易洗钱 — 即未经授权的商户使用合法、已批准商户的账户来处理付款。也称为“过账”。这是收单机构面临的主要 AML 和卡组织合规问题。

 

MCC — 商户类别代码

收单机构分配给商户的四位数代码，用于对商户的业务类型进行分类。MCC 漂移 — 即商户的实际业务与其分配的 MCC 不符 — 是表明潜在欺诈、洗钱或政策不合规的关键风险信号。

 

KYM — 了解您的商户

商户版的 KYC（了解您的客户）。KYM 指收单机构在接受商户之前进行的尽职调查过程 — 验证业务合法性、内容合规性、身份和财务风险。Onlayer 的 MOS 模块自动化了此过程。

 

SAQ — 自我评估问卷

商户用于自我报告其安全状况的 PCI-DSS 合规工具。根据商户接受付款的方式，存在多种 SAQ 类型（A、A-EP、B、B-IP、C、C-VT、D）。Onlayer 的 PCI-DSS 模块自动化了正确的 SAQ 分配和完成工作流程。

 

AOC — 合规证明

商户签署的 PCI-DSS 文件，证明其符合 PCI-DSS 标准。收单机构必须为其投资组合收集并维护有效的 AOC 文件。Onlayer 跟踪 AOC 的有效性并对即将到期的证书发出警报。

 

C.A.R.V.E.™ — 内容无关递归向量编码

Onlayer 专有的用于检测交易洗钱的人工智能技术。C.A.R.V.E.™ 映射跨域、IP 地址、DNS 记录和数字指纹的行为和技术关系 — 识别隐藏的商户网络和代理结构。

 

PSP / Payfac — 支付服务提供商 / 支付便利商

代表商户处理支付交易的公司。PSP 和支付便利商根据卡组织规则承担收单责任，包括 KYM 合规、BRAM/VIRP 监控和 AML 筛查。

 

ICA — 银行卡协会编号

万事达卡分配给参与万事达卡网络的金融机构的标识符。用于 Onlayer 的平台费用和交易监控服务的计费模型。

 

误报

Onlayer 系统触发的警报，经手动审查后，并不代表实际风险或违规。Onlayer 提供结构化的审查和解除流程，可随着时间的推移反馈以提高检测准确性。

 

 

第六部分 — 常见问题解答

 

如果我收到关于某个商户的误报警报，该怎么办？

导航到仪表板中的警报，然后点击“审查警报”。检查提供的证据包。如果您确定该警报不是真正的风险，请点击“标记为误报”，添加简短的理由说明，然后确认。商户的风险记录将被更新，警报将被关闭。您的理由将被审计记录，并可在方案报告中引用。重复的误报（针对特定信号类型）可以报告给 Onlayer 的支持团队，他们将为您投资组合的检测阈值进行微调。

 

如何提高扫描频率以降低我的方案罚款风险？

导航至“设置”→“监控配置”，找到您要调整的商户或细分市场。扫描频率可以设置为每周、每两周、每月或实时（事件触发）。对于最高风险的商户 — 那些有先前违规记录或在风险较高的行业运营的商户 — 我们建议每周或实时扫描。在调整之前，请联系您的客户经理了解成本影响。

 

如何重置我的密码或 API 密钥？

密码：在登录屏幕上，点击“忘记密码？”并输入您的注册电子邮件地址。您将在 2 分钟内收到重置链接。API 密钥：密钥可以在“设置”→“API 管理”→“轮换密钥”中随时轮换。轮换后，旧密钥将立即失效。在轮换之前，请确保您的集成已更新，以避免服务中断。

 

Onlayer 是否支持我特定市场和语言的商户？

是的。Onlayer 的人工智能支持多语言内容分析，并专为全球部署而设计。该平台目前在中东、非洲、亚太和欧洲广泛使用。合规配置可以根据当地监管要求进行定制，包括 SAMA（沙特阿拉伯）、CBUAE（阿联酋）、MAS（新加坡）、BNM（马来西亚）和全球 PCI-DSS。

 

最终的商户决策是由 Onlayer 还是我们的团队做出？

您的机构始终保留完全的决策权。Onlayer 提供情报、风险评分，以及（如果配置了自动化决策引擎）初始分类结果。所有结果都可以由您的风险团队随时审查和覆盖。所有覆盖都将被记录并归因于审查团队成员。

 

我们可以在承诺之前进行概念验证吗？

是的。标准的 PoC 流程包括提供您现有投资组合中 10–50 个商户 URL 或地址的样本。Onlayer 团队将进行免费评估，并使用您自己的商户作为示例来展示调查结果 — 在任何商业承诺之前，让您的团队获得平台价值的有形证据。请联系 [email protected] 启动。

 

Onlayer 处理哪些数据，是否涉及消费者数据？

Onlayer 仅处理公开可用的商户数据 — 包括网站、社交媒体资料、商业注册和评论平台。不收集任何消费者 PII、持卡人数据或交易级财务数据。该平台已通过 ISO 27001 认证，所有数据在静态和传输过程中均已加密。

 

Onlayer 与 MATCH 或 Ethoca 等工具有什么区别？

MATCH 是一个已终止商户数据库 — 它告诉您商户过去是否被标记过。Ethoca 专注于争议和拒付解决。Onlayer 主动分析每个商户的实时网站、内容、安全状况和行为信号，以在问题发生前评估风险。Onlayer 是预防性情报；MATCH 和 Ethoca 是反应性工具。它们是互补的 — 而不是重叠的。

 

 

第七部分 — 支持与联系

 

联系渠道

 

 

支持响应 SLA

 

 

24/7 紧急支持：对于非工作时间的“关键”级别问题，请发送电子邮件至 [email protected]，并在主题行中包含“CRITICAL”。轮班工程师全天候提供服务，以应对平台中断。