支付設備法規指南：經營者必須知道的5件事

咭機設置場所規定：符合商業登記要求

在台灣經營實體店面或提供服務的商家，設置咭機時必須嚴格遵守商業登記相關規範。首先，咭機的安裝地點必須與商業登記證上記載的營業地址完全一致，這是稅務機關核查交易真實性的重要依據。若商家擁有多個營業據點，每個據點都需要獨立申請咭機設置許可，不可將同一台設備在不同地址間流動使用。特別需要注意的是，即使是臨時性展覽或市集活動，只要涉及信用卡交易，就必須向收單機構報備臨時營業場所，並確保使用的咭機符合該場所的安全標準。

此外，商業登記的營業項目也必須與實際使用咭機的業務內容相符。例如，登記為餐飲業的商家若開始販售電子產品，可能需要變更營業項目才能合法使用咭機處理相關交易。商家在申請咭機時，收單銀行會嚴格審核商業登記內容，確保營業項目與預期的交易類型相匹配。若發現登記項目與實際業務不符，不僅可能被暫停咭機服務，還可能面臨稅務稽查的風險。

另一個重要考量是營業時間的規範。咭機的交易時間理論上應與登記的營業時間相符，若經常在非營業時間產生大額交易，可能引發銀行風控系統的警示。建議商家若需要延長營業時間，應及時辦理商業登記變更，避免因小失大。同時，咭機的擺放位置也需符合消防安全規定，不得阻塞逃生通道，且應安裝在監控設備可清晰拍攝的區域，以保障交易安全。

對於新創業者而言，在完成商業登記前就急於申請咭機是不可行的。必須先取得完整的公司或商業登記證明，才能向銀行或第三方支付機構申請安裝咭機。這個過程通常需要7至14個工作天，建議創業者預留充足時間辦理。值得注意的是，即使是個人工作室或自由職業者，若每月刷卡交易額超過20萬元，也應考慮辦理商業登記，以符合稅法規範。

刷卡机交易記錄保存：依法保留期限與格式

根據台灣稅法及商業會計法規定，商家使用刷卡机產生的交易記錄必須完整保存至少五年，這個期限是從交易發生的次年度開始計算。例如2023年的交易記錄，必須保存至2028年底。這不僅包括成功的交易記錄，失敗的交易嘗試、退款及取消交易等也需一併保存。特別需要注意的是，保存期限可能因特殊情況而延長，如涉及訴訟或稅務稽查的案件，相關記錄需保存至案件結束為止。

在記錄格式方面，法律要求必須保存原始、未經篡改的電子記錄。商家不可僅依賴銀行提供的月結單，而應確保自家刷卡机系統能獨立產生並儲存完整交易明細。建議的保存內容包括：交易日期時間、交易金額、信用卡別、授權碼、交易類別（消費、退款等）、終端機編號及商戶編號等。這些資料應以無法輕易修改的格式儲存，如寫入一次型光碟或使用具有寫入保護的電子儲存系統。

現代化的刷卡机通常配備自動備份功能，但商家仍需建立定期檢查機制，確保資料確實被完整保存。最好能實行雙重備份策略，同時在本地伺服器和雲端儲存重要交易記錄。每月應至少進行一次資料完整性驗證，檢查備份檔案是否可正常讀取。若使用雲端儲存服務，需確認服務提供商符合台灣個資法及相關資安標準，且資料中心位於法律認可的地區。

當接受稅務機關或執法單位查核時，商家有義務在限期內提供完整的刷卡机交易記錄。若無法提供，可能面臨新台幣3,000元以上、30,000元以下的罰鍰，情節重大者甚至可能被停止使用刷卡机服務。建議商家建立標準作業程序，明確指定專人負責交易記錄的保存與管理，並定期進行員工訓練，確保每位接觸刷卡机的員工都了解相關規範。

Visa機跨境交易申報：關務與稅務義務

當商家使用Visa機處理跨境交易時，首先需注意關務申報義務。根據台灣關稅法規定，若商品價值超過新台幣2,000元，且由國外直接寄送給消費者，商家需委託報關行辦理進口報關。透過Visa機收取的跨境交易款項，在報關時應提供完整的交易記錄作為價值證明。特別是針對電子商務業者，若每月跨境交易額超過新台幣8萬元，必須向海關申請登記為跨境電商，並按月申報銷售額及繳納營業稅。

在稅務處理方面，跨境Visa機交易涉及的稅務問題較為複雜。商家需明確區分B2C（企業對消費者）和B2B（企業對企業）交易，因適用的稅務規定不同。對於B2C跨境數位服務交易，自2020年起適用「境外電商課稅制度」，稅率為5%，且需每兩個月向國稅局申報一次。而實體商品的跨境交易，則需按一般進口貨物規定繳納關稅及營業稅。

另一個重要考量是匯兌損益的處理。Visa機的跨境交易通常以外幣計價，商家在帳務處理時需按交易發生時的匯率換算為新台幣，並在報稅時如實申報匯兌損益。建議商家與往來銀行討論設立外幣帳戶的可能性，以降低匯率波動風險。同時，應保存所有跨境交易的原始幣別記錄，以備稅務機關查核。

對於經常處理跨境交易的商家，建議尋求專業會計師或稅務顧問的協助，確保符合各國稅務規定。特別是當交易對象涉及不同國家時，可能觸及雙重課稅協定等複雜問題。商家也應定期檢視Visa機提供的跨境交易報告，關注各國法規更新，如歐盟VAT規則或美國各州的銷售稅規定，避免因不熟悉外國法規而受罰。

設備安全檢測標準：強制性認證項目

在台灣，所有用於處理支付交易的設備，包括各種型號的咭機、刷卡机和Visa機，都必須通過經濟部標準檢驗局（BSMI）的強制性安全認證。這個認證確保設備在電氣安全、電磁相容性等方面符合國家標準，防止因設備問題導致火災、電擊或其他安全事故。商家在採購設備時，務必確認機身上貼有BSMI標誌，並可向供應商索取認證證書副本存查。未通過認證的設備不僅可能被罰款，若發生事故保險理賠也可能受到影響。

除了基礎的安全認證，支付設備還需符合PCI DSS（支付卡產業資料安全標準）的嚴格要求。這是全球支付卡產業共同遵循的安全標準，針對設備的硬體和軟體設計提出詳細規範。例如，設備必須具備防竄改機制，當外殼被非法打開時自動清除敏感資料；儲存和傳輸卡號等敏感資訊時必須加密；且不應儲存完整的磁條資料、CVV2碼等敏感認證資訊。商家應選擇通過PCI PTS（PIN交易安全）認證的設備，這表示設備的硬體設計已達到最高安全等級。

定期安全檢測同樣重要。即使設備初始通過認證，隨著使用時間增長，零件老化或軟體漏洞可能導致安全風險。建議商家每半年委託合格機構進行設備安全檢測，檢查項目包括：鍵盤防窺視功能是否正常、卡槽有無異常、加密金鑰是否按時更新等。特別是對於移動式刷卡机，因經常攜帶使用，更應加強檢測頻率。若發現設備有安全疑慮，應立即停用並通知服務提供商。

隨著技術發展，新型支付方式如感應支付、二維碼支付等也需符合相應安全標準。商家在升級設備時，應確認新設備不僅支持新功能，也通過所有必要的安全認證。同時，員工訓練也不可忽視，應教導前線員工如何識別設備異常狀況，如異常閃燈、不明聲響或反應遲緩等，這些可能是設備遭篡改的跡象。建立完善的安全管理制度，才是保障交易安全的最後防線。

消費者資料保護：個資法相關責任

台灣個人資料保護法對商家處理消費者資料設有嚴格規範，使用咭機、刷卡机或Visa機的商家必須特別注意相關責任。首先，商家在收集消費者個資前，必須明確告知蒐集目的、使用方式及當事人權利，並取得明確同意。這個告知義務應在交易流程中妥善實現，例如在咭機螢幕顯示隱私權聲明，或由店員口頭說明。建議商家制定標準作業程序，確保每位員工都能正確執行告知義務，避免因程序瑕疵而受罰。

在資料儲存方面，個資法要求商家採取適當安全措施保護消費者個資，防止被竊取、竄改、毀損、滅失或洩漏。具體措施包括：加密儲存信用卡號等敏感資訊、設定存取權限限制非授權人員接觸、建立網路防火牆及入侵偵測系統等。特別是對於保存交易記錄的伺服器，應實體隔離於公開網路之外，並定期進行弱點掃描與滲透測試。若商家委託第三方處理個資，需確保受託方也符合相同安全標準，並簽訂完整的個資保護契約。

當發生個資外洩事件時，商家負有通報及告知的法定義務。根據個資法施行細則，一旦發現個資被竊取、洩漏、竄改或其他侵害情事，應於72小時內通報主管機關，並視情況通知受影響的消費者。商家應事先制定個資外洩應變計劃，明確劃分通報流程、調查程序及補救措施。建議定期進行模擬演練，確保團隊在真實事件發生時能迅速反應，將損害降至最低。

最後，消費者對其個資擁有查詢、閱覽、複製、補充、更正及請求停止蒐集、處理或利用的權利。商家使用咭機等設備處理交易時，必須建立便捷的管道供消費者行使這些權利。例如，在官方網站設置個資申請表單，或指定專人處理相關請求。收到消費者請求後，應於15日內進行處理，必要時得延長至30日。這些細節雖繁瑣，卻是合法經營的必要條件，值得商家投入資源建立完善制度。