近年來����,銀行卡遭盜刷、電信詐騙等案件頻發(fā)��,而信息泄露已成支付安全風(fēng)險的源頭�����。
近日����,中國人民銀行下發(fā)了《中國金融移動支付 支付標(biāo)記化技術(shù)規(guī)范》行業(yè)標(biāo)準(zhǔn)的通知,欲從源頭防堵信息泄露����。
央行下月啟用支付標(biāo)記化,從源頭防堵信息泄露
據(jù)悉����,央行于11月9日下發(fā)了《中國金融移動支付 支付標(biāo)記化技術(shù)規(guī)范》行業(yè)標(biāo)準(zhǔn)的通知,強(qiáng)調(diào)自2016年12月1日起全面應(yīng)用支付標(biāo)記化技術(shù)�����!兑(guī)范》還提出了支付標(biāo)記化技術(shù)的基本架構(gòu)����,規(guī)定了應(yīng)用支付標(biāo)記化技術(shù)的系統(tǒng)接口���、安全��、風(fēng)險控制等要求���。
今年7月����,央行曾發(fā)布《關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險管理的通知》�����,要求自2016年12月1日起�����,各商業(yè)銀行��、支付機(jī)構(gòu)應(yīng)使用支付標(biāo)記化技術(shù)��。
“按照要求��,這個月底就執(zhí)行(支付標(biāo)記化)了”��。一位第三方支付機(jī)構(gòu)人士坦言�����,“現(xiàn)在大家都基本實(shí)行這種標(biāo)記化,以防止信息泄露���。”
多位支付人士還表示�,標(biāo)記化處理有利于降低敏感信息的泄露風(fēng)險,確保交易賬戶安全����,而其所在公司已經(jīng)完成或正在進(jìn)行支付標(biāo)記化技術(shù)方面的改造。
什么是支付標(biāo)記化�?
央行7月發(fā)布的通知,首次提出支付標(biāo)記化技術(shù)���,旨在解決銀行卡盜刷及信息泄露等問題���。根據(jù) MBA 智庫百科,支付標(biāo)記化是由國際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年發(fā)布的一項(xiàng)技術(shù)���,通過用支付標(biāo)記(Token)取代銀行卡號進(jìn)行交易認(rèn)證���,避免卡號等信息泄露帶來的風(fēng)險。
具體來說�����,支付標(biāo)記使用一個唯一的數(shù)值(與主卡號保持一致,一般由13至19位的數(shù)字組成)來取代銀行卡的主帳號��,同時確保該數(shù)值被限定在一個特定的商戶���、渠道或者設(shè)備中使用��。在銀行卡的支付交易中�����,支付標(biāo)記替換了卡號���,支付標(biāo)記的有效期替換了銀行卡的有效期,可以在不影響交易處理的情況下增強(qiáng)交易的安全性�����。早在2013年���,中國銀聯(lián)就已經(jīng)對支付標(biāo)記化進(jìn)行了相關(guān)的技術(shù)研究和產(chǎn)品實(shí)施工作��。2014年12月����,中國銀聯(lián)與中國南方航空公司推出銀聯(lián)卡“一鍵支付”服務(wù),面向南航明珠會員首次將支付標(biāo)記化進(jìn)行了實(shí)際應(yīng)用�。
2015 年,中國工商銀行與中國銀聯(lián)和 VISA 合作推出“HCE 云支付”信用卡產(chǎn)品�,將支付標(biāo)記運(yùn)用到了信用卡服務(wù)中。今年7月�,中國銀聯(lián)還發(fā)布了《中國銀聯(lián)支付標(biāo)記化技術(shù)指引》���,進(jìn)一步對支付標(biāo)記化的具體應(yīng)用進(jìn)行了闡釋�����,F(xiàn)在被廣泛應(yīng)用的銀聯(lián)“云閃付”就集成了支付標(biāo)記化的功能�����。以使用 Apple Pay 為例���,支付標(biāo)記化的過程表現(xiàn)為,先基于支付標(biāo)記生成設(shè)備卡號�,再生成與之匹配的芯片個人化數(shù)據(jù)并將其加載到手機(jī)設(shè)備上,使手機(jī)代替芯片卡完成支付���。
中國銀聯(lián)技術(shù)部專家周明表示���,支付標(biāo)記化技術(shù)具有三項(xiàng)優(yōu)勢:
●包含持卡人卡號與有效期等在內(nèi)的敏感信息將不在交易中出現(xiàn)����;
●支付標(biāo)記僅可以在限定的交易場景中使用���,降低了交易風(fēng)險����;
●與傳統(tǒng)銀行卡驗(yàn)證方式相比���,支付標(biāo)記的靈活性更高��,綜合了個人信息和設(shè)備信息驗(yàn)證���、支付信息附加驗(yàn)證、風(fēng)險等級評估等功能對交易進(jìn)行合法性識別和風(fēng)險管控�。
不能忽略的交易風(fēng)險
中國銀行業(yè)協(xié)會于7月28日發(fā)布《中國銀行卡產(chǎn)業(yè)發(fā)展藍(lán)皮書(2016)》,稱截至2015年底���,中國銀行卡累計(jì)發(fā)卡量達(dá)56.1億張��,人均持卡數(shù)為4.09張���,2015年全國的銀行卡交易金額為1420.8萬億元人民幣����。
報告同時指出���,盡管銀行卡欺詐交易金額的同比增速遠(yuǎn)低于銀行卡業(yè)務(wù)量的增速����,但隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展��,欺詐風(fēng)險逐漸向線上交易轉(zhuǎn)移�。在以往的線下交易中��,銀行卡被復(fù)制盜刷是高發(fā)案件����。而在線上交易中,盡管不存在銀行卡被復(fù)制盜刷的風(fēng)險��,但是交易仍需提供卡號和有效期�����,很容易給欺詐團(tuán)體帶來可乘之機(jī)。
除此之外�����,移動支付的興起帶來了新的支付技術(shù)和模式���,尤其是第三方快捷支付�,在給人們提供便利的同時�����,也給風(fēng)險管控帶來了新的挑戰(zhàn)���。銀行卡專業(yè)委員會主任����、交通銀行副行長侯維棟表示��,截至2015年底���,國內(nèi)市場上持牌的第三方支付公司約有270家��,市場主體的增加進(jìn)一步提高了監(jiān)管難度����,增加了支付風(fēng)險。
據(jù)悉���,目前市場上一些第三方支付機(jī)構(gòu)在完成授權(quán)時���,只需提供銀行卡號和預(yù)留手機(jī)號碼就可以辦理,犯罪分子可以通過騙取驗(yàn)證碼或者掛失手機(jī)號等方式獲得支付授權(quán)�����,把錢轉(zhuǎn)走��。
而隨著移動終端的普及����,針對移動支付的病毒也大量出現(xiàn)�����。從交易方式到交易終端��,整個環(huán)節(jié)中“陷阱”一直存在,這就要求支付環(huán)節(jié)的各個參與者都加強(qiáng)風(fēng)險管控���。
中國人民大學(xué)法學(xué)院教授劉俊海也曾表示:“真實(shí)����、準(zhǔn)確���、完整��、精準(zhǔn)的海量金融信息直接關(guān)系到廣大消費(fèi)者的財(cái)產(chǎn)安全與人身安全�����,此類信息泄露比普通的個人信息泄露更有危害性���,后果也更嚴(yán)重��!
一些行業(yè)個人信息泄露事件頻發(fā)����,不法分子利用泄露數(shù)據(jù)刻畫客戶身份并實(shí)施精準(zhǔn)詐騙,信息泄露成為資金犯罪的基本作案條件和支付風(fēng)險源頭�����。
支付標(biāo)記化能否免于信息泄露?
《規(guī)范》稱����,“近年來,國內(nèi)商業(yè)銀行�,非銀行支付機(jī)構(gòu)等為保護(hù)支付敏感信息,提升支付安全��,防范信息泄露和欺詐交易����,在移動支付業(yè)務(wù)中逐步引入了支付標(biāo)記化技術(shù),通過支付標(biāo)記限定�,從源頭遏制信息泄露,最大程度上保障用戶交易安全������!
那么�,采用支付標(biāo)記化技術(shù)后,持卡人是否能免于信息泄露呢��?
此前,銀聯(lián)方面的分析指出�����,采用支付標(biāo)記化方案后�,商戶可以通過“支付標(biāo)記”來替換主賬號PAN信息,且該支付標(biāo)記可限定在該商戶下單獨(dú)使用�,從而消除相應(yīng)風(fēng)險。
上述樂富支付相關(guān)業(yè)務(wù)負(fù)責(zé)人也分析表示��,標(biāo)記化處理有利于降低敏感信息的泄露風(fēng)險���,從而降低用戶遭遇欺詐交易的幾率�����,而技術(shù)改造將給公司商戶和廣大持卡人的資金安全增加一道保障���。
與傳統(tǒng)交易中的卡號傳遞過程相比,支付標(biāo)記替代了卡號��、有效期等敏感信息�����,從源頭上避免了信息的泄露。同時����,通過限定標(biāo)記的使用場景,如交易類型���、使用次數(shù)��、支付渠道����、商戶名稱�、數(shù)字錢包服務(wù)提供商等,即使支付標(biāo)記本身被泄露����,影響范圍也很有限。
此外����,一張主卡可以生成多個標(biāo)記,任何一個標(biāo)記發(fā)生泄露或者存儲該標(biāo)記的設(shè)備丟失后���,該標(biāo)記可以被禁用���,從而減少了補(bǔ)卡的麻煩。
支付標(biāo)記過程也同樣支持動態(tài)驗(yàn)證技術(shù)�,允許持卡人在某些場景下減少輸入敏感信息進(jìn)行身份驗(yàn)證的頻次。而被廣泛應(yīng)用的二維碼支付����,也可以因支付標(biāo)記而變得更加安全。在此場景下�,移動應(yīng)用會生成一個含有支付標(biāo)記、標(biāo)記有效期等數(shù)據(jù)在內(nèi)的二維碼�,這個標(biāo)記將被設(shè)置為單次有效且有時間限定。對于掃碼支付的持卡人來說��,這樣就不必?fù)?dān)心支付信息被泄露了��。
對使用者而言��,盡管交易過程中多了“支付標(biāo)記”這一步�����,但整個過程發(fā)生在后臺�����,對使用者的體驗(yàn)不會造成影響。但也因?yàn)檫@“透明”的一步�����,交易風(fēng)險得以降低��。
不過�����,支付標(biāo)記化有利于降低敏感信息的泄漏風(fēng)險���,從而降低用戶遭遇欺詐交易的幾率���,但能否做到完全避免信息泄露目前尚不得而知,技術(shù)推出后還有待檢驗(yàn)���。但可以肯定的是�,支付標(biāo)記技術(shù)的實(shí)施�,其初衷一定是從源頭管控加上政策監(jiān)管來防范風(fēng)險事件的發(fā)生,同時促進(jìn)行業(yè)的積極創(chuàng)新�,確保交易賬戶更安全����。
保護(hù)銀行卡信息安全��,你還應(yīng)注意哪些���?
說兩句
