近年来,银行卡遭盗刷、电信诈骗等案件频发,而信息泄露已成支付安全风险源头。近日,中国人民银行下发了《中国金融移动支付支付标记化技术规范》行业标准的通知,欲从源头防堵信息泄露。
央行下月启用支付标记化从源头防堵信息泄露
据悉,央行于11月9日下发了《中国金融移动支付支付标记化技术规范》行业标准的通知,强调自2016年12月1日起全面应用支付标记化技术。《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。
今年7月,央行曾发布《关于进一步加强银行卡风险管理的通知》,要求自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术。
“按照要求,这个月底就执行(支付标记化)了”。一位第三方支付机构人士坦言,“现在大家都基本实行这种标记化,以防止信息泄露。”多位支付人士还表示,标记化处理有利于降低敏感信息的泄露风险,确保交易账户安全,而其所在公司已经完成或正在进行支付标记化技术方面的改造。
什么是支付标记化?
央行7月发布的通知,首次提出支付标记化技术,旨在解决银行卡盗刷及信息泄露等问题。根据MBA智库百科,支付标记化是由国际芯片卡标准化组织EMVCo于2014年发布的一项技术,通过用支付标记(Token)取代银行卡号进行交易认证,避免卡号等信息泄露带来的风险。
具体来说,支付标记使用一个唯一的数值(与主卡号保持一致,一般由13至19位的数字组成)来取代银行卡的主帐号,同时确保该数值被限定在一个特定的商户、渠道或者设备中使用。在银行卡的支付交易中,支付标记替换了卡号,支付标记的有效期替换了银行卡的有效期,可以在不影响交易处理的情况下增强交易的安全性。
早在2013年,中国银联就已经对支付标记化进行了相关的技术研究和产品实施工作。2014年12月,中国银联与中国南方航空公司推出银联卡“一键支付”服务,面向南航明珠会员首次将支付标记化进行了实际应用。
2015年,中国工商银行与中国银联和VISA合作推出“HCE云支付”信用卡产品,将支付标记运用到了信用卡服务中。今年7月,中国银联还发布了《中国银联支付标记化技术指引》,进一步对支付标记化的具体应用进行了阐释。
现在被广泛应用的银联“云闪付”就集成了支付标记化的功能。以使用ApplePay为例,支付标记化的过程表现为,先基于支付标记生成设备卡号,再生成与之匹配的芯片个人化数据并将其加载到手机设备上,使手机代替芯片卡完成支付。
中国银联技术部专家周明表示,支付标记化技术具有三项优势:第一包含持卡人卡号与有效期等在内的敏感信息将不在交易中出现;第二支付标记仅可以在限定的交易场景中使用,降低了交易风险;第三与传统银行卡验证方式相比,支付标记的灵活性更高,综合了个人信息和设备信息验证、支付信息附加验证、风险等级评估等功能对交易进行合法性识别和风险管控。
不能忽略的交易风险
中国银行业协会于7月28日发布《中国银行卡产业发展蓝皮书(2016)》,称截至2015年底,中国银行卡累计发卡量达56.1亿张,人均持卡数为4.09张,2015年全国的银行卡交易金额为1420.8万亿元人民币。
报告同时指出,尽管银行卡欺诈交易金额的同比增速远低于银行卡业务量的增速,但随着互联网行业的快速发展,欺诈风险逐渐向线上交易转移。在以往的线下交易中,银行卡被复制盗刷是高发案件。而在线上交易中,尽管不存在银行卡被复制盗刷的风险,但是交易仍需提供卡号和有效期,很容易给欺诈团体带来可乘之机。
除此之外,移动支付的兴起带来了新的支付技术和模式,尤其是第三方快捷支付,在给人们提供便利的同时,也给风险管控带来了新的挑战。银行卡专业委员会主任、交通银行副行长侯维栋表示,截至2015年底,国内市场上持牌的第三方支付公司约有270家,市场主体的增加进一步提高了监管难度,增加了支付风险。
据悉,目前市场上一些第三方支付机构在完成授权时,只需提供银行卡号和预留手机号码就可以办理,犯罪分子可以通过骗取验证码或者挂失手机号等方式获得支付授权,把钱转走。
而随着移动终端的普及,针对移动支付的病毒也大量出现。从交易方式到交易终端,整个环节中“陷阱”一直存在,这就要求支付环节的各个参与者都加强风险管控。
中国人民大学法学院教授刘俊海也曾表示:“真实、准确、完整、精准的海量金融信息直接关系到广大消费者的财产安全与人身安全,此类信息泄露比普通的个人信息泄露更有危害性,后果也更严重。”
一些行业个人信息泄露事件频发,不法分子利用泄露数据刻画客户身份并实施精准诈骗,信息泄露成为资金犯罪的基本作案条件和支付风险源头。
支付标记化能否能免于信息泄露?
《规范》称,“近年来,国内商业银行,非银行支付机构等为保护支付敏感信息,提升支付安全,防范信息泄露和欺诈交易,在移动支付业务中逐步引入了支付标记化技术,通过支付标记限定,从源头遏制信息泄露,最大程度上保障用户交易安全。”
那么,采用支付标记化技术后,持卡人是否能免于信息泄露呢?
此前,银联方面的分析指出,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。
上述乐富支付相关业务负责人也分析表示,标记化处理有利于降低敏感信息的泄露风险,从而降低用户遭遇欺诈交易的几率,而技术改造将给公司商户和广大持卡人的资金安全增加一道保障。
与传统交易中的卡号传递过程相比,支付标记替代了卡号、有效期等敏感信息,从源头上避免了信息的泄露。同时,通过限定标记的使用场景,如交易类型、使用次数、支付渠道、商户名称、数字钱包服务提供商等,即使支付标记本身被泄露,影响范围也很有限。
此外,一张主卡可以生成多个标记,任何一个标记发生泄露或者存储该标记的设备丢失后,该标记可以被禁用,从而减少了补卡的麻烦。
支付标记过程也同样支持动态验证技术,允许持卡人在某些场景下减少输入敏感信息进行身份验证的频次。而被广泛应用的二维码支付,也可以因支付标记而变得更加安全。在此场景下,移动应用会生成一个含有支付标记、标记有效期等数据在内的二维码,这个标记将被设置为单次有效且有时间限定。对于扫码支付的持卡人来说,这样就不必担心支付信息被泄露了。
对使用者而言,尽管交易过程中多了“支付标记”这一步,但整个过程发生在后台,对使用者的体验不会造成影响。但也因为这“透明”的一步,交易风险得以降低。
不过,支付标记化有利于降低敏感信息的泄漏风险,从而降低用户遭遇欺诈交易的几率,但能否做到完全避免信息泄露目前尚不得而知,技术推出后还有待检验。但可以肯定的是,支付标记技术的实施,其初衷一定是从源头管控加上政策监管来防范风险事件的发生,同时促进行业的积极创新,确保交易账户更安全。
*文章来源:北京晨报网
咨询电话
400-699-7800
咨询邮箱
news@blueseahr.cn
客服质量反馈邮箱
bs-qc@blueseahr.cn