近年來�,銀行卡遭盜刷�、電信詐騙等案件頻發(fā)�,而信息泄露已成支付安全風(fēng)險(xiǎn)的源頭����。
近日,中國人民銀行下發(fā)了《中國金融移動支付 支付標(biāo)記化技術(shù)規(guī)范》行業(yè)標(biāo)準(zhǔn)的通知����,欲從源頭防堵信息泄露�。
央行下月啟用支付標(biāo)記化���,從源頭防堵信息泄露
據(jù)悉����,央行于11月9日下發(fā)了《中國金融移動支付 支付標(biāo)記化技術(shù)規(guī)范》行業(yè)標(biāo)準(zhǔn)的通知�����,強(qiáng)調(diào)自2016年12月1日起全面應(yīng)用支付標(biāo)記化技術(shù)���!兑(guī)范》還提出了支付標(biāo)記化技術(shù)的基本架構(gòu),規(guī)定了應(yīng)用支付標(biāo)記化技術(shù)的系統(tǒng)接口�����、安全����、風(fēng)險(xiǎn)控制等要求。
今年7月�,央行曾發(fā)布《關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》,要求自2016年12月1日起���,各商業(yè)銀行���、支付機(jī)構(gòu)應(yīng)使用支付標(biāo)記化技術(shù)�����。
“按照要求��,這個(gè)月底就執(zhí)行(支付標(biāo)記化)了”�。一位第三方支付機(jī)構(gòu)人士坦言��,“現(xiàn)在大家都基本實(shí)行這種標(biāo)記化�,以防止信息泄露����!
多位支付人士還表示,標(biāo)記化處理有利于降低敏感信息的泄露風(fēng)險(xiǎn)����,確保交易賬戶安全,而其所在公司已經(jīng)完成或正在進(jìn)行支付標(biāo)記化技術(shù)方面的改造�����。
什么是支付標(biāo)記化?
央行7月發(fā)布的通知�����,首次提出支付標(biāo)記化技術(shù)�����,旨在解決銀行卡盜刷及信息泄露等問題�。根據(jù) MBA 智庫百科��,支付標(biāo)記化是由國際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年發(fā)布的一項(xiàng)技術(shù)�,通過用支付標(biāo)記(Token)取代銀行卡號進(jìn)行交易認(rèn)證����,避免卡號等信息泄露帶來的風(fēng)險(xiǎn)�����。
具體來說���,支付標(biāo)記使用一個(gè)唯一的數(shù)值(與主卡號保持一致�,一般由13至19位的數(shù)字組成)來取代銀行卡的主帳號�,同時(shí)確保該數(shù)值被限定在一個(gè)特定的商戶�����、渠道或者設(shè)備中使用。在銀行卡的支付交易中���,支付標(biāo)記替換了卡號��,支付標(biāo)記的有效期替換了銀行卡的有效期��,可以在不影響交易處理的情況下增強(qiáng)交易的安全性����。早在2013年,中國銀聯(lián)就已經(jīng)對支付標(biāo)記化進(jìn)行了相關(guān)的技術(shù)研究和產(chǎn)品實(shí)施工作�����。2014年12月���,中國銀聯(lián)與中國南方航空公司推出銀聯(lián)卡“一鍵支付”服務(wù)����,面向南航明珠會員首次將支付標(biāo)記化進(jìn)行了實(shí)際應(yīng)用����。
2015 年���,中國工商銀行與中國銀聯(lián)和 VISA 合作推出“HCE 云支付”信用卡產(chǎn)品�����,將支付標(biāo)記運(yùn)用到了信用卡服務(wù)中�。今年7月,中國銀聯(lián)還發(fā)布了《中國銀聯(lián)支付標(biāo)記化技術(shù)指引》����,進(jìn)一步對支付標(biāo)記化的具體應(yīng)用進(jìn)行了闡釋���,F(xiàn)在被廣泛應(yīng)用的銀聯(lián)“云閃付”就集成了支付標(biāo)記化的功能��。以使用 Apple Pay 為例���,支付標(biāo)記化的過程表現(xiàn)為����,先基于支付標(biāo)記生成設(shè)備卡號,再生成與之匹配的芯片個(gè)人化數(shù)據(jù)并將其加載到手機(jī)設(shè)備上���,使手機(jī)代替芯片卡完成支付�。
中國銀聯(lián)技術(shù)部專家周明表示���,支付標(biāo)記化技術(shù)具有三項(xiàng)優(yōu)勢:
●包含持卡人卡號與有效期等在內(nèi)的敏感信息將不在交易中出現(xiàn)���;
●支付標(biāo)記僅可以在限定的交易場景中使用�����,降低了交易風(fēng)險(xiǎn);
●與傳統(tǒng)銀行卡驗(yàn)證方式相比�����,支付標(biāo)記的靈活性更高,綜合了個(gè)人信息和設(shè)備信息驗(yàn)證����、支付信息附加驗(yàn)證�、風(fēng)險(xiǎn)等級評估等功能對交易進(jìn)行合法性識別和風(fēng)險(xiǎn)管控���。
不能忽略的交易風(fēng)險(xiǎn)
中國銀行業(yè)協(xié)會于7月28日發(fā)布《中國銀行卡產(chǎn)業(yè)發(fā)展藍(lán)皮書(2016)》�,稱截至2015年底,中國銀行卡累計(jì)發(fā)卡量達(dá)56.1億張,人均持卡數(shù)為4.09張��,2015年全國的銀行卡交易金額為1420.8萬億元人民幣�。
報(bào)告同時(shí)指出�����,盡管銀行卡欺詐交易金額的同比增速遠(yuǎn)低于銀行卡業(yè)務(wù)量的增速�,但隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展����,欺詐風(fēng)險(xiǎn)逐漸向線上交易轉(zhuǎn)移���。在以往的線下交易中�,銀行卡被復(fù)制盜刷是高發(fā)案件����。而在線上交易中����,盡管不存在銀行卡被復(fù)制盜刷的風(fēng)險(xiǎn)����,但是交易仍需提供卡號和有效期����,很容易給欺詐團(tuán)體帶來可乘之機(jī)。
除此之外�����,移動支付的興起帶來了新的支付技術(shù)和模式,尤其是第三方快捷支付�,在給人們提供便利的同時(shí)��,也給風(fēng)險(xiǎn)管控帶來了新的挑戰(zhàn)��。銀行卡專業(yè)委員會主任�、交通銀行副行長侯維棟表示�,截至2015年底���,國內(nèi)市場上持牌的第三方支付公司約有270家��,市場主體的增加進(jìn)一步提高了監(jiān)管難度�����,增加了支付風(fēng)險(xiǎn)�。
據(jù)悉,目前市場上一些第三方支付機(jī)構(gòu)在完成授權(quán)時(shí)��,只需提供銀行卡號和預(yù)留手機(jī)號碼就可以辦理�����,犯罪分子可以通過騙取驗(yàn)證碼或者掛失手機(jī)號等方式獲得支付授權(quán)��,把錢轉(zhuǎn)走����。
而隨著移動終端的普及,針對移動支付的病毒也大量出現(xiàn)。從交易方式到交易終端���,整個(gè)環(huán)節(jié)中“陷阱”一直存在���,這就要求支付環(huán)節(jié)的各個(gè)參與者都加強(qiáng)風(fēng)險(xiǎn)管控����。
中國人民大學(xué)法學(xué)院教授劉俊海也曾表示:“真實(shí)���、準(zhǔn)確���、完整����、精準(zhǔn)的海量金融信息直接關(guān)系到廣大消費(fèi)者的財(cái)產(chǎn)安全與人身安全�����,此類信息泄露比普通的個(gè)人信息泄露更有危害性����,后果也更嚴(yán)重�。”
一些行業(yè)個(gè)人信息泄露事件頻發(fā)���,不法分子利用泄露數(shù)據(jù)刻畫客戶身份并實(shí)施精準(zhǔn)詐騙��,信息泄露成為資金犯罪的基本作案條件和支付風(fēng)險(xiǎn)源頭。
支付標(biāo)記化能否免于信息泄露���?
《規(guī)范》稱,“近年來����,國內(nèi)商業(yè)銀行����,非銀行支付機(jī)構(gòu)等為保護(hù)支付敏感信息�,提升支付安全����,防范信息泄露和欺詐交易���,在移動支付業(yè)務(wù)中逐步引入了支付標(biāo)記化技術(shù)�����,通過支付標(biāo)記限定�����,從源頭遏制信息泄露�,最大程度上保障用戶交易安全���������!
那么�,采用支付標(biāo)記化技術(shù)后�����,持卡人是否能免于信息泄露呢�����?
此前,銀聯(lián)方面的分析指出�,采用支付標(biāo)記化方案后�,商戶可以通過“支付標(biāo)記”來替換主賬號PAN信息����,且該支付標(biāo)記可限定在該商戶下單獨(dú)使用�����,從而消除相應(yīng)風(fēng)險(xiǎn)��。
上述樂富支付相關(guān)業(yè)務(wù)負(fù)責(zé)人也分析表示����,標(biāo)記化處理有利于降低敏感信息的泄露風(fēng)險(xiǎn),從而降低用戶遭遇欺詐交易的幾率,而技術(shù)改造將給公司商戶和廣大持卡人的資金安全增加一道保障��。
與傳統(tǒng)交易中的卡號傳遞過程相比��,支付標(biāo)記替代了卡號�����、有效期等敏感信息��,從源頭上避免了信息的泄露。同時(shí)���,通過限定標(biāo)記的使用場景�,如交易類型�、使用次數(shù)�、支付渠道�、商戶名稱、數(shù)字錢包服務(wù)提供商等��,即使支付標(biāo)記本身被泄露��,影響范圍也很有限。
此外�,一張主卡可以生成多個(gè)標(biāo)記,任何一個(gè)標(biāo)記發(fā)生泄露或者存儲該標(biāo)記的設(shè)備丟失后,該標(biāo)記可以被禁用���,從而減少了補(bǔ)卡的麻煩�����。
支付標(biāo)記過程也同樣支持動態(tài)驗(yàn)證技術(shù)����,允許持卡人在某些場景下減少輸入敏感信息進(jìn)行身份驗(yàn)證的頻次����。而被廣泛應(yīng)用的二維碼支付,也可以因支付標(biāo)記而變得更加安全�。在此場景下���,移動應(yīng)用會生成一個(gè)含有支付標(biāo)記��、標(biāo)記有效期等數(shù)據(jù)在內(nèi)的二維碼,這個(gè)標(biāo)記將被設(shè)置為單次有效且有時(shí)間限定�����。對于掃碼支付的持卡人來說���,這樣就不必?fù)?dān)心支付信息被泄露了�����。
對使用者而言�����,盡管交易過程中多了“支付標(biāo)記”這一步�,但整個(gè)過程發(fā)生在后臺,對使用者的體驗(yàn)不會造成影響�。但也因?yàn)檫@“透明”的一步�,交易風(fēng)險(xiǎn)得以降低�����。
不過���,支付標(biāo)記化有利于降低敏感信息的泄漏風(fēng)險(xiǎn)���,從而降低用戶遭遇欺詐交易的幾率,但能否做到完全避免信息泄露目前尚不得而知,技術(shù)推出后還有待檢驗(yàn)�。但可以肯定的是����,支付標(biāo)記技術(shù)的實(shí)施����,其初衷一定是從源頭管控加上政策監(jiān)管來防范風(fēng)險(xiǎn)事件的發(fā)生�����,同時(shí)促進(jìn)行業(yè)的積極創(chuàng)新����,確保交易賬戶更安全。
保護(hù)銀行卡信息安全,你還應(yīng)注意哪些��?
說兩句
