采寶支付了解: 近日,央行科技司司長(zhǎng)李偉在一次研討會(huì)上做了關(guān)于支付終端管理的發(fā)言,中國(guó)支付網(wǎng)獨(dú)家整理了此次發(fā)言的干貨。李偉在肯定支付行業(yè)創(chuàng)新發(fā)展的同時(shí),也提出了目前支付終端在系統(tǒng)漏洞、規(guī)范性等方面存在諸多問(wèn) ...
近日,央行科技司司長(zhǎng)李偉在一次研討會(huì)上做了關(guān)于支付終端管理的發(fā)言,中國(guó)支付網(wǎng)獨(dú)家整理了此次發(fā)言的干貨。
李偉在肯定支付行業(yè)創(chuàng)新發(fā)展的同時(shí),也提出了目前支付終端在系統(tǒng)漏洞、規(guī)范性等方面存在諸多問(wèn)題,并針對(duì)這些問(wèn)題提出了三大舉措。
李偉在會(huì)議現(xiàn)場(chǎng)表示,央行將加強(qiáng)對(duì)支付受理終端的技術(shù)管理,并將督促清算機(jī)構(gòu)盡快建立終端注冊(cè)管理平臺(tái),并采取清算機(jī)構(gòu)、商業(yè)銀行、支付機(jī)構(gòu)、終端廠商多方聯(lián)動(dòng)的模式,共筑支付防線。
支付終端存在諸多問(wèn)題
李偉在會(huì)議現(xiàn)場(chǎng)首先介紹了支付終端在產(chǎn)品管理方面和關(guān)聯(lián)業(yè)務(wù)系統(tǒng)合規(guī)性方面存在的問(wèn)題。
在產(chǎn)品管理方面,隨著掃碼等支付受理終端新形態(tài)不斷涌現(xiàn),推動(dòng)了支付創(chuàng)新發(fā)展,提升了支付用戶(hù)的體驗(yàn),但也產(chǎn)生了相應(yīng)的問(wèn)題。
第一,支付終端產(chǎn)品良莠不齊。
個(gè)別支付終端廠商片面追求短期利益,忽視產(chǎn)品利益。成品供應(yīng)過(guò)程中,偷工減料、以次充好。致使不合標(biāo)準(zhǔn)的支付終端流入市場(chǎng),造成支付終端市場(chǎng)魚(yú)目混雜,產(chǎn)品質(zhì)量良莠不齊。使得產(chǎn)品本身的安全質(zhì)量風(fēng)險(xiǎn)轉(zhuǎn)移到支付領(lǐng)域,加劇了信息泄露和資金安全的風(fēng)險(xiǎn)。
近期發(fā)生的POS終端、ATM植入木馬病毒等問(wèn)題,反映出支付受理終端密鑰重制、惡意代碼防范等管理規(guī)定,落實(shí)不到位,存在一定的問(wèn)題,擾亂了受理終端的市場(chǎng)秩序,影響了受理終端的整體安全水平。
第二,終端管理不完善。
部分收單機(jī)構(gòu)為了追求市場(chǎng)份額,重部劃、輕管理,導(dǎo)致支付受理終端安全管理存在較大安全隱患。
在終端申領(lǐng)環(huán)節(jié),收單機(jī)構(gòu)對(duì)特約商戶(hù)資質(zhì)審核不嚴(yán),對(duì)商戶(hù)業(yè)務(wù)范圍終端使用情況缺乏實(shí)際的調(diào)研和審查,形成了特約商戶(hù)管理的真空地帶,使別有用心的人輕易地邁入了支付的大門(mén)。
在終端安裝環(huán)節(jié),由于收單業(yè)務(wù)層層轉(zhuǎn)包,違規(guī)分包,收單機(jī)構(gòu)難以對(duì)其工作質(zhì)量和過(guò)程實(shí)施有效管理,對(duì)準(zhǔn)入特約商戶(hù)的終端安裝、調(diào)試、激活等環(huán)節(jié)缺乏全流程的跟蹤核實(shí),使違法改裝的終端設(shè)備輕松投入使用。
在終端使用環(huán)節(jié),收單機(jī)構(gòu)安全意識(shí)薄弱,對(duì)終端密鑰等敏感信息管理不嚴(yán),缺少常態(tài)化的跟蹤、巡檢制度,導(dǎo)致未能及時(shí)發(fā)現(xiàn)并懲處違規(guī)的行為,給支付安全埋下隱患。
第三、支付交易報(bào)文不規(guī)范
近期,電信網(wǎng)絡(luò)欺詐事件頻發(fā),嚴(yán)重侵害人民財(cái)產(chǎn)安全,而支付交易報(bào)文的關(guān)鍵要素缺失、偽造和篡改,造成欺詐交易難以追受,增加了追繳贓款的難度。
在報(bào)文完整性方面,部分商業(yè)銀行、非銀行支付機(jī)構(gòu)沒(méi)有按要求嚴(yán)格執(zhí)行技術(shù)標(biāo)準(zhǔn),在交易報(bào)文中填寫(xiě)終端編碼,商戶(hù)編碼等關(guān)鍵信息,導(dǎo)致交易場(chǎng)景難以被準(zhǔn)確刻畫(huà)。
在報(bào)文真實(shí)性方面,部分收單機(jī)構(gòu)為追求利益,偽造報(bào)文要素,存在移機(jī)、切機(jī)、二清、套碼等違規(guī)行為,使商戶(hù)和消費(fèi)者的合法權(quán)益受到侵害。
在報(bào)文安全方面,由于硬件設(shè)備、技術(shù)條件等因素的限制,部分支付受理終端未能采取加密技術(shù),安全芯片等手段,難以保護(hù)交易報(bào)文不被篡改,給不法分子以可趁之機(jī)。
關(guān)聯(lián)業(yè)務(wù)系統(tǒng)合規(guī)性不夠,也是當(dāng)前支付受理終端存在的一大問(wèn)題。
首先,業(yè)務(wù)系統(tǒng)違規(guī)留存支付敏感信息
《關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》中明確要求,嚴(yán)禁留存非本機(jī)構(gòu)的支付敏感信息。然而對(duì)數(shù)據(jù)的過(guò)分追求,或者系統(tǒng)設(shè)計(jì)不當(dāng),部分機(jī)構(gòu)違規(guī)留存大量敏感信息和磁條卡信息,給資金安全帶來(lái)了較大的隱患。
其次,業(yè)務(wù)系統(tǒng)存在安全漏洞
在研發(fā)、測(cè)試過(guò)程中,由于架構(gòu)設(shè)計(jì)、代碼質(zhì)量、測(cè)試水平等因素,系統(tǒng)或多或少的存在安全漏洞。不法分子利用這一漏洞和風(fēng)險(xiǎn)點(diǎn),實(shí)施網(wǎng)絡(luò)入侵,進(jìn)行拖庫(kù)、撞庫(kù)等攻擊。
最后,業(yè)務(wù)邏輯設(shè)計(jì)存在缺陷
由于在構(gòu)建業(yè)務(wù)模型、抽象業(yè)務(wù)邏輯等環(huán)節(jié)考慮不充分、設(shè)計(jì)不合理,系統(tǒng)在業(yè)務(wù)流程、交易驗(yàn)證、風(fēng)險(xiǎn)控制等方面存在瑕疵,引發(fā)支付安全隱患。以芯片卡交易驗(yàn)證為例,部分境外刷卡機(jī)構(gòu),沒(méi)有按標(biāo)準(zhǔn)對(duì)芯片卡應(yīng)用密文進(jìn)行全面的核驗(yàn),未采用動(dòng)態(tài)驗(yàn)證技術(shù),導(dǎo)致客戶(hù)資金被盜刷。
五大舉措加強(qiáng)支付受理終端技術(shù)管理
針對(duì)以上支付受理終端存在的問(wèn)題,人民銀行將從以下幾個(gè)方面,加強(qiáng)支付受理終端技術(shù)管理。
第一,加強(qiáng)支付受理終端注冊(cè)管理。
針對(duì)部分入網(wǎng)受理終端存在的非法改裝,不符合標(biāo)準(zhǔn)等問(wèn)題,下一步,將加快建立終端注冊(cè)管理機(jī)制。
把合法合規(guī)的終端全部備案在冊(cè),已注冊(cè)信息與交易信息的對(duì)比分析結(jié)果作為限制、拒絕可疑交易的風(fēng)控策略依據(jù)。提升支付受理終端的安全性和可控性。
清算機(jī)構(gòu)要盡快建立終端注冊(cè)管理平臺(tái),全面采集支付受理終端的收單機(jī)構(gòu)編碼、商戶(hù)編碼、終端序列號(hào)、布放時(shí)間、地理位置等信息,提高欺交易追收時(shí)效和成功率。
商業(yè)銀行、支付機(jī)構(gòu)要嚴(yán)格按照21號(hào)文件的要求,在終端注冊(cè)管理平臺(tái),準(zhǔn)確登記ATM、POS等終端入網(wǎng)信息,確保終端的合法性。
終端廠商也要不斷提高研發(fā)能力,運(yùn)用密碼識(shí)別技術(shù),將終端序列號(hào)和密鑰置于終端安全模塊,切實(shí)防范終端信息被非法控制和篡改。
第二,加強(qiáng)支付受理終端的報(bào)文規(guī)范。
為防范因報(bào)文要素缺失而導(dǎo)致欺詐風(fēng)險(xiǎn),后續(xù)將進(jìn)一步督促支付產(chǎn)業(yè)各方嚴(yán)格落實(shí)相關(guān)技術(shù)規(guī)范和要求,全面加強(qiáng)支付指令的安全管理。
在報(bào)文上送環(huán)節(jié),商業(yè)銀行、支付機(jī)構(gòu)要在交易報(bào)文中準(zhǔn)確填寫(xiě)終端編碼、受理機(jī)構(gòu)編碼、終端序列號(hào)等要素,采用數(shù)字簽名,加密傳輸、密碼識(shí)別等技術(shù),保障支付指令的可追溯性。
在報(bào)文傳送環(huán)節(jié),商業(yè)銀行、支付機(jī)構(gòu)要從首付款方商鋪、渠道、訂單等方面,完整刻畫(huà)真實(shí)交易,準(zhǔn)確記入交易發(fā)起方、接受方、網(wǎng)絡(luò)路由等信息,確保支付指令的一致性。
在報(bào)文驗(yàn)證環(huán)節(jié),清算機(jī)構(gòu)、商業(yè)銀行、支付機(jī)構(gòu)要按照文件的要求,按時(shí)完成關(guān)聯(lián)系統(tǒng)的改造升級(jí),嚴(yán)格驗(yàn)證交易報(bào)文要素的真實(shí)性和完整性,及時(shí)識(shí)別并防控異常交易。
第三,加強(qiáng)支付受理終端產(chǎn)品管理。
保障支付受理終端符合標(biāo)準(zhǔn)、質(zhì)量合格是當(dāng)前加強(qiáng)支付安全管理,防范電信欺詐的工作重點(diǎn)。央行將會(huì)同質(zhì)量監(jiān)督管理部門(mén),加強(qiáng)支付受理終端的產(chǎn)品質(zhì)量管理,構(gòu)筑終端產(chǎn)品與支付業(yè)務(wù)之間風(fēng)險(xiǎn)的防火墻,切斷產(chǎn)品質(zhì)量風(fēng)險(xiǎn)。
商業(yè)銀行、支付機(jī)構(gòu)要從產(chǎn)品選型、驗(yàn)收、現(xiàn)場(chǎng)檢查等環(huán)節(jié)加強(qiáng)質(zhì)量控制,確保受理終端符合相關(guān)技術(shù)標(biāo)準(zhǔn),不得將終端密鑰、管理交由外包服務(wù)機(jī)構(gòu)辦理,嚴(yán)禁采用脫機(jī)密鑰激活方式違規(guī)重置終端。
檢測(cè)認(rèn)證機(jī)構(gòu)要充分發(fā)揮對(duì)質(zhì)量把控的作用,嚴(yán)格依據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范對(duì)終端產(chǎn)品實(shí)施檢測(cè)認(rèn)證,保證其標(biāo)準(zhǔn)的符合性和安全性。
清算機(jī)構(gòu)要會(huì)同成員機(jī)構(gòu)積極采取入網(wǎng)終端簽名,唯一性標(biāo)識(shí)等基礎(chǔ)措施,強(qiáng)化終端入網(wǎng)管理,嚴(yán)禁未通過(guò)檢測(cè)認(rèn)證的終端入網(wǎng)使用。加快建立定期巡檢制度,持續(xù)開(kāi)展終端抽檢工作。
終端廠商要按照國(guó)家和金融行業(yè)相關(guān)標(biāo)準(zhǔn)要求,設(shè)立生產(chǎn)支付終端產(chǎn)品,及時(shí)開(kāi)展產(chǎn)品外部安全評(píng)估,保障產(chǎn)品的質(zhì)量安全。
第四,加強(qiáng)手機(jī)客戶(hù)端軟件的安全管理。
手機(jī)APP作為線上銀行卡的交易入口,對(duì)保障支付安全同樣至關(guān)重要。下一步要加大對(duì)手機(jī)APP的安全管理力度,將手機(jī)APP的風(fēng)險(xiǎn)排查常態(tài)化、制度化。對(duì)發(fā)現(xiàn)安全隱患實(shí)施清單管控,不斷提升安全防護(hù)能力,規(guī)范引導(dǎo)移動(dòng)客戶(hù)端軟件在金融領(lǐng)域的正確使用。
商業(yè)銀行、支付機(jī)構(gòu)、清算機(jī)構(gòu)要從木馬病毒防范、信息加密保護(hù)、運(yùn)行環(huán)境可信等方面,全面提升手機(jī)APP的風(fēng)險(xiǎn)防控水平。對(duì)手機(jī)APP及官方網(wǎng)站設(shè)置可信標(biāo)識(shí)或快捷入口,并通過(guò)多種渠道告知客戶(hù)正確的識(shí)別、防范和使用方法。
監(jiān)測(cè)認(rèn)證機(jī)構(gòu)要重點(diǎn)關(guān)注手機(jī)APP在交易數(shù)據(jù)邏輯、敏感信息保護(hù)、抵御外部攻擊等方面的防護(hù)措施,協(xié)助督促相關(guān)機(jī)構(gòu)來(lái)提升手機(jī)APP的標(biāo)準(zhǔn)和安全水平,促進(jìn)移動(dòng)支付服務(wù)質(zhì)量持續(xù)提升。
第五,利用大數(shù)據(jù)分析增強(qiáng)風(fēng)險(xiǎn)防范能力。
下一步將利用大數(shù)據(jù)的分析技術(shù),建立健全風(fēng)險(xiǎn)防控體系,主動(dòng)識(shí)別異常交易,動(dòng)態(tài)部署針對(duì)高風(fēng)險(xiǎn)交易的精準(zhǔn)防控策略,切實(shí)保護(hù)客戶(hù)的資金安全。
事前,清算機(jī)構(gòu)要加快建立大數(shù)據(jù)分析校驗(yàn)平臺(tái),結(jié)合支付受理終端注冊(cè)管理,進(jìn)一步完善風(fēng)險(xiǎn)管理機(jī)制
事中,清算機(jī)構(gòu)要會(huì)同成員機(jī)構(gòu)利用大數(shù)據(jù)的分析技術(shù),于每日日中核對(duì)支付受理終端注冊(cè)數(shù)據(jù)與交易報(bào)文數(shù)據(jù),結(jié)合受理地區(qū)交易活躍度等交易特征數(shù)據(jù),核驗(yàn)交易終端的真實(shí)性、一致性,有效鑒別移機(jī)、切機(jī)、二清、套碼等違規(guī)行為。
事后,商業(yè)銀行、支付機(jī)構(gòu)要對(duì)存在異常交易的終端和商戶(hù)進(jìn)行核實(shí),采取風(fēng)險(xiǎn)提示,延時(shí)結(jié)算、拒絕服務(wù)等風(fēng)險(xiǎn)防控措施。
支付資訊:聚合支付覺(jué)醒 進(jìn)軍中國(guó)移動(dòng)支付市場(chǎng)
