央行出手!下月開始啟用 你的銀行卡會更安全
2016-11-25 14:53:00 來源:央視
近年來,銀行卡遭盜刷、電信詐騙等案件頻發(fā),而信息泄露已成支付安全風險的源頭。
近日,中國人民銀行下發(fā)了《中國金融移動支付 支付標記化技術(shù)規(guī)范》行業(yè)標準的通知,欲從源頭防堵信息泄露。
央行下月啟用支付標記化,從源頭防堵信息泄露
據(jù)悉,央行于11月9日下發(fā)了《中國金融移動支付 支付標記化技術(shù)規(guī)范》行業(yè)標準的通知,強調(diào)自2016年12月1日起全面應用支付標記化技術(shù)!兑(guī)范》還提出了支付標記化技術(shù)的基本架構(gòu),規(guī)定了應用支付標記化技術(shù)的系統(tǒng)接口、安全、風險控制等要求。
今年7月,央行曾發(fā)布《關(guān)于進一步加強銀行卡風險管理的通知》,要求自2016年12月1日起,各商業(yè)銀行、支付機構(gòu)應使用支付標記化技術(shù)。
“按照要求,這個月底就執(zhí)行(支付標記化)了”。一位第三方支付機構(gòu)人士坦言,“現(xiàn)在大家都基本實行這種標記化,以防止信息泄露!
多位支付人士還表示,標記化處理有利于降低敏感信息的泄露風險,確保交易賬戶安全,而其所在公司已經(jīng)完成或正在進行支付標記化技術(shù)方面的改造。
什么是支付標記化?
央行7月發(fā)布的通知,首次提出支付標記化技術(shù),旨在解決銀行卡盜刷及信息泄露等問題。根據(jù) MBA 智庫百科,支付標記化是由國際芯片卡標準化組織EMVCo于2014年發(fā)布的一項技術(shù),通過用支付標記(Token)取代銀行卡號進行交易認證,避免卡號等信息泄露帶來的風險。
具體來說,支付標記使用一個唯一的數(shù)值(與主卡號保持一致,一般由13至19位的數(shù)字組成)來取代銀行卡的主帳號,同時確保該數(shù)值被限定在一個特定的商戶、渠道或者設(shè)備中使用。在銀行卡的支付交易中,支付標記替換了卡號,支付標記的有效期替換了銀行卡的有效期,可以在不影響交易處理的情況下增強交易的安全性。早在2013年,中國銀聯(lián)就已經(jīng)對支付標記化進行了相關(guān)的技術(shù)研究和產(chǎn)品實施工作。2014年12月,中國銀聯(lián)與中國南方航空公司推出銀聯(lián)卡“一鍵支付”服務,面向南航明珠會員首次將支付標記化進行了實際應用。
2015 年,中國工商銀行與中國銀聯(lián)和 VISA 合作推出“HCE 云支付”信用卡產(chǎn)品,將支付標記運用到了信用卡服務中。今年7月,中國銀聯(lián)還發(fā)布了《中國銀聯(lián)支付標記化技術(shù)指引》,進一步對支付標記化的具體應用進行了闡釋。現(xiàn)在被廣泛應用的銀聯(lián)“云閃付”就集成了支付標記化的功能。以使用 Apple Pay 為例,支付標記化的過程表現(xiàn)為,先基于支付標記生成設(shè)備卡號,再生成與之匹配的芯片個人化數(shù)據(jù)并將其加載到手機設(shè)備上,使手機代替芯片卡完成支付。
中國銀聯(lián)技術(shù)部專家周明表示,支付標記化技術(shù)具有三項優(yōu)勢:
●包含持卡人卡號與有效期等在內(nèi)的敏感信息將不在交易中出現(xiàn);
●支付標記僅可以在限定的交易場景中使用,降低了交易風險;
●與傳統(tǒng)銀行卡驗證方式相比,支付標記的靈活性更高,綜合了個人信息和設(shè)備信息驗證、支付信息附加驗證、風險等級評估等功能對交易進行合法性識別和風險管控。
不能忽略的交易風險
中國銀行業(yè)協(xié)會于7月28日發(fā)布《中國銀行卡產(chǎn)業(yè)發(fā)展藍皮書(2016)》,稱截至2015年底,中國銀行卡累計發(fā)卡量達56.1億張,人均持卡數(shù)為4.09張,2015年全國的銀行卡交易金額為1420.8萬億元人民幣。
報告同時指出,盡管銀行卡欺詐交易金額的同比增速遠低于銀行卡業(yè)務量的增速,但隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展,欺詐風險逐漸向線上交易轉(zhuǎn)移。在以往的線下交易中,銀行卡被復制盜刷是高發(fā)案件。而在線上交易中,盡管不存在銀行卡被復制盜刷的風險,但是交易仍需提供卡號和有效期,很容易給欺詐團體帶來可乘之機。
除此之外,移動支付的興起帶來了新的支付技術(shù)和模式,尤其是第三方快捷支付,在給人們提供便利的同時,也給風險管控帶來了新的挑戰(zhàn)。銀行卡專業(yè)委員會主任、交通銀行副行長侯維棟表示,截至2015年底,國內(nèi)市場上持牌的第三方支付公司約有270家,市場主體的增加進一步提高了監(jiān)管難度,增加了支付風險。
據(jù)悉,目前市場上一些第三方支付機構(gòu)在完成授權(quán)時,只需提供銀行卡號和預留手機號碼就可以辦理,犯罪分子可以通過騙取驗證碼或者掛失手機號等方式獲得支付授權(quán),把錢轉(zhuǎn)走。
而隨著移動終端的普及,針對移動支付的病毒也大量出現(xiàn)。從交易方式到交易終端,整個環(huán)節(jié)中“陷阱”一直存在,這就要求支付環(huán)節(jié)的各個參與者都加強風險管控。
中國人民大學法學院教授劉俊海也曾表示:“真實、準確、完整、精準的海量金融信息直接關(guān)系到廣大消費者的財產(chǎn)安全與人身安全,此類信息泄露比普通的個人信息泄露更有危害性,后果也更嚴重!
一些行業(yè)個人信息泄露事件頻發(fā),不法分子利用泄露數(shù)據(jù)刻畫客戶身份并實施精準詐騙,信息泄露成為資金犯罪的基本作案條件和支付風險源頭。
支付標記化能否免于信息泄露?
《規(guī)范》稱,“近年來,國內(nèi)商業(yè)銀行,非銀行支付機構(gòu)等為保護支付敏感信息,提升支付安全,防范信息泄露和欺詐交易,在移動支付業(yè)務中逐步引入了支付標記化技術(shù),通過支付標記限定,從源頭遏制信息泄露,最大程度上保障用戶交易安全。”
那么,采用支付標記化技術(shù)后,持卡人是否能免于信息泄露呢?
此前,銀聯(lián)方面的分析指出,采用支付標記化方案后,商戶可以通過“支付標記”來替換主賬號PAN信息,且該支付標記可限定在該商戶下單獨使用,從而消除相應風險。
上述樂富支付相關(guān)業(yè)務負責人也分析表示,標記化處理有利于降低敏感信息的泄露風險,從而降低用戶遭遇欺詐交易的幾率,而技術(shù)改造將給公司商戶和廣大持卡人的資金安全增加一道保障。
與傳統(tǒng)交易中的卡號傳遞過程相比,支付標記替代了卡號、有效期等敏感信息,從源頭上避免了信息的泄露。同時,通過限定標記的使用場景,如交易類型、使用次數(shù)、支付渠道、商戶名稱、數(shù)字錢包服務提供商等,即使支付標記本身被泄露,影響范圍也很有限。
此外,一張主卡可以生成多個標記,任何一個標記發(fā)生泄露或者存儲該標記的設(shè)備丟失后,該標記可以被禁用,從而減少了補卡的麻煩。
支付標記過程也同樣支持動態(tài)驗證技術(shù),允許持卡人在某些場景下減少輸入敏感信息進行身份驗證的頻次。而被廣泛應用的二維碼支付,也可以因支付標記而變得更加安全。在此場景下,移動應用會生成一個含有支付標記、標記有效期等數(shù)據(jù)在內(nèi)的二維碼,這個標記將被設(shè)置為單次有效且有時間限定。對于掃碼支付的持卡人來說,這樣就不必擔心支付信息被泄露了。
對使用者而言,盡管交易過程中多了“支付標記”這一步,但整個過程發(fā)生在后臺,對使用者的體驗不會造成影響。但也因為這“透明”的一步,交易風險得以降低。
不過,支付標記化有利于降低敏感信息的泄漏風險,從而降低用戶遭遇欺詐交易的幾率,但能否做到完全避免信息泄露目前尚不得而知,技術(shù)推出后還有待檢驗。但可以肯定的是,支付標記技術(shù)的實施,其初衷一定是從源頭管控加上政策監(jiān)管來防范風險事件的發(fā)生,同時促進行業(yè)的積極創(chuàng)新,確保交易賬戶更安全。
保護銀行卡信息安全,你還應注意哪些?
編輯:吳海波
關(guān)鍵詞:央行;EMVCo;銀行卡產(chǎn)業(yè)發(fā)展;銀行卡信息;信息泄露
央行繼續(xù)在公開市場進行大額逆回購操作。11月22日,上海銀行間同業(yè)拆放利率(Shibor)繼續(xù)全線上行,漲幅居首的是6月期Shibor利率,今日上漲了1.08個基點,隔夜和7天Shibor利率均上漲了0.20個基點,昨日漲幅居首的3月期Shibor利率今日漲幅收窄,上漲了0.64個基點。
2016-11-22 10:59:00
據(jù)央行公告,11月21日,央行以利率招標的方式開展了1850億元逆回購操作,包括1100億元7天品種、600億元14天品種和150億元28天品種,中標利率分別繼續(xù)持平于2.25%、2.40%和2.55%。
2016-11-21 13:58:00
中國人民銀行官網(wǎng)最近發(fā)布了2017年度工作人員招聘公告,其中,央行直屬單位中國人民銀行印制科學研究所招聘從事數(shù)字貨幣研究與開發(fā)工作的人員。這被市場認為是央行加快推進數(shù)字貨幣發(fā)行的一大信號。
2016-11-17 09:23:00
參與討論
我想說
央廣網(wǎng)官方微信
手機央廣網(wǎng)