升級網絡支付安全驗證 央行將從嚴處罰違規
隨著移動通信技術和互聯網金融的快速發展,銀行卡使用安全面臨新的挑戰。為進一步加強銀行卡信息的安全管理,提升支付風險防控能力,近日央行下發《關於進一步加強銀行卡風險管理的通知》(下稱《通知》)。
《通知》從加強消費者個人信息保護角度,重申了對支付敏感信息的安全防護,要求升級銀行卡支付的交易驗證強度和安全防護手段,採取措施加強支付敏感信息內控管理。並要求各商業銀行、支付機構在 2016年9月1日前,對2011年央行下發的個人金融信息保護有關規定的落實情況開展自查,並上報央行。
對業內影響最大、也最受網絡支付機構關注的,是《通知》要求網絡支付機構和銀行合作的快捷支付業務如何落實監管要求。《通知》要求,自2016年11月1日起,各商業銀行在基於銀行卡與商業機構支付機構建立關聯聯繫時,需要多重身份驗證,並給出三種具體的指導方式。基本原則仍是“快捷支付由銀行驗證、實名開戶多個外部渠道驗證”。
其實,前述多重身份驗證這一監管要求在此前監管部門下發的“10號文”、 規範非銀行支付機構的“43號文”(即去年底央行發佈的《非銀行金融機構網絡支付業務管理辦法》)都已多次明確要求。由於快捷支付沒有驗證銀行卡密碼,並不需要U盾、口令或網銀,安全隱患較大,近年因此造成的網絡支付糾紛快速上升。
目前,“43號文”已自 2016 年7 月1日起正式施行。但據財新記者了解,大多數支付機構尚未落實前述快捷支付的相關監管要求。
值得關注的是,此次《通知》亦強調對違規支付行為從嚴處罰。《通知》要求嚴格落實各項銀行卡支付的有關規定,加大督察處罰力度。對於違規行為將從嚴處罰,對於違規情節嚴重的支付機構,還將按照有關規定調低分類評級機制,直至登出《支付業務許可證》。
全面採用“令牌技術”
在支付信息安全保障方面,除了重申以往的“嚴禁留存非本機構的支付敏感信息(包括銀行卡磁軌、晶片信息、卡片驗證碼、卡片有效期、卡密碼、網絡支付交易密碼等)、支付通道雙向加密”等,《通知》要求各商業銀行和支付機構全面應用“支付標記化技術(Tokenization)”——自2016年12月1日起,使用支付標記化技術對銀行卡卡號、卡片驗證碼、支付機構支付賬戶等信息進行脫敏處理,並通過設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性,從源頭控制信息洩露和欺詐交易風險。
Tokenization也被稱為“令牌技術”,是國際先進支付技術之一,也是移動支付主要發展方向。2014年,國際支付技術標準組織(EMVCo)發佈了Tokenization的技術規範。近年,在國際支付市場,“令牌技術”開發和普及由Visa、萬事達、美國運通等國際卡組織逐步推動,從而實現了移動支付安全性與便利性的最佳結合。
中國業內和消費者對於“令牌技術”的廣泛了解,始於Apple Pay今年2月的高調入華。此前去年12月,中國銀聯推出的新一代移動支付産品“雲閃付”也採用了“令牌技術”。
和掃二維碼支付相比,“令牌技術”更安全和便捷,最大的優勢是個人信息保護。“令牌技術”是通過一個電子令牌把銀行卡賬號轉化一個虛擬賬號,由於手機存儲的是前述“虛擬賬號”信息,主卡信息不會泄漏,支付時不顯示真實卡號,有效保護持卡人隱私及支付敏感信息。一旦手機丟失,駭客拿到了這個電子令牌也沒有用,金融機構只需要給客戶重新分配一個電子令牌,不必重新發卡,大大降低成本,也使得移動支付更安全和便捷。
另外,《通知》還重申了強化交易密碼保護機制和嚴格規範收單外包;並再次強調,對於重要支付技術應用、業務創新,至少項目上線之前30日向央行備案,提交項目實施方案、外部安全評估報告等書面材料。