條碼支付業務規範(徵求意見稿)出爐 二維碼支付將告別“野蠻生長”
日前,支付清算協會向會員單位下發了《條碼支付業務規範(徵求意見稿)》(下簡稱《徵求意見稿》),記者看到,業務規範提出了條碼支付的系列技術標準與規範要求,並根據風險驗證,對條碼支付額度分級管理。
2014年3月13日,央行以線下二維碼支付存在一定的支付隱患為由,下發緊急文件叫停二維碼支付服務。雖然期間二維碼支付並未真正暫停,但不少機構都處於觀望狀態。時隔兩年後,《條碼支付業務規範(徵求意見稿)》終於正式出臺,也意味著央行首次正式肯定二維碼支付,二維碼支付將告別“野蠻生長”。
7月份,央行向支付清算協會、銀聯發函確認二維碼支付地位。要求支付清算協會在前期相關工作基礎上,同銀行卡清算機構、主要商業銀行和支付機構出臺開展條碼業務需要准許的相關標準,對個人信息保護、資金安全、機密措施、敏感信息儲存上提出明確要求。
要求
二維碼支付需經技術檢測認證
記者看到,徵求意見稿將條碼支付分為付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端讀取收款人展示的條碼完成支付。收款掃碼則是指收款人通過讀取付款人移動終端展示的條碼完成支付,目前在很多商超已推廣。
《徵求意見稿》要求支付企業要遵循客戶實名制的準則,並對支付過程中的條碼生成和受理提出了系列操作規範和移動支付技術安全標準。
比如,要求條碼支付交易過程組合採用三類驗證要素:靜態密碼,經過安全認證的數字證書、電子簽名、以及通過安全渠道生成和傳輸的一次性密碼,或是生理特徵驗證,如指紋等。
要求移動終端完成條碼掃描後,顯示掃碼內容,供客戶確認。對於移動終端間的小額轉賬業務,付款方完成掃碼後,移動終端應回顯隱去姓氏的收款方姓名,供付款方確認。
此外,開展條碼支付業務所涉及的業務系統、客戶端軟體、受理終端/機具等,應當持續符合監管部門及行業標準要求,支付機構還應通過協會組織的技術安全檢測認證。
對於系列技術的標準,幾家第三方支付機構均對南方日報記者表示,與當前他們實際操作中的安全認證方式和標準基本相一致,並不需要做大的調整。目前規範還處於徵求意見階段,此後具體如何進行技術安全監測認證,還有待通知。
管理
根據風險驗證方式分級限額
值得注意的是,《徵求意見稿》根據交易驗證方式的安全級別及《條碼支付技術安全指引》,根據風險防範能力的分級,對個人客戶條碼支付業務的交易進行限額管理。
其中,要求風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,個人單個銀行賬戶或所有支付賬戶單日累計金額應不超過1000元,支付企業要承諾無條件金額承擔此類交易的風險損失賠付責任。我們日常最多使用的便利店等免密碼、免指紋驗證等二維碼支付均屬於此類別。
而採用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,為B級,單日累計金額應不超過5000元。若需要採用掃碼支付更高額度,則要求風險防範能力達到A級,採用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,支付企業可與客戶協議自主約定單日累計限額。
據南方日報記者了解,目前支付寶也採取與這一規定相同的限額管理。如免密掃碼支付的限額是1000元。需要支付更高額度時,需要增加密碼和指紋等驗證。
連線
業內人士:大銀行加入有助發展商戶業務
業內人士認為,此次規範出臺最重大意義是認可了掃碼支付,統一了管理辦法。事實上,支付寶和微信一直在使用這一支付技術。此次規範,或許對銀行而言意義更大,包括工行在內,不少銀行開始摩拳擦掌推出二維碼支付。
“過往,由於技術門檻低,二維碼的製作和發佈都比較簡單,支付指令驗證手段單一,且沒有統一的標準管理體系。一般人很難鑒別二維碼的真偽,不法分子正是利用這個漏洞,對用戶進行欺騙。”業內人士表示。
在二維碼支付業務中,用戶在交易的信息交換環節,如何保證自身信息的真實性和完整性、如何保護用戶交易信息,避免洩露和資金流失等都是關鍵問題。此前因為缺乏相關管理規定,銀行基本沒有推廣此項業務。
央行支付結算司在7月份給支付清算協會和銀聯的函中表示,線下條碼支付具有進入門檻低、便捷等特點,適用於對傳統POS收銀成本敏感的小商戶的日常小額交易,定位於傳統線下銀行卡支付的有益補充。而無論是商業銀行還是支付機構、使用銀行賬戶還是支付賬戶,均應按照交易驗證安全等級的不同,統一通過交易額度進行風險控制和安全管理。
近日,有銀行已加快了進入腳步。7月份,工商銀行推出了覆蓋線上線下和O2O支付全場景的二維碼支付産品。工行對此表示,産品具備當前市場主流掃碼産品的全部功能,而且採用國際清算組織領先的令牌技術對卡號進行變異處理,可以有效保護客戶資金和信息安全。
對於銀行而言,除了線下支付的大量零售業務之外,算盤主要還在於發展商戶業務。工行表示,商業銀行發展二維碼支付,可以把二維碼支付作為紐帶,運用大數據技術深度挖掘中小商戶的經營狀況和融資需求,提供信貸融資、存款理財、電子銀行、代發工資等全面金融服務。
而第三方支付企業看中的,也是背後龐大的業務拓展空間。如通過二維碼支付,連結更多數據,給商家提供客戶群維護、會員管理等增值業務,掃碼支付背後的業務爭奪顯然才是未來的“戰場”。(南方日報記者 黃倩蔚 實習生 蔡文軒)