从源头防堵信息泄露 央行下月推行“支付标记化”
近年来,银行卡遭盗刷、电信诈骗等案件频发,而信息泄露已成支付安全风险的源头。
11月22日,多位支付机构人士向《每日经济新闻》记者透露,央行于11月9日下发了《中国金融移动支付支付标记化技术规范》(以下简称《规范》)行业标准的通知,强调自2016年12月1日起全面应用支付标记化技术。
与此同时,记者注意到,上述《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。
今年7月,央行曾发布《关于进一步加强银行卡风险管理的通知》(以下简称《通知》),要求自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术。
“按照要求,这个月底就执行(支付标记化)了”。一位第三方支付机构人士坦言,“现在大家都基本实行这种标记化,以防止信息泄露。”
多位支付人士还表示,标记化处理有利于降低敏感信息的泄露风险,确保交易账户安全,而其所在公司已经完成或正在进行支付标记化技术方面的改造。
●部分支付机构正进行技术改造
下月起,各商业银行、支付机构将全面实行支付标记化技术。
11月22日,《每日经济新闻》记者从多位支付人士处获悉,他们已收到央行下发的上述《规范》。
记者获得的《规范》要求,各商业银行、支付机构、银行卡清 算 机构要严格落实《通知》,自2016年12月1日起全面应用支付标记化技术,从源头切实防范支付安全风险。
《每日经济新闻》记者注意到,早在今年7月份,央行就下发了上述《通知》,要求商业银行、支付机构、银行卡清 算机构加强对支付敏感信息的内控管理和安全防护工作,且从12月1日起全面实行支付技术标记化技术处理数据。
“在接到央行的《通知》后,我们第一时间从技术层面对持卡人及商户的敏感信息进行标记化处理,其中敏感信息涉及到持卡人层面的卡号等信息,以及商户层面的企业经营信息、身份证号等,目前已经完成了技术方面的全部改造。”乐富支付相关业务负责人在接受《每日经济新闻》记者采访时表示,未来,该公司还将不断加强对风险的主动管理,将创新思维和创新技术运用于风险监控和防范。
上述第三方支付机构人士也表示,“其实(支付标记化)我们都做得差不多了,现在再进行一下优化就可以了。”
另一家收到上述《规范》的支付机构人士亦坦言,“目前是在根据监管的规定来研究落实的方案,与各家合作银行等联合来进行技术改造。”
记者注意到,早在2013年,中国银联就启动了支付标记化技术研究和产品实施工作,以及系统开发与测试、产品试点应用等。
此外,《每日经济新闻》记者还获悉,今年7月,中国银联发布了《中国银联支付标记化技术指引》,阐述了支付标记化提出背景、技术方案、典型的应用场景以及对持卡人、商户、收单机构等所产生的影响。
●从源头遏制信息泄露
近年来,支付信息泄露、银行卡遭盗刷等风险事件时有发生。
《每日经济新闻》记者注意到,监管层推行的支付标记化技术无疑是从源头上封堵信息泄露的重要方式之一。
所谓支付标记化技术,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,原理在于通过标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。
上述《规范》表示,“近年来,国内商业银行,非银行支付机构等为保护支付敏感信息,提升支付安全,防范信息泄露和欺诈交易,在移动支付业务中逐步引入了支付标记化技术,通过支付标记限定,从源头遏制信息泄露,最大程度上保障用户交易安全。”
那么,采用支付标记化技术后,持卡人是否能免于信息泄露呢?
此前,银联方面的分析指出,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。
上述乐富支付相关业务负责人也向《每日经济新闻》记者分析表示,标记化处理有利于降低敏感信息的泄露风险,从而降低用户遭遇欺诈交易的几率,而技术改造将给公司商户和广大持卡人的资金安全增加一道保障。
丰瑞祥&祥付宝营销总裁李紫建亦表示,未来五年,移动支付的规模将呈现逐年快速递增的态势。在此期间,各种风险事件将会不断呈现,尤其是伪卡造成的盗刷损失,在让用户遭受经济损失的同时,也会失去用户对银行、支付机构的信任。而实行支付标记的意义就在于防范信息泄漏,从源头管控加上政策监管来防范风险事件的发生,同时促进行业的积极创新,确保交易账户更安全。
不过,李紫建向《每日经济新闻》记者表示,各商业银行、支付机构在实行支付标记的过程中,要注意严格管控接入企业的信用资质和应对风险事件的管控能力。同时,还需注意因支付标记带来的数据返回延迟、差错无法处理等情况。