升级网络支付安全验证 央行将从严处罚违规

作者:张宇哲 来源:财新网
2016-07-11 17:30:18
分享

【财新网】(记者 张宇哲)随着移动通信技术和互联网金融的快速发展,银行卡使用安全面临新的挑战。为进一步加强银行卡信息的安全管理,提升支付风险防控能力,近日央行下发《关于进一步加强银行卡风险管理的通知》(下称《通知》)。

《通知》从加强消费者个人信息保护角度,重申了对支付敏感信息的安全防护,要求升级银行卡支付的交易验证强度和安全防护手段,采取措施加强支付敏感信息内控管理。并要求各商业银行、支付机构在 2016年9月1日前,对2011年央行下发的个人金融信息保护有关规定的落实情况开展自查,并上报央行。

对业内影响最大、也最受网络支付机构关注的,是《通知》要求网络支付机构和银行合作的快捷支付业务如何落实监管要求。《通知》要求,自2016年11月1日起,各商业银行在基于银行卡与商业机构支付机构建立关联联系时,需要多重身份验证,并给出三种具体的指导方式。基本原则仍是“快捷支付由银行验证、实名开户多个外部渠道验证”。

其实,前述多重身份验证这一监管要求在此前监管部门下发的“10号文”、 规范非银行支付机构的“43号文”(即去年底央行发布的《非银行金融机构网络支付业务管理办法》)都已多次明确要求。由于快捷支付没有验证银行卡密码,并不需要U盾、口令或网银,安全隐患较大,近年因此造成的网络支付纠纷快速上升。

目前,“43号文”已自 2016 年7 月1日起正式施行。但据财新记者了解,大多数支付机构尚未落实前述快捷支付的相关监管要求。

值得关注的是,此次《通知》亦强调对违规支付行为从严处罚。《通知》要求严格落实各项银行卡支付的有关规定,加大督察处罚力度。对于违规行为将从严处罚,对于违规情节严重的支付机构,还将按照有关规定调低分类评级机制,直至注销《支付业务许可证》。

全面采用“令牌技术”

在支付信息安全保障方面,除了重申以往的“严禁留存非本机构的支付敏感信息(包括银行卡磁道、芯片信息、卡片验证码、卡片有效期、卡密码、网络支付交易密码等)、支付通道双向加密”等,《通知》要求各商业银行和支付机构全面应用“支付标记化技术(Tokenization)”——自2016年12月1日起,使用支付标记化技术对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。

Tokenization也被称为“令牌技术”,是国际先进支付技术之一,也是移动支付主要发展方向。2014年,国际支付技术标准组织(EMVCo)发布了Tokenization的技术规范。近年,在国际支付市场,“令牌技术”开发和普及由Visa、万事达、美国运通等国际卡组织逐步推动,从而实现了移动支付安全性与便利性的最佳结合。

中国业内和消费者对于“令牌技术”的广泛了解,始于Apple Pay今年2月的高调入华。此前去年12月,中国银联推出的新一代移动支付产品“云闪付”也采用了“令牌技术”。

和扫二维码支付相比,“令牌技术”更安全和便捷,最大的优势是个人信息保护。“令牌技术”是通过一个电子令牌把银行卡账号转化一个虚拟账号,由于手机存储的是前述“虚拟账号”信息,主卡信息不会泄漏,支付时不显示真实卡号,有效保护持卡人隐私及支付敏感信息。一旦手机丢失,黑客拿到了这个电子令牌也没有用,金融机构只需要给客户重新分配一个电子令牌,不必重新发卡,大大降低成本,也使得移动支付更安全和便捷。

另外,《通知》还重申了强化交易密码保护机制和严格规范收单外包;并再次强调,对于重要支付技术应用、业务创新,至少项目上线之前30日向央行备案,提交项目实施方案、外部安全评估报告等书面材料。

“多因素身份验证”如何落实

在互联网支付的交易风险防控方面,《通知》要求各商业银行和支付机构,加强业务开通身份认证安全管理和互联网交易风险监控,央行还将加大与工信部、公安部、工商总局的支付风险联动防控力度。

其中,最受网络支付机构关注的是“身份认证安全管理”。《通知》称,自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份验证方式,直接鉴别客户身份,并取得客户授权。

在实际操作中,前述关联业务主要是指快捷支付。

《通知》明确指出,前述关联业务的身份鉴别应采取以下组合方式之一:一是采用符合《金融电子认证规范》的数字证书,并组合交易密码等至少一种认证因素;二是采用符合《动态口令密码应用技术规范》的动态令牌设备,并组合交易密码等至少一种认证因素;三是至少组合两种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等),并采用语音、短信数据(如手机银行、即时通讯、邮件)等至少两种不同的通信渠道。

在银行看来,前述监管要求对银行来说早已做好准备,并没有太大难度,“对于银行而言,前两种都已经是如此操作的;对于第三种方式,银行正在研究怎么落实。关键是监管政策的落实需要支付机构配合,支付机构怎么落实值得关注。” 多位银行业人士告诉财新记者。

“43号文延续了10号文对快捷支付进行前述‘多因素身份验证’的监管要求,银行的网上支付系统也早已相应完成改造,即由银行发送验证短信,但至今第三方支付机构基本都未落实;比如前面三种方式中,数字证书和令牌都应该跳到银行网银页面来验证客户身份,而现在的快捷支付只有一个短信验证码,也就是说只有一种动态验证要素,这是不符合监管要求的。”

一位大行电子银行部人士亦向财新记者透露,“已经向支付宝发函让其根据‘43号文’对快捷支付的要求进行调整,但支付宝一直没回应。”

加大处罚力度

此次《通知》重申“提升支付交易安全强度”。一是按照有关加强账户管理的规定,建立健全个人银行结算账户分类管理机制,引导客户使用Ⅱ类Ⅲ类银行账户办理小额网络支付业务,有效防控各类银行账户特别是Ⅰ类账户的信息泄露风险。二是在支付机构等合作方向银行发送支付指令、扣划客户银行卡资金时,各项银行支付机构应严格落实“43号文”的第十条规定,采取交易验证强度与交易额度相匹配的技术措施,提高交易的安全性。

《通知》同时强调,严格落实各项规定,加大督察处罚力度。除了开展支付业务的机构要落实国家网络安全和信息技术安全有关门槛,对于违规行为将从严处罚。“严查银行卡受理终端改装、支付交易验证强度低、系统存在安全漏洞及受到网络攻击等造成的支付服务中断、支付敏感信息泄露事件、资金损失事件,并按照有关规定从严处罚。”

对于情节违规情节严重者,将处罚有关高管;对于违规情节严重的支付机构,还将按照有关规定调低分类评级机制直至注销《支付业务许可证》。

此外,在磁条卡伪卡欺诈交易风险防范方面,将采取加强受理终端安全管理、加大特约商户实名制管理力度、加强违规特约商户黑名单管理、落实伪卡欺诈风险责任转移规则等措施。

《通知》同时要求,自2016年9月1日起,银行新发行的银行卡应为符合规范的金融IC卡;自2017年5月1日起全面关闭芯片磁条复合卡的磁条交易。

分享