升级网络支付安全验证 央行将从严处罚违规
随着移动通信技术和互联网金融的快速发展,银行卡使用安全面临新的挑战。为进一步加强银行卡信息的安全管理,提升支付风险防控能力,近日央行下发《关于进一步加强银行卡风险管理的通知》(下称《通知》)。
《通知》从加强消费者个人信息保护角度,重申了对支付敏感信息的安全防护,要求升级银行卡支付的交易验证强度和安全防护手段,采取措施加强支付敏感信息内控管理。并要求各商业银行、支付机构在 2016年9月1日前,对2011年央行下发的个人金融信息保护有关规定的落实情况开展自查,并上报央行。
对业内影响最大、也最受网络支付机构关注的,是《通知》要求网络支付机构和银行合作的快捷支付业务如何落实监管要求。《通知》要求,自2016年11月1日起,各商业银行在基于银行卡与商业机构支付机构建立关联联系时,需要多重身份验证,并给出三种具体的指导方式。基本原则仍是“快捷支付由银行验证、实名开户多个外部渠道验证”。
其实,前述多重身份验证这一监管要求在此前监管部门下发的“10号文”、 规范非银行支付机构的“43号文”(即去年底央行发布的《非银行金融机构网络支付业务管理办法》)都已多次明确要求。由于快捷支付没有验证银行卡密码,并不需要U盾、口令或网银,安全隐患较大,近年因此造成的网络支付纠纷快速上升。
目前,“43号文”已自 2016 年7 月1日起正式施行。但据财新记者了解,大多数支付机构尚未落实前述快捷支付的相关监管要求。
值得关注的是,此次《通知》亦强调对违规支付行为从严处罚。《通知》要求严格落实各项银行卡支付的有关规定,加大督察处罚力度。对于违规行为将从严处罚,对于违规情节严重的支付机构,还将按照有关规定调低分类评级机制,直至注销《支付业务许可证》。
全面采用“令牌技术”
在支付信息安全保障方面,除了重申以往的“严禁留存非本机构的支付敏感信息(包括银行卡磁道、芯片信息、卡片验证码、卡片有效期、卡密码、网络支付交易密码等)、支付通道双向加密”等,《通知》要求各商业银行和支付机构全面应用“支付标记化技术(Tokenization)”——自2016年12月1日起,使用支付标记化技术对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
Tokenization也被称为“令牌技术”,是国际先进支付技术之一,也是移动支付主要发展方向。2014年,国际支付技术标准组织(EMVCo)发布了Tokenization的技术规范。近年,在国际支付市场,“令牌技术”开发和普及由Visa、万事达、美国运通等国际卡组织逐步推动,从而实现了移动支付安全性与便利性的最佳结合。
中国业内和消费者对于“令牌技术”的广泛了解,始于Apple Pay今年2月的高调入华。此前去年12月,中国银联推出的新一代移动支付产品“云闪付”也采用了“令牌技术”。
和扫二维码支付相比,“令牌技术”更安全和便捷,最大的优势是个人信息保护。“令牌技术”是通过一个电子令牌把银行卡账号转化一个虚拟账号,由于手机存储的是前述“虚拟账号”信息,主卡信息不会泄漏,支付时不显示真实卡号,有效保护持卡人隐私及支付敏感信息。一旦手机丢失,黑客拿到了这个电子令牌也没有用,金融机构只需要给客户重新分配一个电子令牌,不必重新发卡,大大降低成本,也使得移动支付更安全和便捷。
另外,《通知》还重申了强化交易密码保护机制和严格规范收单外包;并再次强调,对于重要支付技术应用、业务创新,至少项目上线之前30日向央行备案,提交项目实施方案、外部安全评估报告等书面材料。