日前,支付清算协会向会员单位下发了《条码支付业务规范(征求意见稿)》(下简称《征求意见稿》),记者看到,业务规范提出了条码支付的系列技术标准与规范要求,并根据风险验证,对条码支付额度分级管理。
2014年3月13日,央行以线下二维码支付存在一定的支付隐患为由,下发紧急文件叫停二维码支付服务。虽然期间二维码支付并未真正暂停,但不少机构都处于观望状态。时隔两年后,《条码支付业务规范(征求意见稿)》终于正式出台,也意味着央行首次正式肯定二维码支付,二维码支付将告别“野蛮生长”。
7月份,央行向支付清算协会、银联发函确认二维码支付地位。要求支付清算协会在前期相关工作基础上,同银行卡清算机构、主要商业银行和支付机构出台开展条码业务需要准许的相关标准,对个人信息保护、资金安全、机密措施、敏感信息储存上提出明确要求。
要求
二维码支付需经技术检测认证
记者看到,征求意见稿将条码支付分为付款扫码和收款扫码。付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付。收款扫码则是指收款人通过读取付款人移动终端展示的条码完成支付,目前在很多商超已推广。
《征求意见稿》要求支付企业要遵循客户实名制的准则,并对支付过程中的条码生成和受理提出了系列操作规范和移动支付技术安全标准。
比如,要求条码支付交易过程组合采用三类验证要素:静态密码,经过安全认证的数字证书、电子签名、以及通过安全渠道生成和传输的一次性密码,或是生理特征验证,如指纹等。
要求移动终端完成条码扫描后,显示扫码内容,供客户确认。对于移动终端间的小额转账业务,付款方完成扫码后,移动终端应回显隐去姓氏的收款方姓名,供付款方确认。
此外,开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等,应当持续符合监管部门及行业标准要求,支付机构还应通过协会组织的技术安全检测认证。
对于系列技术的标准,几家第三方支付机构均对南方日报记者表示,与当前他们实际操作中的安全认证方式和标准基本相一致,并不需要做大的调整。目前规范还处于征求意见阶段,此后具体如何进行技术安全监测认证,还有待通知。
管理
根据风险验证方式分级限额
值得注意的是,《征求意见稿》根据交易验证方式的安全级别及《条码支付技术安全指引》,根据风险防范能力的分级,对个人客户条码支付业务的交易进行限额管理。
其中,要求风险防范能力达到C级,即采用不足两类要素对交易进行验证的,个人单个银行账户或所有支付账户单日累计金额应不超过1000元,支付企业要承诺无条件金额承担此类交易的风险损失赔付责任。我们日常最多使用的便利店等免密码、免指纹验证等二维码支付均属于此类别。
而采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,为B级,单日累计金额应不超过5000元。若需要采用扫码支付更高额度,则要求风险防范能力达到A级,采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,支付企业可与客户协议自主约定单日累计限额。
据南方日报记者了解,目前支付宝也采取与这一规定相同的限额管理。如免密扫码支付的限额是1000元。需要支付更高额度时,需要增加密码和指纹等验证。
连线
业内人士:大银行加入有助发展商户业务
业内人士认为,此次规范出台最重大意义是认可了扫码支付,统一了管理办法。事实上,支付宝和微信一直在使用这一支付技术。此次规范,或许对银行而言意义更大,包括工行在内,不少银行开始摩拳擦掌推出二维码支付。
“过往,由于技术门槛低,二维码的制作和发布都比较简单,支付指令验证手段单一,且没有统一的标准管理体系。一般人很难鉴别二维码的真伪,不法分子正是利用这个漏洞,对用户进行欺骗。”业内人士表示。
在二维码支付业务中,用户在交易的信息交换环节,如何保证自身信息的真实性和完整性、如何保护用户交易信息,避免泄露和资金流失等都是关键问题。此前因为缺乏相关管理规定,银行基本没有推广此项业务。
央行支付结算司在7月份给支付清算协会和银联的函中表示,线下条码支付具有进入门槛低、便捷等特点,适用于对传统POS收银成本敏感的小商户的日常小额交易,定位于传统线下银行卡支付的有益补充。而无论是商业银行还是支付机构、使用银行账户还是支付账户,均应按照交易验证安全等级的不同,统一通过交易额度进行风险控制和安全管理。
近日,有银行已加快了进入脚步。7月份,工商银行推出了覆盖线上线下和O2O支付全场景的二维码支付产品。工行对此表示,产品具备当前市场主流扫码产品的全部功能,而且采用国际清算组织领先的令牌技术对卡号进行变异处理,可以有效保护客户资金和信息安全。
对于银行而言,除了线下支付的大量零售业务之外,算盘主要还在于发展商户业务。工行表示,商业银行发展二维码支付,可以把二维码支付作为纽带,运用大数据技术深度挖掘中小商户的经营状况和融资需求,提供信贷融资、存款理财、电子银行、代发工资等全面金融服务。
而第三方支付企业看中的,也是背后庞大的业务拓展空间。如通过二维码支付,链接更多数据,给商家提供客户群维护、会员管理等增值业务,扫码支付背后的业务争夺显然才是未来的“战场”。(南方日报记者 黄倩蔚 实习生 蔡文轩)