伴随支付方式的逐渐数字化,网络支付和移动支付的支付风险快速蔓延,引发关注。《经济参考报》记者从业内人士处获悉,日前,央行下发了《中国金融移动支付 支付标记化技术规范》,发布了支付标记化技术的行业标准,力图从遏制信息泄露的角度来防范风险。
业内人士表示,支付标记化技术能够降低支付交易风险,但这一技术并不能“消灭”支付体系所有的交易风险。因此,对于任何支付机构而言,构建一个多层次、全方位的支付安全体系才是根本。
支付风险快速蔓延“防不胜防”
科技创新促使支付方式正在发生深刻变革。数据显示,全球在线、移动支付交易量预计到2020年将达400亿次。而在中国,在第三方支付机构迅速崛起的同时,移动支付和网络支付的规模扩张速度也十分惊人。相关数据显示,支付宝注册用户已经超过8亿人,微信支付的用户也已经有4亿人。
伴随支付方式的逐渐数字化,由此产生的支付风险也更为突显,甚至更为“防不胜防”。相关统计数据显示,全球范围内,网络支付的欺诈比率为23.9%,较实体卡支付7.2%的欺诈比率要高得多。
中国人民银行副行长范一飞此前在公开场合发言时表示,由于互联网的虚拟化、支付服务的移动化、参与主体的多样化,支付风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点,支付行业在敏感信息保护、客户资金安全、业务连续性等方面面临较大压力。
万事达卡身份识别解决方案执行副总裁鲍勃·雷尼(Bob Reany)表示,相关的网络犯罪规模在持续增长,且犯罪者开发出的很多更新的、更高级的恶意软件,能够被任何人所利用。他坦言,这些支付欺诈带来了更多挑战,出于对安全的担忧,一些持卡人对使用手机银行和网络支付表现得非常犹豫。
标记化技术剑指“信息泄露”
面对逐日上升的网络支付和移动支付风险,监管部门除了整肃支付机构和支付市场外,也在力推一些行业标准和技术,提升整个支付体系的安全指数。
中国银行业协会此前发布的《中国银行卡产业发展蓝皮书(2016)》称,在线上交易中,尽管不存在线下银行卡被复制盗刷的风险,但交易仍需提供卡号和有效期,很容易给欺诈团伙带来可乘之机。
记者日前获悉,央行下发了《中国金融移动支付 支付标记化技术规范》(下称《规范》)行业标准的通知,强调自2016年12月1日起全面应用支付标记化技术。
实际上,Visa、万事达卡等国际银行卡清算组织此前就已经将支付标记技术引入到其数字支付服务中,而这一技术实际上也是目前使用的苹果支付、安卓支付等支付方式的底层技术。但是,在国内,并非支付链条上的所有银行、第三方支付机构或商户都引入了该项技术。
所谓支付标记化技术,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,其原理在于通过标记(token)代替银行卡号进行交易验证。以万事达卡的MDES(MasterCard Digital Enablement Service,即万事达卡数字支付服务)为例,其重要特征就是将账号标记化(Tokenization),MDES生成一个独特的标记,替代真实的个人账号(PAN)在商家与个人的交易中进行信息传递。而使用标记的好处就是,持卡人银行卡卡号、有效期等敏感信息并不会储存在移动设备终端上,由此即使移动设备丢失或被盗,真正的银行账号信息仍能够得到保护。
今年7月,中国银联也发布了《中国银联支付标记化技术指引》,阐述了支付标记化提出背景、技术方案、典型的应用场景,以及对持卡人、商户、收单机构等所产生的影响。
上述《规范》也称,“近年来,国内商业银行,非银行支付机构等为保护支付敏感信息,提升支付安全,防范信息泄露和欺诈交易,在移动支付业务中逐步引入了支付标记化技术,通过支付标记限定,从源头遏制信息泄露,最大程度上保障用户交易安全。”
构筑多层次支付安全体系是根本
业内人士表示,支付标记化技术能够降低支付交易风险,但这一技术并不能“消灭”支付体系所有的交易风险。因此,对于任何支付机构而言,构建一个多层次、全方位的支付安全体系才是根本。
据万事达卡企业安全解决方案安全及决策产品执行副总裁约翰·格伯(Johan Gerber)介绍,万事达卡正在着力构建一个分层的解决方案体系来确保支付安全。在这个分层体系中,芯片技术、标记化技术是第一层,是针对银行账户的安全措施,回答“这是否是一个真实的银行账户”的问题;身份识别技术是第二层,是针对持卡人的安全措施,回答“你是不是你自己所声称的你”的问题;安全网络、IQ系列是第三层,是针对支付交易的安全措施,回答“交易的信息是否符合以往交易的模式和规律”的问题。
据记者了解,针对第二层,今年10月,万事达卡在欧洲推出了一个全新的支付技术应用,用指纹或面部等生物识别方式来代替传统的密码识别方式以验证持卡人身份,该应用预计在2017年将推广至全球。万事达卡对消费者的调查结果显示,92%的消费者认为这种认证比密码更方便,92%的消费者认为这种方式比密码更安全。而在第三层,万事达卡今年也推出了IQ系列产品,其核心在于万事达卡通过数据库对持卡人历史行为进行分析,并对当下的支付交易风险进行评估,旨在不降低安全指数的同时减少交易被错误拒绝的次数。
“没有一种技术和手段能够阻止所有的欺诈,但是可以通过运用多种技术手段,构建一个安全支付的生态体系,以大大提高欺诈的成本。这实际上才是反支付欺诈的目的。”鲍勃·雷尼称。记者 张莫