銀聯(lián)將建立支付受理終端POS注冊管理平臺
采寶2017.03.28 10:17:00來源:本站收錄
采寶支付了解: 近日,央行科技司司長李偉在一次研討會上做了關于支付終端管理的發(fā)言,中國支付網(wǎng)獨家整理了此次發(fā)言的干貨。李偉在肯定支付行業(yè)創(chuàng)新發(fā)展的同時,也提出了目前支付終端在系統(tǒng)漏洞、規(guī)范性等方面存在諸多問 ...
近日,央行科技司司長李偉在一次研討會上做了關于支付終端管理的發(fā)言,中國支付網(wǎng)獨家整理了此次發(fā)言的干貨。
李偉在肯定支付行業(yè)創(chuàng)新發(fā)展的同時,也提出了目前支付終端在系統(tǒng)漏洞、規(guī)范性等方面存在諸多問題,并針對這些問題提出了三大舉措。
李偉在會議現(xiàn)場表示,央行將加強對支付受理終端的技術管理,并將督促清算機構盡快建立終端注冊管理平臺,并采取清算機構、商業(yè)銀行、支付機構、終端廠商多方聯(lián)動的模式,共筑支付防線。
支付終端存在諸多問題
李偉在會議現(xiàn)場首先介紹了支付終端在產(chǎn)品管理方面和關聯(lián)業(yè)務系統(tǒng)合規(guī)性方面存在的問題。
在產(chǎn)品管理方面,隨著掃碼等支付受理終端新形態(tài)不斷涌現(xiàn),推動了支付創(chuàng)新發(fā)展,提升了支付用戶的體驗,但也產(chǎn)生了相應的問題。
第一,支付終端產(chǎn)品良莠不齊。
個別支付終端廠商片面追求短期利益,忽視產(chǎn)品利益。成品供應過程中,偷工減料、以次充好。致使不合標準的支付終端流入市場,造成支付終端市場魚目混雜,產(chǎn)品質量良莠不齊。使得產(chǎn)品本身的安全質量風險轉移到支付領域,加劇了信息泄露和資金安全的風險。
近期發(fā)生的POS終端、ATM植入木馬病毒等問題,反映出支付受理終端密鑰重制、惡意代碼防范等管理規(guī)定,落實不到位,存在一定的問題,擾亂了受理終端的市場秩序,影響了受理終端的整體安全水平。
第二,終端管理不完善。
部分收單機構為了追求市場份額,重部劃、輕管理,導致支付受理終端安全管理存在較大安全隱患。
在終端申領環(huán)節(jié),收單機構對特約商戶資質審核不嚴,對商戶業(yè)務范圍終端使用情況缺乏實際的調研和審查,形成了特約商戶管理的真空地帶,使別有用心的人輕易地邁入了支付的大門。
在終端安裝環(huán)節(jié),由于收單業(yè)務層層轉包,違規(guī)分包,收單機構難以對其工作質量和過程實施有效管理,對準入特約商戶的終端安裝、調試、激活等環(huán)節(jié)缺乏全流程的跟蹤核實,使違法改裝的終端設備輕松投入使用。
在終端使用環(huán)節(jié),收單機構安全意識薄弱,對終端密鑰等敏感信息管理不嚴,缺少常態(tài)化的跟蹤、巡檢制度,導致未能及時發(fā)現(xiàn)并懲處違規(guī)的行為,給支付安全埋下隱患。
第三、支付交易報文不規(guī)范
近期,電信網(wǎng)絡欺詐事件頻發(fā),嚴重侵害人民財產(chǎn)安全,而支付交易報文的關鍵要素缺失、偽造和篡改,造成欺詐交易難以追受,增加了追繳贓款的難度。
在報文完整性方面,部分商業(yè)銀行、非銀行支付機構沒有按要求嚴格執(zhí)行技術標準,在交易報文中填寫終端編碼,商戶編碼等關鍵信息,導致交易場景難以被準確刻畫。
在報文真實性方面,部分收單機構為追求利益,偽造報文要素,存在移機、切機、二清、套碼等違規(guī)行為,使商戶和消費者的合法權益受到侵害。
在報文安全方面,由于硬件設備、技術條件等因素的限制,部分支付受理終端未能采取加密技術,安全芯片等手段,難以保護交易報文不被篡改,給不法分子以可趁之機。
關聯(lián)業(yè)務系統(tǒng)合規(guī)性不夠,也是當前支付受理終端存在的一大問題。
首先,業(yè)務系統(tǒng)違規(guī)留存支付敏感信息
《關于進一步加強銀行卡風險管理的通知》中明確要求,嚴禁留存非本機構的支付敏感信息。然而對數(shù)據(jù)的過分追求,或者系統(tǒng)設計不當,部分機構違規(guī)留存大量敏感信息和磁條卡信息,給資金安全帶來了較大的隱患。
其次,業(yè)務系統(tǒng)存在安全漏洞
在研發(fā)、測試過程中,由于架構設計、代碼質量、測試水平等因素,系統(tǒng)或多或少的存在安全漏洞。不法分子利用這一漏洞和風險點,實施網(wǎng)絡入侵,進行拖庫、撞庫等攻擊。
最后,業(yè)務邏輯設計存在缺陷
由于在構建業(yè)務模型、抽象業(yè)務邏輯等環(huán)節(jié)考慮不充分、設計不合理,系統(tǒng)在業(yè)務流程、交易驗證、風險控制等方面存在瑕疵,引發(fā)支付安全隱患。以芯片卡交易驗證為例,部分境外刷卡機構,沒有按標準對芯片卡應用密文進行全面的核驗,未采用動態(tài)驗證技術,導致客戶資金被盜刷。
五大舉措加強支付受理終端技術管理
針對以上支付受理終端存在的問題,人民銀行將從以下幾個方面,加強支付受理終端技術管理。
第一,加強支付受理終端注冊管理。
針對部分入網(wǎng)受理終端存在的非法改裝,不符合標準等問題,下一步,將加快建立終端注冊管理機制。
把合法合規(guī)的終端全部備案在冊,已注冊信息與交易信息的對比分析結果作為限制、拒絕可疑交易的風控策略依據(jù)。提升支付受理終端的安全性和可控性。
清算機構要盡快建立終端注冊管理平臺,全面采集支付受理終端的收單機構編碼、商戶編碼、終端序列號、布放時間、地理位置等信息,提高欺交易追收時效和成功率。
商業(yè)銀行、支付機構要嚴格按照21號文件的要求,在終端注冊管理平臺,準確登記ATM、POS等終端入網(wǎng)信息,確保終端的合法性。
終端廠商也要不斷提高研發(fā)能力,運用密碼識別技術,將終端序列號和密鑰置于終端安全模塊,切實防范終端信息被非法控制和篡改。
第二,加強支付受理終端的報文規(guī)范。
為防范因報文要素缺失而導致欺詐風險,后續(xù)將進一步督促支付產(chǎn)業(yè)各方嚴格落實相關技術規(guī)范和要求,全面加強支付指令的安全管理。
在報文上送環(huán)節(jié),商業(yè)銀行、支付機構要在交易報文中準確填寫終端編碼、受理機構編碼、終端序列號等要素,采用數(shù)字簽名,加密傳輸、密碼識別等技術,保障支付指令的可追溯性。
在報文傳送環(huán)節(jié),商業(yè)銀行、支付機構要從首付款方商鋪、渠道、訂單等方面,完整刻畫真實交易,準確記入交易發(fā)起方、接受方、網(wǎng)絡路由等信息,確保支付指令的一致性。
在報文驗證環(huán)節(jié),清算機構、商業(yè)銀行、支付機構要按照文件的要求,按時完成關聯(lián)系統(tǒng)的改造升級,嚴格驗證交易報文要素的真實性和完整性,及時識別并防控異常交易。
第三,加強支付受理終端產(chǎn)品管理。
保障支付受理終端符合標準、質量合格是當前加強支付安全管理,防范電信欺詐的工作重點。央行將會同質量監(jiān)督管理部門,加強支付受理終端的產(chǎn)品質量管理,構筑終端產(chǎn)品與支付業(yè)務之間風險的防火墻,切斷產(chǎn)品質量風險。
商業(yè)銀行、支付機構要從產(chǎn)品選型、驗收、現(xiàn)場檢查等環(huán)節(jié)加強質量控制,確保受理終端符合相關技術標準,不得將終端密鑰、管理交由外包服務機構辦理,嚴禁采用脫機密鑰激活方式違規(guī)重置終端。
檢測認證機構要充分發(fā)揮對質量把控的作用,嚴格依據(jù)相關標準規(guī)范對終端產(chǎn)品實施檢測認證,保證其標準的符合性和安全性。
清算機構要會同成員機構積極采取入網(wǎng)終端簽名,唯一性標識等基礎措施,強化終端入網(wǎng)管理,嚴禁未通過檢測認證的終端入網(wǎng)使用。加快建立定期巡檢制度,持續(xù)開展終端抽檢工作。
終端廠商要按照國家和金融行業(yè)相關標準要求,設立生產(chǎn)支付終端產(chǎn)品,及時開展產(chǎn)品外部安全評估,保障產(chǎn)品的質量安全。
第四,加強手機客戶端軟件的安全管理。
手機APP作為線上銀行卡的交易入口,對保障支付安全同樣至關重要。下一步要加大對手機APP的安全管理力度,將手機APP的風險排查常態(tài)化、制度化。對發(fā)現(xiàn)安全隱患實施清單管控,不斷提升安全防護能力,規(guī)范引導移動客戶端軟件在金融領域的正確使用。
商業(yè)銀行、支付機構、清算機構要從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面,全面提升手機APP的風險防控水平。對手機APP及官方網(wǎng)站設置可信標識或快捷入口,并通過多種渠道告知客戶正確的識別、防范和使用方法。
監(jiān)測認證機構要重點關注手機APP在交易數(shù)據(jù)邏輯、敏感信息保護、抵御外部攻擊等方面的防護措施,協(xié)助督促相關機構來提升手機APP的標準和安全水平,促進移動支付服務質量持續(xù)提升。
第五,利用大數(shù)據(jù)分析增強風險防范能力。
下一步將利用大數(shù)據(jù)的分析技術,建立健全風險防控體系,主動識別異常交易,動態(tài)部署針對高風險交易的精準防控策略,切實保護客戶的資金安全。
事前,清算機構要加快建立大數(shù)據(jù)分析校驗平臺,結合支付受理終端注冊管理,進一步完善風險管理機制
事中,清算機構要會同成員機構利用大數(shù)據(jù)的分析技術,于每日日中核對支付受理終端注冊數(shù)據(jù)與交易報文數(shù)據(jù),結合受理地區(qū)交易活躍度等交易特征數(shù)據(jù),核驗交易終端的真實性、一致性,有效鑒別移機、切機、二清、套碼等違規(guī)行為。
事后,商業(yè)銀行、支付機構要對存在異常交易的終端和商戶進行核實,采取風險提示,延時結算、拒絕服務等風險防控措施。
支付資訊:聚合支付覺醒 進軍中國移動支付市場
