銀聯將建立支付受理終端POS注冊管理平臺
采寶2017.03.28 10:17:00來源:本站收錄
采寶支付了解: 近日,央行科技司司長李偉在一次研討會上做了關于支付終端管理的發言,中國支付網獨家整理了此次發言的干貨。李偉在肯定支付行業創新發展的同時,也提出了目前支付終端在系統漏洞、規范性等方面存在諸多問 ...
近日,央行科技司司長李偉在一次研討會上做了關于支付終端管理的發言,中國支付網獨家整理了此次發言的干貨。
李偉在肯定支付行業創新發展的同時,也提出了目前支付終端在系統漏洞、規范性等方面存在諸多問題,并針對這些問題提出了三大舉措。
李偉在會議現場表示,央行將加強對支付受理終端的技術管理,并將督促清算機構盡快建立終端注冊管理平臺,并采取清算機構、商業銀行、支付機構、終端廠商多方聯動的模式,共筑支付防線。
支付終端存在諸多問題
李偉在會議現場首先介紹了支付終端在產品管理方面和關聯業務系統合規性方面存在的問題。
在產品管理方面,隨著掃碼等支付受理終端新形態不斷涌現,推動了支付創新發展,提升了支付用戶的體驗,但也產生了相應的問題。
第一,支付終端產品良莠不齊。
個別支付終端廠商片面追求短期利益,忽視產品利益。成品供應過程中,偷工減料、以次充好。致使不合標準的支付終端流入市場,造成支付終端市場魚目混雜,產品質量良莠不齊。使得產品本身的安全質量風險轉移到支付領域,加劇了信息泄露和資金安全的風險。
近期發生的POS終端、ATM植入木馬病毒等問題,反映出支付受理終端密鑰重制、惡意代碼防范等管理規定,落實不到位,存在一定的問題,擾亂了受理終端的市場秩序,影響了受理終端的整體安全水平。
第二,終端管理不完善。
部分收單機構為了追求市場份額,重部劃、輕管理,導致支付受理終端安全管理存在較大安全隱患。
在終端申領環節,收單機構對特約商戶資質審核不嚴,對商戶業務范圍終端使用情況缺乏實際的調研和審查,形成了特約商戶管理的真空地帶,使別有用心的人輕易地邁入了支付的大門。
在終端安裝環節,由于收單業務層層轉包,違規分包,收單機構難以對其工作質量和過程實施有效管理,對準入特約商戶的終端安裝、調試、激活等環節缺乏全流程的跟蹤核實,使違法改裝的終端設備輕松投入使用。
在終端使用環節,收單機構安全意識薄弱,對終端密鑰等敏感信息管理不嚴,缺少常態化的跟蹤、巡檢制度,導致未能及時發現并懲處違規的行為,給支付安全埋下隱患。
第三、支付交易報文不規范
近期,電信網絡欺詐事件頻發,嚴重侵害人民財產安全,而支付交易報文的關鍵要素缺失、偽造和篡改,造成欺詐交易難以追受,增加了追繳贓款的難度。
在報文完整性方面,部分商業銀行、非銀行支付機構沒有按要求嚴格執行技術標準,在交易報文中填寫終端編碼,商戶編碼等關鍵信息,導致交易場景難以被準確刻畫。
在報文真實性方面,部分收單機構為追求利益,偽造報文要素,存在移機、切機、二清、套碼等違規行為,使商戶和消費者的合法權益受到侵害。
在報文安全方面,由于硬件設備、技術條件等因素的限制,部分支付受理終端未能采取加密技術,安全芯片等手段,難以保護交易報文不被篡改,給不法分子以可趁之機。
關聯業務系統合規性不夠,也是當前支付受理終端存在的一大問題。
首先,業務系統違規留存支付敏感信息
《關于進一步加強銀行卡風險管理的通知》中明確要求,嚴禁留存非本機構的支付敏感信息。然而對數據的過分追求,或者系統設計不當,部分機構違規留存大量敏感信息和磁條卡信息,給資金安全帶來了較大的隱患。
其次,業務系統存在安全漏洞
在研發、測試過程中,由于架構設計、代碼質量、測試水平等因素,系統或多或少的存在安全漏洞。不法分子利用這一漏洞和風險點,實施網絡入侵,進行拖庫、撞庫等攻擊。
最后,業務邏輯設計存在缺陷
由于在構建業務模型、抽象業務邏輯等環節考慮不充分、設計不合理,系統在業務流程、交易驗證、風險控制等方面存在瑕疵,引發支付安全隱患。以芯片卡交易驗證為例,部分境外刷卡機構,沒有按標準對芯片卡應用密文進行全面的核驗,未采用動態驗證技術,導致客戶資金被盜刷。
五大舉措加強支付受理終端技術管理
針對以上支付受理終端存在的問題,人民銀行將從以下幾個方面,加強支付受理終端技術管理。
第一,加強支付受理終端注冊管理。
針對部分入網受理終端存在的非法改裝,不符合標準等問題,下一步,將加快建立終端注冊管理機制。
把合法合規的終端全部備案在冊,已注冊信息與交易信息的對比分析結果作為限制、拒絕可疑交易的風控策略依據。提升支付受理終端的安全性和可控性。
清算機構要盡快建立終端注冊管理平臺,全面采集支付受理終端的收單機構編碼、商戶編碼、終端序列號、布放時間、地理位置等信息,提高欺交易追收時效和成功率。
商業銀行、支付機構要嚴格按照21號文件的要求,在終端注冊管理平臺,準確登記ATM、POS等終端入網信息,確保終端的合法性。
終端廠商也要不斷提高研發能力,運用密碼識別技術,將終端序列號和密鑰置于終端安全模塊,切實防范終端信息被非法控制和篡改。
第二,加強支付受理終端的報文規范。
為防范因報文要素缺失而導致欺詐風險,后續將進一步督促支付產業各方嚴格落實相關技術規范和要求,全面加強支付指令的安全管理。
在報文上送環節,商業銀行、支付機構要在交易報文中準確填寫終端編碼、受理機構編碼、終端序列號等要素,采用數字簽名,加密傳輸、密碼識別等技術,保障支付指令的可追溯性。
在報文傳送環節,商業銀行、支付機構要從首付款方商鋪、渠道、訂單等方面,完整刻畫真實交易,準確記入交易發起方、接受方、網絡路由等信息,確保支付指令的一致性。
在報文驗證環節,清算機構、商業銀行、支付機構要按照文件的要求,按時完成關聯系統的改造升級,嚴格驗證交易報文要素的真實性和完整性,及時識別并防控異常交易。
第三,加強支付受理終端產品管理。
保障支付受理終端符合標準、質量合格是當前加強支付安全管理,防范電信欺詐的工作重點。央行將會同質量監督管理部門,加強支付受理終端的產品質量管理,構筑終端產品與支付業務之間風險的防火墻,切斷產品質量風險。
商業銀行、支付機構要從產品選型、驗收、現場檢查等環節加強質量控制,確保受理終端符合相關技術標準,不得將終端密鑰、管理交由外包服務機構辦理,嚴禁采用脫機密鑰激活方式違規重置終端。
檢測認證機構要充分發揮對質量把控的作用,嚴格依據相關標準規范對終端產品實施檢測認證,保證其標準的符合性和安全性。
清算機構要會同成員機構積極采取入網終端簽名,唯一性標識等基礎措施,強化終端入網管理,嚴禁未通過檢測認證的終端入網使用。加快建立定期巡檢制度,持續開展終端抽檢工作。
終端廠商要按照國家和金融行業相關標準要求,設立生產支付終端產品,及時開展產品外部安全評估,保障產品的質量安全。
第四,加強手機客戶端軟件的安全管理。
手機APP作為線上銀行卡的交易入口,對保障支付安全同樣至關重要。下一步要加大對手機APP的安全管理力度,將手機APP的風險排查常態化、制度化。對發現安全隱患實施清單管控,不斷提升安全防護能力,規范引導移動客戶端軟件在金融領域的正確使用。
商業銀行、支付機構、清算機構要從木馬病毒防范、信息加密保護、運行環境可信等方面,全面提升手機APP的風險防控水平。對手機APP及官方網站設置可信標識或快捷入口,并通過多種渠道告知客戶正確的識別、防范和使用方法。
監測認證機構要重點關注手機APP在交易數據邏輯、敏感信息保護、抵御外部攻擊等方面的防護措施,協助督促相關機構來提升手機APP的標準和安全水平,促進移動支付服務質量持續提升。
第五,利用大數據分析增強風險防范能力。
下一步將利用大數據的分析技術,建立健全風險防控體系,主動識別異常交易,動態部署針對高風險交易的精準防控策略,切實保護客戶的資金安全。
事前,清算機構要加快建立大數據分析校驗平臺,結合支付受理終端注冊管理,進一步完善風險管理機制
事中,清算機構要會同成員機構利用大數據的分析技術,于每日日中核對支付受理終端注冊數據與交易報文數據,結合受理地區交易活躍度等交易特征數據,核驗交易終端的真實性、一致性,有效鑒別移機、切機、二清、套碼等違規行為。
事后,商業銀行、支付機構要對存在異常交易的終端和商戶進行核實,采取風險提示,延時結算、拒絕服務等風險防控措施。
支付資訊:聚合支付覺醒 進軍中國移動支付市場
