支付清算协会《提倡书》解析:加强信息安全和终端管理


来源:移动支付网    2016-8-1 17:14

  日前,为进一步加强银行卡敏感信息安全管理,规范终端机具使用,提升支付风险防控能力,维护银行卡产业及支付清算行业健康发展环境,中国支付清算协会向从事银行卡发卡、收单、转接清算等业务的会员单位发布了《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》。移动支付网注意到,该文件和此前曝光的《中国人民银行关于进一步加强银行卡风险管理的通知》内容高度相似。

  文件内容主要聚焦两方面,一是加强支付敏感信息的管理,二是加强硬件终端的管理。另外,整个文件对移动支付产业也将有着深远的影响。

  加强支付敏感信息的管理

  无论是前不久央行发布的文件,还是中国支付清算协会本次发布的倡议书,都在强调支付敏感信息的保护和管理。移动支付网通过对众多盗刷案例的观察,资金安全问题很大程度上就是账户敏感信息的安全。几乎所有木马病毒、诈骗短信以及各式欺诈手段都是为了获得账户信息,进而实施资金盗取。中国支付清算协会从支付机构的内部管理、技术手段、用户身份认证等方面均作出具体要求,保障账户敏感信息的安全。至于收单外包机构,一直都是许多信息泄露的根源所在,收紧监管是业界普遍看法,本次倡议书也是严格指明了外包服务机构不得留存敏感信息,在安全评估和违规处理方面也更加严格。

  值得一提的是,按照文件的要求支付机构通过获取敏感信息来实现大数据变现将变得“束手束脚”,但是政策的执行度如何还需打上一个问号。由于严禁留存非本机构的支付敏感信息的要求,支付企业的用户体量越大优势也越大。

  条例原文参考:《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》第一、四、五、七条。

  关于终端管理:收单外包老大难

  本次中国支付清算协会文件的另一大内容是对终端的要求,从收单机构、收单外包机构、商户等各个层面都有较为详细的要求。

  目前市场上的终端硬件厂商非常多,产品质量良莠不齐,规范意味着收单机构挑选合作厂商将更加严格。另一方面,银联在终端认证上也会收紧,小作坊厂商的生存空间越来越小,随意贴牌、无认证终端机具也将得到有效管理。

  此外,外包制度一直被认为是收单乱象频发的根源所在,因此规范收单机构外包行为显得十分重要,本次倡议无论是在敏感信息保护上还是加强终端管理上都提到了外包机构。然而早期收单机构为了互相竞争占领市场,对于外包机构的管理一直都是比较松散,某种程度上也正是得益于此,我国收单行业发展相当迅速。管理着如此庞大的外包机构,监管层想让收单机构一蹴而就解决这个问题并不现实,君不见领罚单的收单机构一个接一个?

  另外一个需要特别注意的是,文件对移动终端(mPOS)的行业商户类型进行了要求,第三条第五点:“移动销售点终端(POS机)原则上只能布放于航空、餐饮、交通罚款、上门收费、移动售货、物流配送等难以通过固定收银台结算款项,确有使用需求的行业商户。”这对于mOS厂商来说可能是一个噩耗,更加严格的行业要求,一定程度上限制了mPOS的发展。

  至于商户方面的终端管理,监管上是最容易忽略的。对收单机构来说商户就是收入来源,甚至还有些收单外包机构帮忙伪造商户资质,可以说加强对商户终端的管理也意味着用更多的成本去换取更少的收益。因此商户方面的监管将最难落实,也许比对收单外包机构的管理还难。

  条例原文参考:《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》第三、六、七条。

  对移动支付的影响

  整个文件对移动支付领域的影响也依稀可见,如第四条第一点,对Token技术的强调,迎合了目前央行、银联、银行对Token技术的热衷,有利于Token技术在移动支付领域的发展。第三、四点,要求加强网络支付风控,以及客户端APP的安全。这对于各类移动钱包来说,是一个提醒,不能过于强调便捷,而忽视了安全性。

  在第八条,“提高商户的合规合法经营意识以及安全防范意识,针对犯罪分子典型作案手法开展商户安全教育工作,通过网站、微信、视频、邮件等不同渠道及时向商户普及犯罪分子最新作案手法,提高商户风险防范水平。”对于整个移动支付环境来说,应用的快速发展,却没有给消费者更多的安全提醒,以及基本的认知提示。以至于近几年,出现了诸多的盗刷事件。

  条例原文参考:《关于加强银行卡敏感信息安全管理 防范终端机具改装的倡议书》第四、八条。

  写在最后

  本次中国支付清算协会发布的文件,整体上来说,文件更加注重安全,规范市场。但无论是央行170号文件还是本次中国支付清算协会的倡议书,都面临着巨大的现实难题,具体事宜的落实是比较漫长的过程,可以说理想很丰满现实很骨感。


相关文章

月点击排行
关于本站    联系我们    手机版
Copyright © 2011-2016 移动支付网 粤ICP备11061396号-5