印度电子信息部质询NPCI,牵扯WhatsApp支付数据安全
白鲸出海 | 2018-06-29 14:29

近期,MeitY(印度电子信息部)再次上呈一纸文书,矛头直指WhatsApp的数据存储政策。印度电子信息部对此事相当重视,并写信给印度国家支付公司NPCI询问此事。WhatsApp是Facebook旗下的全球通讯应用程序,该应用计划于本月在印度正式上线,不过有关该App电子支付服务的更多详细信息还在测试当中。

早前,MeitY就曾因WhatsApp的支付服务问题向NPCI寻求解释。两位了解细节的官员透露,MeitY本次写信的目的是为了询问美国服务的数据存储政策以及用户数据与母公司共享方式的细节。这封信件的副本已经被送至印度储备银行。

除了表达对用户数据管理方面的担忧,MeitY还指出WhatsApp没有遵从印度中央银行的要求,缺少规范的双重认证程序。

尽管NPCI已经就MeitY四月的第一封信件做出回应,前文涉及的官员认为,“NPCI的表态并不十分使人信服,此次新信就是对前次的补充,指出的问题也更加直接。”

他还补充到,在第一封信被送出后,RBI就宣布了数据本地化政策,该政策要求所有支付服务供应商在印度境内的服务器上存储数据。“关键点在于印度储备银行打算如何确保印度存储数据的过程安全无误,我们要求他们对此事尽可能清晰、明确的进行回答,不要混淆视听。”

由于监管机构不允许支付公司与第三方共享用户数据,与Facebook共享的数据种类也成了外界关注的问题。“虽然NPCI已明确表态数据不应与第三方共享,但还有一些不重要的数据可以共享,我们正在咨询这些数据的分界标准。”

NPCI属于印度统一支付界面UPI的管理机构,目前政府已经向该支付公司寻求解释,不过他们并没有直接给WhatsApp或Facebook发书面文件。

WhatsApp的发言人也对ET的问题做出回应,“我们当前还处于测试阶段,不对支付问题进行表态。”不仅如此,用户不需要密码就可以打开付款申请,只有转账时才会再次用到密码,这也导致当局对WhatsApp的支付服务缺乏双重认证一事忧心忡忡。与之相反的是,像Google Tez这样的UPI应用,用户还得在登录应用和做最终交易时输入密码。

一位不愿意公布姓名的官员透露,“WhatsApp将手机上的应用程序安装看作是身份验证的第一道端口,也就是所谓的装备绑定。”

他还表示,“政府已经就各家UPI支付应用安全协议要求等级不一致的情况向NPCI咨询。”

显而易见,当用户在WhatsApp上付款时,这些指令将在Facebook安全支付基础结构的支持下,被发送给它的支付服务提供商。一位了解WhatsApp政策的官员宣称,WhatsApp上的支付信息将不会被Facebook用作商业用途。

为了提高安全性,WhatsApp还提供了两步验证功能,对于用户而言这个功能是可选的。NPCI的发言人也对ET的咨询邮件做出回应,“按照2018年3月16日发布的第15号通知,WhatsApp从提及的合规日期开始就符合NPCI的互操作性需求。”

发言人还表示,“目前,已经有三家银行通过WhatsApp连接了支付应用BHIM的UPI支付,第四家银行将在未来几周上新。”

在提到双重认证的问题时,他解释到,“BHIM的UPI服务的每笔交易都会涉及到双重认证,包括用户所有的(设备绑定)和用户认知的(UPI密码)。”不过,NPCI方面并没有对WhatsApp数据存储和数据共享计划的有关事宜做出回应。

然而,2017年9月的一份通知或许给出了答案,该通知允许应用程序在其系统上存储客户数据,同时加密UPI交易数据。通知还显示,公司应该将账户记录和客户支付身份验证数据存储在有支付服务供应资格的银行中。直到文章发表,印度储备银行RBI一直没对此事进行表态。

作者:Kyon

相关阅读
PC版  |  关于我们  |  联系我们
Copyright © 2011-2018 移动支付网
粤ICP备11061396号-5