中金国盛聂丽琴:移动支付相关检测认证探索
移动支付网2013/4/21 20:37:23

  4月18日,2013中国移动支付产业论坛在北京召开,移动支付网作为本届论坛合作媒体进行全程报道。北京中金国盛认证有限公司副总经理聂丽琴参加“主题论坛:移动金融与电子商务”时表示,为了促进移动支付的快速健康发展,应该将检测认证纳入我们国家的认证认可体系进行规范管理,建立统一标准、统一认证,并且以利益相关方实施主体的第三方检测认证体系,这是非常必要的。原稿如下:


北京中金国盛认证有限公司副总经理聂丽琴

  聂丽琴:大家好!我是中金国盛,我们检测认证的中心,基于人民银行标准认证体系筹建的一家认证机构,独立第三方的按照国家认证认可制度来工作的机构。

  我今天的发言主要是谈《移动支付检测认证探索》,主要有五部分:移动支付发展现状、发展中的一些问题、一些思考,接着介绍一下国外和国内移动支付相关的标准和认证,最后是建议。

  移动支付的发展,移动支付在欧美国家的发展并不是特别的热烈,但是在日本和韩国,以及肯尼亚发展的非常好。在我国是什么情况呢?移动支付随着互联网的快速发展,以及移动互联网的快速发展和移动支付行业标准的出台,逐步目前建立起来了移动支付的生态系统,迎来了移动支付行业的快速发展期。我们认为,我国的移动支付现在的发展是两个特点:第一,现在是属于初步发展期,虽然说我们是从1999年开始,就已经有移动支付产品的试点,但是到目前十多年了,我们目前还属于初步发展期,为什么呢?这个过程中,目前各移动支付的产业各方,包括电信运营商,金融机构,终端设备的厂商,以及互联网巨头,还有第三方支付企业,现在开始根据自身的优势来布局移动支付的应用试点和市场的拓展,展开业务布局。

  目前,因为移动支付的特点就是远程和近场、线上、线下,相比远程是进入了快速高速成长期,但近场还在布局中,所以它是初步发展期。

  第二个特点,它的发展潜力和市场是巨大的,这些数据我就不再说了。现在移动支付的发展这么热烈,大家都有这么高涨的激情,就是因为它有很大的发展潜力和市场空间。

  移动支付现在发展中都有哪些问题呢?我们认为移动支付的产业快速发展,最关键要解决三个问题:第一,便捷的应用,这个现在移动支付的各提供商都在进行创新,充分发挥移动支付的线上线下天然纽带优势,实现用户的快速渗透。这就要求咱们提供移动支付服务的厂商来进行创新。

  第二,应该有明确的、稳定的商业模式,因为移动支付所涉及的产业方比较多,环节比较复杂,在这种情况下,如何形成稳定的、明确的合作模式,各种方面的利益、各种方面的投资能够有合理的安排,来共同构建起开放式的创新生态系统,将会快速的推进产业的发展。

  第三,移动支付的安全性,因为支付涉及到国家的安全和个人资金安全,对移动支付来讲也是一样,这也是移动支付的的生命线,所以要通过相应的技术和管理手段有效的降低风险,提供安全保障,才能使移动支付产业健康快速的发展。

  但是,目前确实在这几个方面还需要我们努力,去创建这样一个良好的环境。目前的问题主要有三个方面:第一,参与主题多,产业链复杂,要建立这个模式就需要主体之间的合作和协调,咱们这次论坛的主题叫竞合发展,所以还是应该有更多的合作、协调来形成稳定的商业模式。第二,相应的基础配套设施有待建立,因为移动支付属于金融行业的范畴,要建立我国金融行业支持移动支付安全可信的基础设施,包括密钥体系、密管体系,还有可信服务平台,为移动支付提供基于安全载体的各类应用发行及管理服务,实现互联互通,互联互通在金融行业提的比较多,但是在别的行业可能少一点,是因为大家可能还没有意识到这个问题。

  线上线下、国内国外,各个商业银行之间,一张卡在所有的银行、所有的支付企业是不是都可以使用?实现互联互通,有效的连接并协调各参与主体,降低移动支付的运营成本,促进移动支付的文件发展,这也很重要,这种基础配套设施的建立,也是一个很重要的问题。第三,产品服务的质量安全监管体系的完善,这也是有待完成的。

  移动支付的产品现在创新很多,发展很快,层出不穷,但是质量参差不齐。另外移动支付的核心产品,尤其像IC卡、近场支付方面的,芯片的核心产品的国产化程度比较低,安全监管的难度也比较大,所以在这种情况下,需要完善监管体系,监管体系的建立和完善才能促进移动支付的产品和服务的发展。

  标准的落地推动工作也需要建立相应的体制,这些的建立,整套安全管理体系的建立才能够建立良好的安全便捷的移动支付产品应用的环境。所以,这三个问题是摆在我们面前的需要完成的一些工作。

  我们今天探讨的话题是关于移动支付相关的检测认证,检测认证是可以辅助相应的监督管理工作的,我就介绍一下国内国外相关的检测认证工作。

  国外的相关检测认证标准,国际标准化组织下属的TC68/SC7成立了专门的工作组WG10,美国、英国、法国、德国等各国都派出了代表参加这个工作组制定标准,中国也派出了代表参加这个工作组。WG10研究制定移动支付和手机银行的标准,现在这个标准定名为ISO的12812,计划在2014年3月份完成。

  目前它的体系结构标准内容主要是侧重于应用层的接口标准,主要在6个部分。但这个标准有个特点,不包括底层的产品形态、硬件特性等等内容,主要是侧重于应用层的接口标准。它在安全方面计划是引用和参考现有的其它国际标准,我们国家像银联和中国金融电子化公司,就是我说的中金国盛是中国金融电子化公司的子公司,来制定移动支付的国际标准。

  除了这些标准之外,一些卡组织,他们也在开展相应移动支付的标准制定和检测认证工作,我简单介绍一下他们认证的工作情况。国际上针对移动支付进行检测认证活动的,目前主要有两个组织,还有一个是各组织成立的更高的一个组织,也就是VISA、万事达卡和EMVCO。VISA认证包括移动支付里常提到的安全单元、移动支付应用、发行方、应用方的可信管理服务平台等等。

  国际上这些机构他们为什么都采用这种认证呢?是因为认证有这四个方面的作用,所以在国际上是普遍的辅助管理的一种手段,主要是4个方面:1、认证是推广落实标准的一个有效手段,提升标准化水平。一个标准制订了以后,标准到底怎么落地,落地的情况怎么样考证,所以国际上各个国家都采用这种认证手段。2、它是辅助监管的手段,一个认证机构对经过它审查的机构发到认证正如以后,需要在认证证书的有效期内监督该机构,持续的满足相应认证标准的要求,所以它承担着一定的社会管理职能,可以作为一个行政监管的辅助支撑。3、认证增强被认证企业的技术管理能力,提高被认证企业的竞争力,当然还可以建立被认证企业的品牌形象。4、保障国家安全和消费者权益的有效措施,降低社会风险。我们国家在金融行业也引入了金融检测认证体系,后续我会重点给大家讲。

  下面,给大家我们国家有关移动支付相应的标准及认证的情况,2011年以来,人民银行会同工信部和国家标准化委员会等部门开展了一系列的研究工作,并且作2012年组织40多家产业、80多个专家,形成了移动支付标准编制的联合工作组。经过充分调研和技术攻关、标准研制等环节,最终形成了中国金融移动支付系列技术标准,于2012年的12月正式发布,现在就期待着标准的落地、推动。

  国内的移动支付标准制定过程中主要体现了三个关键点和两个理念:第一个关键点就是联网通用、安全可信,刚才也说了,金融行业提联网通用比较多一点,这是很重要的,为了便捷支付的。第二个特点,移动支付的标准和人民银行发布的关于金融IC卡PBOC的标准要集成,内部互相衔接一致。第三个关键点,移动支付这个标准是一个开放的标准。两个理念:第一个还是联网通用,第二个就是开放合作。

  所以,现在我国的金融移动支付标准,主要涵盖了五个内容,一个是应用基础,还有安全保障,设备,以及支付应用和联网通用五大类,总共有35项标准。

  除了中国的金融移动支付系列标准之外,我们国家的工信部也在研究制定移动支付的国家标准,据说现在的标准编制工作已经基本完成。

  我们国内移动支付的认证情况,事实上现在移动支付相关的认证检测活动在国家层面没有建立相应的认证制度,但是有一些企业级的检测认证活动在做,由产业链上游企业主导的认证,实施主体主要是像银联、电信运营商等等,他们自己制定的规范,采信自己的认证结果,这种认证发挥了一定管理和规范的作用,但是也具有一定的局限性,容易造成一些垄断。

  所以说,为了促进移动支付的快速健康发展,应该将检测认证纳入我们国家的认证认可体系进行规范管理,建立统一标准、统一认证,并且以利益相关方实施主体的第三方检测认证体系,这是非常必要的。

  下面我就简单介绍一下我们国家的认证认可框架是什么情况,刚才提到应该建立国家层面的独立第三方,纳入国家认证认可体系这个框架下的检测认证制度。我们国家1978年9月份加入ISO国际标准化组织,在01年8月29号国家认检委成立,之后在03年11月1号颁布了中华人民共和国认证认可条例,我们我国的认证认可制度就是在这个认检委不统一的协调下,依照认证认可条例运转的认证认可框架。

  认检委是我们国家认证认可制度的行政管理部门,在认证认可这个制度框架下实施认证活动的主要是认证机构,以及认证机构的认证审查人员,对他们的要求怎么来保证他的认证结果是能够达到信任的结果?这是由认检委授权国家的认可委,认可委对认证机构的能力进行认可。另外,授权CCAA也就是认证认可协会,对认证机构认证人员的能力进行认可。认证机构要从事相应的认证活动,必须得经过认检委的行政审批,并且在认证工作过程中接受认监委的管理。

  现在,因为各个行业都认识到简单的行政管理不能够完全实现对各主体的管理,所以都纷纷把认证制度纳入到了辅助行政管理的手段,来辅助行政管理。所以我们国家有个行业的认证模式,行业认证模式就是在国家认监委的统一协调下,由行业主管部门和认监委同时对相应的机构,如果涉及检测的话,有相应的检测机构进行管理,来实施相关的认证工作。

  金融行业也一样,我们为了推动金融的标准落地,提高金融行业的服务质量,维护国家的安全和公众利益,中国人民银行在金融行业引入认证认可机制,推动我国的金融标准认证体系,这是与行业的认证体系类似的。这里面要注意,认证机构和检测机构,认证机构是认证活动的主体,因为认证的对象有三类:一类是产品,比如说像芯片,一类是服务,比如说移动支付的服务认证,还有一类是管理体系。比如说质量管理、信息安全管理、信息服务管理,等等这些管理体系。当涉及到对产品或者服务认证的时候,可能会涉及到相应的检测活动,这时候就会有相应的检测机构来实施相应的检测工作。

  金融标准认证体系给大家介绍一下,金融标准认证体系的建立,其中最核心的机构就是认证中心,将认证中心依据标准实施认证,作为行业标准落地和辅助监管的手段,认证中心应该是可控、可管理的认证机构。中金国盛就是金融行业唯一的一家独立的第三方认证机构,它一方面是为监管部门,也就是比如人民银行,履行相应的行业职能管理服务,展开一些行业强制性的认证,比如说目前对第三方支付机构认证措施的认证。另外一方面,为金融行业品牌建设和核心竞争力服务,依据国家标准和行业标准开幕一些认证工作,这是中金国盛的主要职责。

  目前,中金国盛所实施的认证工作主要是服务认证,它的名字叫非金融机构支付业务设施技术认证,这项认证是经过认监委批评,把它定位为一种服务型的认证。目前,该认证已经颁发了一百多张证书,比如像易宝支付、快钱、银联商务都是获认机构。整理受理审查中的有20多家机构,比如像支付宝等等机构。非金融机构认证是体系里面第一项认证工作,它有两个级别:一级是这样的认证标志,二级是这样的认证标志。

  最后,移动支付认证制度的建立,我们正在研究中。我们是依据市场运作的原则,利用已有的检测认证基础建立相应的认证制度,会找到相应的切入点、薄弱环节和关键环节,包括TSM及芯片安全。见溺移动支付认证制度并逐渐完善,目的是为了促进标准的落地,为移动支付的应用和互联互通,和移动支付在国内的快速发展贡献力量,谢谢大家!


展开全文
相关阅读
资讯查询取消