几个月前,人民银行发布了有关规范银行卡交易报文管理、加强银行卡受理终端注册管理、强化银行卡受理终端产品质量管理、加大银行卡受理终端支付风险防控力度等内容的文件——《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发[2017]21号)。值得注意的是,央行21号文将有两条重要的规定于6月1日当天正式实行。
①为强化银行卡受理终端产品质量管理,各商业银行、支付机构必须使用符合国家标准及金融行业标准的受理终端。自2017年6月1日起,应选用通过国家管理部门认可的机构检测认证的受理终端。使用质量不合格、不符合标准的受理终端导致客户信息泄露或资金损失的,商业银行、支付机构应依法承担相应赔偿责任。
②为加大银行卡受理终端支付风险防控力度,自2017年6月1日起,银行卡清算机构每日日终对受理终端注册数据与交易报文数据,结合受理地区、受理机构编码、商户编码、终端编码、终端序列号、交易活跃度等对终端信息的真实性、一致性进行校验,并向相关单位反馈校验结果。除此之外,人民银行也要求银行卡清算机构会同成员机构利用大数据分析技术,有效鉴别移机、切机、二清、套码等违规行为。
从21号文中不难看出,人民银行对目前的银行卡受理终端环境并不满意。而事实上,目前支付终端也确实存在诸多问题。
首先,支付终端产品良莠不齐。个别支付终端厂商片面追求短期利益,忽视产品利益。成品供应过程中,偷工减料、以次充好。致使不合标准的支付终端流入市场,造成支付终端市场鱼目混杂,产品质量良莠不齐。使得产品本身的安全质量风险转移到支付领域,加剧了信息泄露和资金安全的风险。POS终端、ATM植入木马病毒等问题,反映出支付受理终端密钥重制、恶意代码防范等管理规定,落实不到位,存在一定的问题,扰乱了受理终端的市场秩序,影响了受理终端的整体安全水平。
其次,终端管理不完善。部分收单机构为了追求市场份额,重部划、轻管理,导致支付受理终端安全管理存在较大安全隐患。在终端申领环节,收单机构对特约商户资质审核不严,对商户业务范围终端使用情况缺乏实际的调研和审查,形成了特约商户管理的真空地带,使别有用心的人轻易地迈入了支付的大门;在终端安装环节,由于收单业务层层转包,违规分包,收单机构难以对其工作质量和过程实施有效管理,对准入特约商户的终端安装、调试、激活等环节缺乏全流程的跟踪核实,使违法改装的终端设备轻松投入使用;在终端使用环节,收单机构安全意识薄弱,对终端密钥等敏感信息管理不严,缺少常态化的跟踪、巡检制度,导致未能及时发现并惩处违规的行为,给支付安全埋下隐患。
第三、支付交易报文不规范。电信网络欺诈事件频发,严重侵害人民财产安全,而支付交易报文的关键要素缺失、伪造和篡改,造成欺诈交易难以追受,增加了追缴赃款的难度。在报文完整性方面,部分商业银行、非银行支付机构没有按要求严格执行技术标准,在交易报文中填写终端编码,商户编码等关键信息,导致交易场景难以被准确刻画;在报文真实性方面,部分收单机构为追求利益,伪造报文要素,存在移机、切机、二清、套码等违规行为,使商户和消费者的合法权益受到侵害;在报文安全方面,由于硬件设备、技术条件等因素的限制,部分支付受理终端未能采取加密技术,安全芯片等手段,难以保护交易报文不被篡改,给不法分子以可趁之机。
关联业务系统合规性不够,也是当前支付受理终端存在的一大问题。
首先,业务系统违规留存支付敏感信息。《关于进一步加强银行卡风险管理的通知》中明确要求,严禁留存非本机构的支付敏感信息。然而对数据的过分追求,或者系统设计不当,部分机构违规留存大量敏感信息和磁条卡信息,给资金安全带来了较大的隐患。
其次,业务系统存在安全漏洞。在研发、测试过程中,由于架构设计、代码质量、测试水平等因素,系统或多或少的存在安全漏洞。不法分子利用这一漏洞和风险点,实施网络入侵,进行拖库、撞库等攻击。
最后,业务逻辑设计存在缺陷。由于在构建业务模型、抽象业务逻辑等环节考虑不充分、设计不合理,系统在业务流程、交易验证、风险控制等方面存在瑕疵,引发支付安全隐患。以芯片卡交易验证为例,部分境外刷卡机构,没有按标准对芯片卡应用密文进行全面的核验,未采用动态验证技术,导致客户资金被盗刷。
因此,人民银行对清算机构、商业银行、支付机构(收单)提出了更为具体的要求。
为贯彻21号文,中国银联编制了《加强支付受理终端规范化管理技术实现方案》、《销售点POS终端应用规范终端唯一标示技术方案》、《中国银联终端管理系统上送终端硬件系列号密钥文件的技术开发方案》等等相关的技术方案、标准和发开文档。
商业银行、支付机构则需建立健全的受理终端产品质量管理体系并形成制度备查。产品选型、验收、现场检查等环节都要加强安全管理。禁止将终端密钥生成和管理工作外包,不具备练级激活重置功能的终端于6月底前要完全升级。恶意篡改终端信息的商业银行和支付机构将会被纳入清算协会、清算机构的黑名单管理。
不管怎样,人民银行的大手已伸到这一领域。首当其冲的,自然是存市的那一批不合规的支付终端了。在原本就激烈的终端厂商竞争中,监管收紧是好事还是坏事呢?倒是不久前和一位POS行业人士闲聊时,得知一些国内的厂商慢慢将重点放到海外去了。
展开全文
- 移动支付网 | 2017/6/5 9:08:07
- 移动支付网 | 2017/2/23 16:12:07
- 移动支付网 | 2022/9/1 18:04:23
- 移动支付网 | 2022/8/29 17:50:56
- 移动支付网 | 2022/8/4 15:10:04
- 移动支付网 | 2022/8/2 17:59:09
- 移动支付网 | 2022/7/13 17:07:54
- 移动支付网 | 2022/6/7 14:34:49
- 移动支付网 | 2022/5/17 17:26:39
- 移动支付网 | 2022/5/13 17:27:03
- 移动支付网 | 2022/5/12 10:59:19
- 新浪科技 | 2022/1/27 14:44:29
- 移动支付网 | 2022/1/10 19:12:31
- 移动支付网 | 2021/12/1 18:39:56
- 移动支付网 | 2021/10/28 18:54:51