鲁达 小编导读:
所谓快捷,是相对于传统的网上银行支付业务而言。用户在使用网上银行进行支付时,需跳转至网银页面,并使用智能密码钥匙(USB—Key)或动态lYl令牌(Token)等硬件设备进行身份认证,方可完成支付。而用户在使用快捷支付业务时,不需开通网上银行业务,只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。节省了交易时间,降低了交易复杂度,增强了用户体验。本质上看,快捷支付属于业务模式创新的产物,但其实现机制、风险表现形式等均与信息技术密不可分。本文从技术管理的角度,分析当前支付机构在快捷支付业务中面临的主要问题,并提出了技术管理策略。
快捷支付业务典型模式
支付机构所推出的快捷支付业务模式主要分为两大类,分别以支付宝快捷支付与银联在线快捷支付为代表。两种模式都属于网络支付业务的范畴,且存在一些相似之处,但在认证方式及实现机制等方面存在细节上的差别。
一)支付宝快捷支付模式
支付宝的“快捷支付”业务是一种简化的网络支付业务。用户在首次申请使用该业务时。将支付宝的个人账户与银行账户信息、身份信息、手机号码等进行绑定。通过互联网实现支付机构和银行对用户身份的双重认定。业务开通后,用户在使用快捷支付工具进行支付时.只需输入支付宝个人账户与支付密码即可实现身份认证。用户身份得到确认后,支付宝向银行支付网关提交支付指令,银行则根据支付指令,将用户银行账户内的资金转入收款人指定账户,完成支付流程。
二)银联在线快捷支付模式
银联在线提供的“快捷支付”业务依托于中国银联运营的银行卡跨行转接系统.将收单业务从线下拓展到线上。面向网上商户,通过无卡支付平台为持卡人提供便捷的服务。用户申请开通快捷支付业务时。应先完成“认证支付”的步骤,即将银行卡信息和手机号码通过银联在线平台传输给发卡行,验证用户身份。发卡行在确认用户身份的有效性后,用户便可在银联在线平台完成注册.开通快捷支付业务。业务开通后,用户在发生支付行为时,输入平台注册信息便可实现银行卡线上支付。支付环节通过银行卡跨行转接系统实现,属于银行卡线上收单业务模式。
快捷支付业务改变了传统的网络支付方式.是一种全新的支付理念。与商业银行的网上银行业务和支付机构的其他支付方式相比,
快捷支付具有如下特征。
一)一次认证。重复使用
快捷支付业务具有“一次认证,重复使用”的特征。“一次认证”。即用户在首次申请该业务时.需要支付机构与开户行双方通过手机号码、有效身份证件种类及号码、银行账户等信息共同完成用户户身份认定。“重复使用”,即该业务开通后,用户发生支付行为时.不需要重复首次申请时较为繁琐的身份认证环节,只需输入支付平台注册信息进行校验后即可实现支付。快捷支付业务模式节省了交易时间.增强了用户体验,适于在互联网小额支付领域应用。
二)有利于实名制认证信息的可获得性
在推出快捷支付业务之前,支付机构扮演的是网上支付的中介角色.主要履行持卡人在线购物时的转接支付职能,起到帮助商业银行拓展线上支付渠道的作用。而快捷支付业务模式把银行的服务界面(网上银行)屏蔽在客户的支付流程之外,银行只扮演“账房先生”的角色。被动地处理来自支付机构的指令,不再认证用户的身份,不再掌握用户的支付行为。银行从用户支付结算的前台,退到了代理第三方清算的后台,银行支付服务渠道的优势不断被弱化。快捷支付业务这种服务模式使大量的银行实名认证用户资料流入了支付机构,而支付机构通过与多家银行合作,聚合了不同银行的实名认证资料,产生了海量的金融数据资产,这些信息将有助于支付机构进行更深层次的数据挖掘。
三)为移动快捷支付业务发展创造条件
随着移动通信技术的高速发展和智能终端的El益普及,以快捷支付为代表的各类支付应用(pay—ment application)已不仅仅局限于在互联网终端上使用,个人移动终端作为支付应用的新型载体正逐渐被用户接受。快捷支付业务不受网上银行业务的各种安全政策所限制.用户在使用快捷支付业务时不需要插人USB—Key之类的硬件设备进行身份认证.可使用不同操作系统和浏览器,因而可扩展到移动终端上应用,这为支付机构进入移动远程支付领域奠定了基础。
快捷支付面临的安全问题
快捷支付在给客户带来方便、快速服务的同时,也面临着支付安全方面的问题。快捷支付所面临的
安全问题主要来自于以下几个方面。
一)支付环节身份认证强度较弱
在快捷支付业务模式下,除了首次认证外,支付环节基本采用用户名加密码的身份认证方式实现支付,这是一种基于“what you know”的验证手段。由于密码是静态数据,在验证过程中需要在计算机内存中和网络中传输,易被驻留在计算机内存中的木马程序或网络中的监听设备截取。在涉及资金交易的快捷支付环节中,这类验证方式认证强度较低,支付口令一旦被盗取,将会带来资金转移的风险。相比而言,商业银行的网上银行业务多采用基于USB—Key的身份认证技术,USB—Key内置单片机或智能卡芯片,存储用户的密钥或数字证书,利用其内置的非对称密码算法实现用户与商业银行之间的身份认证。用户在使用网银进行支付时,需要插入硬件设备完成身份认证。虽然流程比快捷支付略微繁琐,但认证强度较高,可靠性更强。快捷支付跳过了商业银行围绕网上银行业务所设置的这些安全措施,安全性上打了一定折扣。
二)敏感信息存储与传输存在泄露风险
基于快捷支付的业务流程,支付机构和商业银行在进行快捷支付签约时,银行将通过银行网点面签获取的客户真实资料和敏感信息发送给支付机构,共同完成实名身份核验。在获得海量银行的完整客户和账户信息之后,支付机构如在未经客户授权的情况下,将信息挪作他用,将带来严重的法律风险和用户信息泄露隐患。另外,互联网环境下,支付机构将支付指令传输至银行或银联的过程中,存在信息泄露的风险。在支付行为发生时,付款人通过支付机构向开户银行提交支付指令,将银行账户内的货币资金转入收款人指定账户。支付指令中应包含付款人名称、银行账户号、交易金额、客户有效身份证件种类和号码等敏感信息。支付机构将支付指令传输至银行支付网关的过程中.可能存在信息泄露的风险。
三)支付应用的可靠性难以认定
无论在互联网终端还是个人移动终端,支付应用的安全性都需要得到有效保障。在互联网支付领域,支付机构通常用浏览器//11~务器(Browser/Ser.模式为用户提供支付服务,用户只要正确输入支付应用的网址,即可有效避免钓鱼网站,防止支付账户及密码等敏感信息被盗取。而在移动支付领域,支付应用往往是以应用软件(APP)的形式发布在某个应用平台上,用户通过移动互联网从应用平台上将软件下载到个人终端上使用,常见应用发布平台如苹果的App Store、谷歌的Google Play Store等。在当前移动智能终端恶意软件和山寨应用在一定范围存在的情况下。用户往往难以采取有效的技术手段判断应用软件是否安全可信。特别是在涉及资金交易的支付应用领域,用户一旦下载到恶意软件,敏感信息将面临被盗取风险。针对快捷支付业务的特征与信息安全问题,可采取强化用户身份认证机制、保障信息传输安全、完善风险防控系统建设、在应用提供方和发布方之间建立互信机制等策略.确保资金交易的可靠性,降低业务风险。
一)强化用户身份认证机制
针对快捷支付业务中用户名加密码的身份认证方式,建议采用双因子认证机制以增加认证强度。
双因子认证(2FA)是指结合密码以及实物(包括手机短信、令牌或指纹等生物标志)两种条件对用户进行认证的方法.广泛适用于互联网支付业务领域。快捷支付业务中.在用户名加密码身份认证方式的基础上,可增加手机短信验证环节辅助认定用户身份。用户在输入用户名和密码的基础上,还需要输入支付机构通过手机短信平台发给用户的验证码进行校验,方可完成支付。这种方式较为简便,在不影响用户体验的前提下增加身份认证的强度.确保资金交易的可靠性。
二)保证敏感信息安全
作为支付服务渠道提供方,支付机构与商业银行通信过程中,应采取有效的安全措施,保护支付指令及所附信息的安全传输,确保支付信息的完整性和可靠性,防止客户信息泄露、支付指令被篡改。一方面,支付机构与商业银行双方应对支付指令的数据格式与接口进行规范,保证信息的完整可靠,减少数据二次解析的成本:另一方面,可考虑在支付机构与商业银行专用的数据传输线路上部署硬件加密设备,以保证数据的安全性。
三)完善风险防控系统建设
除传输过程以外,用户的敏感信息在支付机构内部存储和处理时,同样存在泄露及非法篡改的风
险,因此,支付机构应建立完善的风险防控系统以规范和审计内部人员的日常操作。建立完备的风险防控系统,一方面,要与支付业务处理系统进行联动,密切关注支付信息在传送、处理、存储、使用等过程中数据完整性和可靠性的变化。防止支付信息被非
法篡改,关注可疑商户及可疑交易;另一方面,审计支付机构内部人员的日常操作。及时发现并制止任何导致支付信息被篡改的行为。
四)在支付应用提供方与发布方之间建立互信机制
针对快捷支付业务应用于移动智能终端的情况.必须采用有效的技术手段促进应用提供方与发布方之间建立互信机制。通常,应用提供方一般是软件开发人员,支付应用则多是由支付机构所提
供;应用发布方针对手机用户提供软件下载服务,可以是智能终端生产厂商旗下的应用商店,如苹果的App Store,也可以是一些知名软件服务提供商的应用平台.如百度的“百度应用开放平台”。以苹果App Store模式为例,应用发布方为应用提供方提供了方便与高效的软件下载平台,适应了移动智能终端用户对个性化软件的需求,也充分调动了软件开发者的积极性,从而推动了手机软件业的发展。为保障应用的安全可信,应用提供方和应用发布方要建立相互信任的合作模式。一方面,应用发布方将某个应用软件纳入平台前.应采取技术手段对应用软件本身进行安全性检测。判断其是否携带木马程序,对于涉及用户账户信息的支付应用,还应对应用提供方的合法身份予以鉴别,判断其是否为已获中国人民银行支付业务许可证的支付机构;另一方面,应用发布方也可以根据实际情况。针对手机用户开发并发布基于各类操作系统的安全控件,在移动互联网环境下保障用户信息安全。
加微信:tpnews,了解更多支付界讯息~