央行推“支付標記化”技術堵截防盜

今年以來，監(jiān)管層加緊了對支付業(yè)務的監(jiān)管。一位支付行業(yè)人士向北京商報記者透露，央行近日下發(fā)了《關于加強銀行卡風險管理的通知》（以下簡稱《通知》），要求各商業(yè)銀行、第三方支付公司在今年底要使用支付標記化技術進行交易數據處理?！锻ㄖ芬庠诩訌娭Ц督灰仔畔⒈Ｗo，保障支付安全。

按照央行要求，各商業(yè)銀行、支付機構在今年9月1日前，應采取措施加強支付敏感信息內控管理并開展自查，在12月1日起全面實行支付技術標記化技術處理數據。

支付標記化（Payment Tokenization）技術是由國際芯片卡標準化組織EMVCo于2014年正式發(fā)布的一項最新技術，原理在于通過支付標記（token）代替銀行卡號進行交易驗證，從而避免卡號信息泄露帶來的風險。

蘇寧金融研究院高級研究員薛洪言表示，與傳統(tǒng)基于卡號的交易傳遞過程相比，支付標記化方案替代了原始卡號和有效期，根本上杜絕了敏感信息泄露的可能。同時，通過域控屬性限定交易場景，既便支付標記本身被泄露，其影響范圍也大大降低。此外，收單機構還可以借助支付標記的擔保級別實現對交易風險的控制，進一步降低風險。

值得注意的是，央行還提出，自2016年11月1日起，各商業(yè)銀行基于銀行卡與支付機構、商業(yè)機構建立關聯業(yè)務時，應嚴格采用多因素身份驗證方式，直接鑒別客戶身份，并取得客戶授權。

這一條也受到第三方支付機構的關注，監(jiān)管層所提到的“關聯業(yè)務”在實際操作中是指快捷支付。事實上，由于快捷支付沒有驗證銀行卡密碼，不需要U盾、口令或網銀，安全隱患較大，近年來，因快捷支付帶來的盜刷問題也屢屢發(fā)生。

薛洪言指出，當前快捷支付普遍采用交易密碼的單因素驗證手段，《通知》要求除交易密碼外，還需要增加數字證書或動態(tài)口令牌等驗證手段?！锻ㄖ仿涞睾螅旖葜Ц兜目旖菪钥赡苌允苡绊?，比如從輸入一個密碼變成輸入兩個密碼，但不存在被叫停的風險。

今年6月，工行手機銀行就推出了新功能，用戶可通過App自助查詢銀行卡綁定了哪些第三方支付平臺，且可自助注銷其中不常用的快捷支付。

“央行此次的要求又是一塊檢驗第三方支付機構是口頭擁抱監(jiān)管還是行動擁抱監(jiān)管的試金石”，恒豐銀行研究院執(zhí)行院長董希淼表示，關鍵在于銀行和第三方支付落實情況。

在去年底央行發(fā)布的《非銀行金融機構網絡支付業(yè)務管理辦法》就明確要求加強支付的多重身份驗證，但執(zhí)行情況并不樂觀，目前，快捷支付的隱患依然存在。但在薛洪言看來，“支付標記化技術”和快捷支付的新規(guī)符合各方利益，推行的阻力不大。

而央行此次也強調要加大處罰力度。《通知》強調，要嚴查銀行卡受理終端改裝、支付交易驗證強度低、系統(tǒng)存在安全漏洞及受到網絡攻擊等造成的支付服務中斷、支付敏感信息泄露、資金損失事件，并按照有關規(guī)定從嚴處罰。對于違規(guī)情節(jié)嚴重者，將處罰有關高管；對于違規(guī)情節(jié)嚴重的支付機構，還將按照有關規(guī)定調低分類評級機制直至注銷《支付業(yè)務許可證》。