央行推“支付標(biāo)記化”技術(shù)堵截防盜

今年以來，監(jiān)管層加緊了對(duì)支付業(yè)務(wù)的監(jiān)管。一位支付行業(yè)人士向北京商報(bào)記者透露，央行近日下發(fā)了《關(guān)于加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》（以下簡(jiǎn)稱《通知》），要求各商業(yè)銀行、第三方支付公司在今年底要使用支付標(biāo)記化技術(shù)進(jìn)行交易數(shù)據(jù)處理?！锻ㄖ芬庠诩訌?qiáng)支付交易信息保護(hù)，保障支付安全。

按照央行要求，各商業(yè)銀行、支付機(jī)構(gòu)在今年9月1日前，應(yīng)采取措施加強(qiáng)支付敏感信息內(nèi)控管理并開展自查，在12月1日起全面實(shí)行支付技術(shù)標(biāo)記化技術(shù)處理數(shù)據(jù)。

支付標(biāo)記化（Payment Tokenization）技術(shù)是由國(guó)際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年正式發(fā)布的一項(xiàng)最新技術(shù)，原理在于通過支付標(biāo)記（token）代替銀行卡號(hào)進(jìn)行交易驗(yàn)證，從而避免卡號(hào)信息泄露帶來的風(fēng)險(xiǎn)。

蘇寧金融研究院高級(jí)研究員薛洪言表示，與傳統(tǒng)基于卡號(hào)的交易傳遞過程相比，支付標(biāo)記化方案替代了原始卡號(hào)和有效期，根本上杜絕了敏感信息泄露的可能。同時(shí)，通過域控屬性限定交易場(chǎng)景，既便支付標(biāo)記本身被泄露，其影響范圍也大大降低。此外，收單機(jī)構(gòu)還可以借助支付標(biāo)記的擔(dān)保級(jí)別實(shí)現(xiàn)對(duì)交易風(fēng)險(xiǎn)的控制，進(jìn)一步降低風(fēng)險(xiǎn)。

值得注意的是，央行還提出，自2016年11月1日起，各商業(yè)銀行基于銀行卡與支付機(jī)構(gòu)、商業(yè)機(jī)構(gòu)建立關(guān)聯(lián)業(yè)務(wù)時(shí)，應(yīng)嚴(yán)格采用多因素身份驗(yàn)證方式，直接鑒別客戶身份，并取得客戶授權(quán)。

這一條也受到第三方支付機(jī)構(gòu)的關(guān)注，監(jiān)管層所提到的“關(guān)聯(lián)業(yè)務(wù)”在實(shí)際操作中是指快捷支付。事實(shí)上，由于快捷支付沒有驗(yàn)證銀行卡密碼，不需要U盾、口令或網(wǎng)銀，安全隱患較大，近年來，因快捷支付帶來的盜刷問題也屢屢發(fā)生。

薛洪言指出，當(dāng)前快捷支付普遍采用交易密碼的單因素驗(yàn)證手段，《通知》要求除交易密碼外，還需要增加數(shù)字證書或動(dòng)態(tài)口令牌等驗(yàn)證手段。《通知》落地后，快捷支付的快捷性可能稍受影響，比如從輸入一個(gè)密碼變成輸入兩個(gè)密碼，但不存在被叫停的風(fēng)險(xiǎn)。

今年6月，工行手機(jī)銀行就推出了新功能，用戶可通過App自助查詢銀行卡綁定了哪些第三方支付平臺(tái)，且可自助注銷其中不常用的快捷支付。

“央行此次的要求又是一塊檢驗(yàn)第三方支付機(jī)構(gòu)是口頭擁抱監(jiān)管還是行動(dòng)擁抱監(jiān)管的試金石”，恒豐銀行研究院執(zhí)行院長(zhǎng)董希淼表示，關(guān)鍵在于銀行和第三方支付落實(shí)情況。

在去年底央行發(fā)布的《非銀行金融機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》就明確要求加強(qiáng)支付的多重身份驗(yàn)證，但執(zhí)行情況并不樂觀，目前，快捷支付的隱患依然存在。但在薛洪言看來，“支付標(biāo)記化技術(shù)”和快捷支付的新規(guī)符合各方利益，推行的阻力不大。

而央行此次也強(qiáng)調(diào)要加大處罰力度?！锻ㄖ窂?qiáng)調(diào)，要嚴(yán)查銀行卡受理終端改裝、支付交易驗(yàn)證強(qiáng)度低、系統(tǒng)存在安全漏洞及受到網(wǎng)絡(luò)攻擊等造成的支付服務(wù)中斷、支付敏感信息泄露、資金損失事件，并按照有關(guān)規(guī)定從嚴(yán)處罰。對(duì)于違規(guī)情節(jié)嚴(yán)重者，將處罰有關(guān)高管；對(duì)于違規(guī)情節(jié)嚴(yán)重的支付機(jī)構(gòu)，還將按照有關(guān)規(guī)定調(diào)低分類評(píng)級(jí)機(jī)制直至注銷《支付業(yè)務(wù)許可證》。