最新更新
- 07-20 履约担保平台爆雷保险公司会兜底吗?
- 07-20 团贷网维权:催收现状与诉求
- 07-20 【鹰眼看网贷】互联网金融路在何方?
- 07-20 参与“金融互助”组织的投资者是否受法律保护?
- 07-20 美国歌手diss姚明的真相是什么?diss姚明的美国歌手叫
- 07-20 最新 | 礼德财富以涉嫌集资诈骗正式立案
- 07-20 互联网金融变革下 如何重新定义P2P?
- 07-20 奔驰维权事件另类视角:汽车经销商金融服务费溯源
- 07-20 微贷网即将上市,但暴力催收问题影响股价
- 07-20 银发族,小心新一波"理财销售战"?
热门文章
- 09-05 原创|现金贷江湖,“谁”套路了“谁”?
- 09-25 2017新金融:阶级阵营、上市潮起与套利终结
- 12-09 团贷的牛要还钱吗?不要轻视了资产的流动性!
- 10-17 买保险不是为保障?而是为了……
- 05-08 “以租代购”真的能拯救车贷平台吗?
- 06-30 内容Go high,成本Go low,搜狐视频回归商业本质
- 06-19 深度|信用卡发卡量、坏账齐飙升,套现真的是一个没有受害者的产
- 01-05 如果P2P的兑付方案,由你投票决定,你会投吗?
- 07-30 67家P2P平台3月数据分析:5家连续3个月净流入,3家逾期有较大增
- 04-10 上海造艺关联40余家现金贷平台,靠无故扣款联合收割900多万用户
央行新规强化银行卡风控,那持卡人支付体验呢?
近日,央行悄然发布了《中国人民银行关于进一步加强银行卡风险管理的通知》(下称《通知》),要求各商业银行、支付机构、卡清算机构加强对支付敏感信息(银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等)的内控管理和安全防护工作,严格规范外包服务,加强持卡人权益保障。
截止2016年1季度末,中国银行卡发行量已经达到56.58亿张,人均持卡4.15张。《通知》要求“全面应用支付标记化技术”、“逐步停止磁条卡交易”,并对快捷支付出台了针对性措施,对快捷支付、二维码支付、线下刷卡支付等交易场景均有影响。银行卡是交易和支付的最主要载体,银行卡的交易模式变化事关每个人切身利益,对于《通知》,下面几点你要知道。
|银行卡信息泄露后,你会面临怎样的风险?
当前,移动支付已经成为黑客攻击的新目标。业界普遍采用的账户信息保护手段,如账户安全保护(如数据加密)、系统定期渗透性测试及端到端加密等,都存在一定的局限性,不能彻底解决信息泄露风险,给持卡人带来风险隐患。
那么,如果你的银行卡信息泄露后,会面临什么风险呢?
l 伪卡欺诈类。如果磁条卡被侧录,很容易复制成一张伪卡,用于欺诈交易,给持卡人带来资金损失。
l 无卡欺诈类。如果卡号与有效期被泄露,很容易在部分电子商务中被用于欺诈交易,给持卡人带来资金损失。
问题来了,如何在不大幅改变持卡人用卡习惯的同时,有效降低敏感信息泄露风险呢?答案就落在支付标记化技术身上。
|支付标记化技术如何降低敏感信息泄露风险
《通知》明确要求“自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。”
支付标记化(PaymentTokenization),又可翻译为支付令牌化,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,即使用唯一的一个支付标记(与主卡号保持一致,一般由13 至 19 位的数字组成)来替代银行主账号进行交易验证。
虽然大家对支付标记化技术这个词比较陌生,但下面一些应用应该不会陌生。
l 大家熟悉的银联“云闪付”产品就集成了支付标记化处理,以ApplePay为例,先基于支付标记生成设备卡号,再生成与之匹配的芯片个人化数据并加载到手机设备上,使手机变成一张芯片卡。
与传统基于卡号的交易传递过程相比,支付标记化方案替代了原始卡号和有效期,根本上杜绝了敏感信息泄露的可能。同时,通过域控属性限定交易场景(如交易类型、使用次数、交易金额、有效期、支付渠道、商户名称等),既便支付标记本身被泄露,其影响范围也大大降低。此外,收单机构还可以借助支付标记的担保级别实现对交易风险的控制,进一步降低风险。
l 所谓域控,表示标记被限定的使用场景,比如特定的交易类型、使用次数、支付渠道(例如仅NFC)、商户名称、数字钱包服务提供方或者以上限定场景的任意组合。一个简单的例子就是线上商户,可以为该商户定义一个单独的域控,这样即使支付标记被攻击或者泄露,也不能用在其他支付交易场景中。
|持卡人的支付体验受到何种影响
大多数交易过程中,支付标记对持卡人是透明的。持卡人只需正常发起交易,支付标记化的处理过程则在后台完成,持卡人不需要了解交易过程中使用的是支付标记还是主账号。不过,在有些场景中,支付标记的最后四位可能显示在商户的收据中,以使持卡人感知到支付标记的存在。
在体验基本不受影响的情况下,持卡人还可获得多方面的益处。一是支付标记的使用能减少数据泄漏的影响,一张主卡可生成多个标记,其中任何一个标记发生泄漏或者存储该标记的设备丢失后,该标记可被禁用,减少了重新发卡的麻烦和可能引起的交易中断。此外,支付标记过程使用动态验证技术,持卡人可享受更方便的购物体验,在某些情况下,持卡人不再需要输入敏感信息执行身份验证。
还有一个重要的影响是二维码支付。作为支付创新的一种,二维码支付为用户、商户带来快捷的支付体验,但由于二维码易复制、安全性弱等特点使其存在一定的风险,前几年,央行一度叫停二维码支付模式。通过支付标记将敏感信息进行替代,可以提高二维码支付的安全。在该应用场景中,移动设备上的应用程序以安全的方式,生成一个含有支付标记、标记有效期以及其它来自于二维码的数据(如交易token密文等),该支付标记被限定为一次有效,且有效时间也被严格控制,提升支付的安全性。交易流程如下图所示。
二维码支付模式框架图(来源于银联官网)
|快捷支付可能变得不快捷
《通知》规定,自2016年11月1日起,各商业银行在基于银行卡与商业机构支付机构建立关联联系时,需要多重身份验证,并给出了三种具体的操作模式,基本理念是增加客户验证渠道。在此规定下,快捷支付采用交易密码的单因素验证手段将变得不合规,支付机构需要额外增加新的验证手段,使快捷支付变得不快捷。
当前快捷支付普遍采用交易密码的单因素验证手段,《通知》要求除交易密码外,还需要增加数字证书或动态口令牌等验证手段。所以,只要用户在设备上安装数字证书,仍然可以通过交易密码的方式完成快捷支付过程。或者采用同时输入交易密码和动态令牌密码的方式完成快捷支付。因此,《通知》落地后,快捷支付的快捷性可能稍受影响,但不存在被叫停的风险。
l 快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。由于快捷支付无需跳转页面,一步完成支付动作,成为使用最为广泛的线上支付方式。
最后,《通知》明确提出“自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易”,并要求商业银行加快存量磁条卡更换为金融IC卡的进度。磁条卡交易,终于要退出历史舞台了。
整体来看,《通知》在大幅降低敏感信息泄露风险的同时,并未对持卡人的交易习惯带来太多的影响,可能还会提升用卡体验。因此,相信市场各方对于《通知》的落地都是欢迎的。
标签: