银联发关于标记化技术指引 年底全面应用
 

  支付信息泄露、银行卡遭复制盗刷怎么办?正是这类事故的频频出现,使人们不得不苦苦寻求那些流传于民间的“防盗刷”小技巧。不过,一项名为“支付标记化”的新技术或许将能从源头上堵住信息泄露的“口子”。

  “各商业银行、第三方支付公司今年年底要使用支付标记化技术进行交易数据处理。”近日,一位银行内部人士向《每日经济新闻》记者证实,该行已收到了央行近期发布的《关于加强银行卡风险管理的通知》(以下简称《通知》)。

  据记者了解,该《通知》提出“全面应用支付标记化技术”。也就是说,今年年底前各商业银行、支付机构应使用支付标记化技术对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理等。

  而中国银联近期也发布了《中国银联支付标记化技术指引》(以下简称《指引》)。

  业内人士分析指出,越来越多的不法分子将支付卡信息视为攻击目标,而“标记化”技术则能有效控制因前端安全漏洞所造成的卡信息泄露带来的损失,同时也进一步提高了对持卡人各类交易风险的综合管控。

  那么,采用支付标记化技术,持卡人是否就可以免于信息泄露的恐慌了呢?

  ●年底全面应用支付标记化技术

  所谓支付标记化技术,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,原理在于通过标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。

  7月8日,上述银行人士向《每日经济新闻》记者表示,“我们行收到了这个(通知)。”

  据悉,上述通知除了涉及2017年5月全面关停芯片磁条复合卡磁条降级交易之外,还提出今年年底全面应用支付标记化技术。

  同时,记者获悉,中国银联《指引》也阐述了支付标记化提出背景、技术方案、典型的应用场景以及对持卡人、商户、收单机构等所产生的影响。

  “移动互联网、大数据等新兴技术的发展为支付行业带来全新的挑战和机遇,支付产业链的各参与方通过多种手段针对交易中的卡片伪造、账户滥用及其他形式的欺诈交易提供了安全保护。”上述《指引》分析,虽然银联芯片卡规范在一定程度上确保了有卡交易的安全,但针对逐渐普及的无卡交易及新兴 (创新)交易,同样需作出进一步的安全保护,从而最大程度地减少持卡人账户数据被非法使用的情况,并防止跨渠道的交易欺诈行为。而支付标记化技术与系统在很大程度上有望解决这些问题。

  上述《指引》表示,支付标记化降低了敏感信息泄露可能性,此外,还能够减少卡片数据泄露后被用于欺诈交易的可能。

  一位支付行业人士亦向《每日经济新闻》记者分析指出,基于token的支付框架,为无卡支付、移动创新支付提出了一个新的思路,即在不影响正常业务处理的前提下,消除商户甚至是收单机构系统中的敏感数据,并实现交易场景的验证。

  其实,早在2013年,中国银联就启动了支付标记化技术研究和产品实施工作,以及系统开发与测试、产品试点应用等。2014年12月,中国银联与南方航空共同宣布,面向南航明珠会员推出银联卡“一键支付”服务,首次在银联在线支付服务中应用支付标记化。而2015年5月,中国工商银行宣布正式与中国银联、VISA合作推出HCE云支付信用卡产品,产品中也首度运用Token技术。

  据悉,目前银联TSP已逐步实现对线上、线下交易产品的支持,国际化支持以及Token远程管理服务。《指引》中表示,中国银联目前制定了四种不同应用场景下支付标记的技术解决方案。主要包括NFC支付(分HCE模式和SE模式)、数字钱包支付、大商户支付以及二维码支付,同时正在对基于芯片卡的支付标记化方案进行研究。

  ●持卡人可以免于信息泄露恐慌?

  根据国际数据公司(IDC)的一项调查显示,到2017年,全球移动支付规模将达到1万亿美元。与此同时,越来越多的不法分子也将支付卡信息视为攻击目标。

  那么,采用支付标记化技术是否就能杜绝各类信息泄露等风险?

  比如此前的携程信息泄露事件,涉及信用卡敏感信息,如果采用支付标记化技术,是不是持卡人就可以免于恐慌?禁用支付标记后,是否就不用挂失卡片和重新发卡?

  《每日经济新闻》记者注意到,早在2014年,“携程信息泄露”事件就将移动支付安全问题推至舆论的高点。

  当时,漏洞发现者称由于携程开启了用户支付服务接口的调试功能,导致携程安全支付日志存在漏洞,日志可以泄露持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

  “目前商户需要在数据库中存储持卡人的主账号、有效期等敏感信息,以便在后续交易中减少持卡人重复输入账户信息的操作。由于存储卡片数据中可能会导致商户系统被攻击、泄露敏感信息等安全事件。”银联方面的分析指出,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。该应用场景中, 商户很可能是标记请求方,一旦标记被返回给这些留存卡号信息的商户,所有后续的电子商务交易都会使用标记和标记有效期 (而不是主账号和主账号的有效期)字段来处理。

  谈及对非银支付机构的影响,一家支付机构人士坦言,这个改造会造成所有数据交互接口的改造,几乎相当于把现在所有的机具更新一遍,还涉及与外卡对接的问题等。

  上述《指引》也指出,收单机构目前对持卡人的忠诚度分析、优惠券承兑等业务,均依赖卡号进行管理,在应用支付标记化后, 会出现同一主账户派生出不同支付标记,收单机构无法关联的问题。不过,为协助收单机构识别对应同一主账号的不同支付标记,银联也提出了技术方案。

上一篇:这已经是第一篇了