央行推“支付標(biāo)記化”技術(shù)堵截防盜

今年以來，監(jiān)管層加緊了對支付業(yè)務(wù)的監(jiān)管。一位支付行業(yè)人士向北京商報記者透露，央行近日下發(fā)了《關(guān)于加強銀行卡風(fēng)險管理的通知》（以下簡稱《通知》），要求各商業(yè)銀行、第三方支付公司在今年底要使用支付標(biāo)記化技術(shù)進行交易數(shù)據(jù)處理?！锻ㄖ芬庠诩訌娭Ц督灰仔畔⒈Ｗo，保障支付安全。

按照央行要求，各商業(yè)銀行、支付機構(gòu)在今年9月1日前，應(yīng)采取措施加強支付敏感信息內(nèi)控管理并開展自查，在12月1日起全面實行支付技術(shù)標(biāo)記化技術(shù)處理數(shù)據(jù)。

支付標(biāo)記化（Payment Tokenization）技術(shù)是由國際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年正式發(fā)布的一項最新技術(shù)，原理在于通過支付標(biāo)記（token）代替銀行卡號進行交易驗證，從而避免卡號信息泄露帶來的風(fēng)險。

蘇寧金融研究院高級研究員薛洪言表示，與傳統(tǒng)基于卡號的交易傳遞過程相比，支付標(biāo)記化方案替代了原始卡號和有效期，根本上杜絕了敏感信息泄露的可能。同時，通過域控屬性限定交易場景，既便支付標(biāo)記本身被泄露，其影響范圍也大大降低。此外，收單機構(gòu)還可以借助支付標(biāo)記的擔(dān)保級別實現(xiàn)對交易風(fēng)險的控制，進一步降低風(fēng)險。

值得注意的是，央行還提出，自2016年11月1日起，各商業(yè)銀行基于銀行卡與支付機構(gòu)、商業(yè)機構(gòu)建立關(guān)聯(lián)業(yè)務(wù)時，應(yīng)嚴(yán)格采用多因素身份驗證方式，直接鑒別客戶身份，并取得客戶授權(quán)。

這一條也受到第三方支付機構(gòu)的關(guān)注，監(jiān)管層所提到的“關(guān)聯(lián)業(yè)務(wù)”在實際操作中是指快捷支付。事實上，由于快捷支付沒有驗證銀行卡密碼，不需要U盾、口令或網(wǎng)銀，安全隱患較大，近年來，因快捷支付帶來的盜刷問題也屢屢發(fā)生。

薛洪言指出，當(dāng)前快捷支付普遍采用交易密碼的單因素驗證手段，《通知》要求除交易密碼外，還需要增加數(shù)字證書或動態(tài)口令牌等驗證手段?！锻ㄖ仿涞睾螅旖葜Ц兜目旖菪钥赡苌允苡绊?，比如從輸入一個密碼變成輸入兩個密碼，但不存在被叫停的風(fēng)險。

今年6月，工行手機銀行就推出了新功能，用戶可通過App自助查詢銀行卡綁定了哪些第三方支付平臺，且可自助注銷其中不常用的快捷支付。

“央行此次的要求又是一塊檢驗第三方支付機構(gòu)是口頭擁抱監(jiān)管還是行動擁抱監(jiān)管的試金石”，恒豐銀行研究院執(zhí)行院長董希淼表示，關(guān)鍵在于銀行和第三方支付落實情況。

在去年底央行發(fā)布的《非銀行金融機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》就明確要求加強支付的多重身份驗證，但執(zhí)行情況并不樂觀，目前，快捷支付的隱患依然存在。但在薛洪言看來，“支付標(biāo)記化技術(shù)”和快捷支付的新規(guī)符合各方利益，推行的阻力不大。

而央行此次也強調(diào)要加大處罰力度?！锻ㄖ窂娬{(diào)，要嚴(yán)查銀行卡受理終端改裝、支付交易驗證強度低、系統(tǒng)存在安全漏洞及受到網(wǎng)絡(luò)攻擊等造成的支付服務(wù)中斷、支付敏感信息泄露、資金損失事件，并按照有關(guān)規(guī)定從嚴(yán)處罰。對于違規(guī)情節(jié)嚴(yán)重者，將處罰有關(guān)高管；對于違規(guī)情節(jié)嚴(yán)重的支付機構(gòu)，還將按照有關(guān)規(guī)定調(diào)低分類評級機制直至注銷《支付業(yè)務(wù)許可證》。