支付標記化時代已到來 銀行卡信息泄露迎克星

來源：尚標知識產權    發(fā)布時間：2016-12-14 05:24:00　　瀏覽：2829

支付標記化就是使用數值來替代傳統(tǒng)的銀行卡主賬號的過程。同時，確保該值的應用被限定在一個特定的商戶、渠道或設備。

即使有相關技術和制度保駕護航，普通消費者在支付時也應增強風險防范意識。

銀行卡在自己手里，錢卻被盜了;持卡人未收到動態(tài)交易密碼，銀行卡賬戶卻發(fā)生網上支付……隨著刷卡和網上支付的日漸增多，盜用他人銀行卡信息，非法牟利的案例屢見不鮮。不過，從12月1日起，銀行卡信息泄露和欺詐交易迎來克星。

今年7月，央行發(fā)布了《關于進一步加強銀行卡風險管理的通知》，要求自12月1日起，各商業(yè)銀行、支付機構應使用支付標記化技術。為加速推進支付標記化，日前央行下發(fā)了《中國金融移動支付 支付標記化技術規(guī)范》，規(guī)定了應用支付標記化技術的系統(tǒng)接口、安全、風險控制等要求。支付標記化時代已經到來。

如何預防信息泄露

據了解，支付標記化技術是由國際芯片卡標準化組織EMVCo于2014年正式發(fā)布的一項技術，原理在于通過標記(token)代替銀行卡號進行交易驗證，從而避免卡號信息泄露帶來的風險。

第三方支付機構快錢公司相關負責人表示，簡單來說，支付標記化就是使用數值來替代傳統(tǒng)銀行卡主賬號的過程。同時，確保該值的應用被限定在一個特定商戶、渠道或設備。支付標記可以運用在銀行卡交易的各個環(huán)節(jié)，與現(xiàn)有基于銀行卡號的交易一樣，可在產業(yè)中跨行使用，具有通用性。運用該技術，交易過程中不再傳遞銀行卡信息，僅有一個唯一數值（token），能最大限度地避免信息泄露。

實際上，Visa、萬事達卡等國際銀行卡清算組織早已將支付標記技術引入到其數字支付服務中。不過，國內只有部分機構應用了此項技術。

第三方支付機構樂富支付相關負責人介紹，之前被廣泛應用的銀聯(lián)“云閃付”就集成了支付標記化的功能。以蘋果支付為例，支付標記化的過程表現(xiàn)為，用戶通過手機支付后，商戶POS機打印出的小票上顯示的銀行卡號被標記化顯示為一串與真實銀行卡號不同的數字，標記化后的數字將代替用戶真實卡號進行交易。

蘇寧金融研究院高級研究員薛洪言表示，標記化技術提出了“域控”概念，舉例來說，支付機構可以為線上商戶定義一個單獨的域控，如此一來，即使支付標記被攻擊或者泄露，也不能用到其他支付交易場景中。

銀聯(lián)技術專家周明曾在一篇文章中介紹，除了敏感信息無需存留以及僅可在限定交易場景使用外，支付標記化的靈活性也更高。與傳統(tǒng)銀行卡驗證功能相比較，支付標記綜合了個人身份與設備信息驗證、支付信息附加驗證、風險等級評估等功能進行交易合法性識別和風險管控。因此，支付標記化不僅可防范交易各環(huán)節(jié)的敏感信息泄露，同時也降低了欺詐交易的發(fā)生概率。

是否影響支付體驗

新技術的應用是否影響支付體驗呢？快錢公司相關負責人認為，支付體驗上幾乎沒有影響。

快錢公司上述負責人進一步介紹說，在大多數交易過程中，持卡人對支付標記沒有特別的感知。持卡人只需正常發(fā)起交易，支付標記化的處理過程則在后臺完成。持卡人不需要了解交易過程中使用的是支付標記還是主賬號。

不過，該負責人還表示，在個別場景中，支付標記的最后4位可能顯示在商戶的收據中，以使持卡人感知到支付標記的存在。比如，持卡人使用蘋果支付之后，用戶可以在POS機打印小票上看到標記化后的四位數字與銀行卡號有所不同。

“在體驗基本不受影響的情況下，持卡人還可獲得多方面的益處?！币晃汇y行內部人士表示，一張主卡可生成多個標記，其中任何一個標記發(fā)生泄漏或者存儲該標記的設備丟失后，該標記可被禁用，減少了重新發(fā)卡的麻煩和可能引起的交易中斷。此外，支付標記過程使用動態(tài)驗證技術，持卡人不再需要輸入敏感信息執(zhí)行身份驗證。

據了解，推行支付標記化，發(fā)卡機構需要系統(tǒng)改造，實現(xiàn)對支付標記交易的識別和處理，支付機構也需要進行技術改造。改造過程中，是否會給支付帶來不便？

快錢公司表示，對快錢而言，由于投入相關的基礎建設時間較早，目前已滿足支付標記化規(guī)范。樂富支付則表示，已經從技術層面對持卡人及商戶的敏感信息進行標記化處理，技術方面的改造全部完成。第三方支付機構銀聯(lián)商務也對記者表示，已對線下終端進行了金融交易標準PBOC3.0的全面改造，用標記化技術替換主賬號PAN信息。相關銀行業(yè)內人士也透露，目前各商業(yè)銀行也基本完成了相關的技術改造，正常的銀行卡支付業(yè)務基本不受影響。

“此外，支付機構只需要在系統(tǒng)上把持卡人的卡片信息進行處理或者隱藏就可以，因此對支付機構、持卡人來說，推行標記化也不會增加成本?！睒犯恢Ц断嚓P負責人說。

能否確保支付安全

隨著支付標記化技術的推廣，消費者最關心的個人銀行卡信息泄露的口子能否被徹底堵上？

對此，業(yè)內專家認為，采用支付標記化方案后，商戶可以通過“支付標記”來替換主賬號PAN信息，且該支付標記可限定在該商戶下單獨使用，從而消除相應風險。但是，能否做到完全避免信息泄露目前尚不得而知，還有待檢驗。

銀聯(lián)有關人士也表示，支付機構并不能消除交易風險，商戶或收單機構仍需使用風險管理工具保護其他業(yè)務領域的安全。

一家支付機構技術專家認為，支付標記化技術確實能夠降低支付交易風險，但這一技術并不能“消滅”支付體系所有的交易風險。因此，對于任何支付機構而言，構建一個多層次、全方位的支付安全體系才是根本。

除了推行支付標記化技術，《關于進一步加強銀行卡風險管理的通知》還要求，各機構2017年5月1日起全面關停芯片磁條復合卡磁條交易（降級交易），并且從加強消費者個人信息保護角度，重申了對支付敏感信息的安全防護，要求升級銀行卡支付的交易驗證強度和安全防護手段，采取措施加強支付敏感信息內控管理。監(jiān)管機構力圖嚴格監(jiān)管，督促相關機構提升支付安全等級。

專家建議，即使有相關技術和制度保駕護航，普通消費者在支付時也應增強風險意識。比如，樂富支付相關負責人就認為，消費者在刷卡消費時，應盡量使用安全性較高的芯片卡。因為，磁條卡可復制性較強，對財產安全威脅較大；芯片卡加強了讀寫保護和數據加密保護，并且在使用保護上采取個人密碼、卡與讀寫器雙向認證，復制和偽造難度較大，安全性比磁條卡有較大提升。