▲ 支付标记化就是使用数值来替代传统的银行卡主账号的过程。同时,确保该值的应用被限定在一个特定的商户、渠道或设备
▲ 即使有相关技术和制度保驾护航,普通消费者在支付时也应增强风险防范意识
银行卡在自己手里,钱却被盗了;持卡人未收到动态交易密码,银行卡账户却发生网上支付……随着刷卡和网上支付的日渐增多,盗用他人银行卡信息,非法牟利的案例屡见不鲜。不过,从12月1日起,银行卡信息泄露和欺诈交易迎来克星。
今年7月,央行发布了《关于进一步加强银行卡风险管理的通知》,要求自12月1日起,各商业银行、支付机构应使用支付标记化技术。为加速推进支付标记化,日前央行下发了《中国金融移动支付 支付标记化技术规范》,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。支付标记化时代已经到来。
如何预防信息泄露
据了解,支付标记化技术是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项技术,原理在于通过标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。
第三方支付机构快钱公司相关负责人表示,简单来说,支付标记化就是使用数值来替代传统银行卡主账号的过程。同时,确保该值的应用被限定在一个特定商户、渠道或设备。支付标记可以运用在银行卡交易的各个环节,与现有基于银行卡号的交易一样,可在产业中跨行使用,具有通用性。运用该技术,交易过程中不再传递银行卡信息,仅有一个唯一数值(token),能最大限度地避免信息泄露。
实际上,Visa、万事达卡等国际银行卡清算组织早已将支付标记技术引入到其数字支付服务中。不过,国内只有部分机构应用了此项技术。
第三方支付机构乐富支付相关负责人介绍,之前被广泛应用的银联“云闪付”就集成了支付标记化的功能。以苹果支付为例,支付标记化的过程表现为,用户通过手机支付后,商户POS机打印出的小票上显示的银行卡号被标记化显示为一串与真实银行卡号不同的数字,标记化后的数字将代替用户真实卡号进行交易。
苏宁金融研究院高级研究员薛洪言表示,标记化技术提出了“域控”概念,举例来说,支付机构可以为线上商户定义一个单独的域控,如此一来,即使支付标记被攻击或者泄露,也不能用到其他支付交易场景中。
银联技术专家周明曾在一篇文章中介绍,除了敏感信息无需存留以及仅可在限定交易场景使用外,支付标记化的灵活性也更高。与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。因此,支付标记化不仅可防范交易各环节的敏感信息泄露,同时也降低了欺诈交易的发生概率。
是否影响支付体验
新技术的应用是否影响支付体验呢?快钱公司相关负责人认为,支付体验上几乎没有影响。
快钱公司上述负责人进一步介绍说,在大多数交易过程中,持卡人对支付标记没有特别的感知。持卡人只需正常发起交易,支付标记化的处理过程则在后台完成。持卡人不需要了解交易过程中使用的是支付标记还是主账号。
不过,该负责人还表示,在个别场景中,支付标记的最后4位可能显示在商户的收据中,以使持卡人感知到支付标记的存在。比如,持卡人使用苹果支付之后,用户可以在POS机打印小票上看到标记化后的四位数字与银行卡号有所不同。
“在体验基本不受影响的情况下,持卡人还可获得多方面的益处。”一位银行内部人士表示,一张主卡可生成多个标记,其中任何一个标记发生泄漏或者存储该标记的设备丢失后,该标记可被禁用,减少了重新发卡的麻烦和可能引起的交易中断。此外,支付标记过程使用动态验证技术,持卡人不再需要输入敏感信息执行身份验证。
据了解,推行支付标记化,发卡机构需要系统改造,实现对支付标记交易的识别和处理,支付机构也需要进行技术改造。改造过程中,是否会给支付带来不便?
快钱公司表示,对快钱而言,由于投入相关的基础建设时间较早,目前已满足支付标记化规范。乐富支付则表示,已经从技术层面对持卡人及商户的敏感信息进行标记化处理,技术方面的改造全部完成。第三方支付机构银联商务也对记者表示,已对线下终端进行了金融交易标准PBOC3.0的全面改造,用标记化技术替换主账号PAN信息。相关银行业内人士也透露,目前各商业银行也基本完成了相关的技术改造,正常的银行卡支付业务基本不受影响。
“此外,支付机构只需要在系统上把持卡人的卡片信息进行处理或者隐藏就可以,因此对支付机构、持卡人来说,推行标记化也不会增加成本。”乐富支付相关负责人说。
能否确保支付安全
随着支付标记化技术的推广,消费者最关心的个人银行卡信息泄露的口子能否被彻底堵上?
对此,业内专家认为,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。但是,能否做到完全避免信息泄露目前尚不得而知,还有待检验。
银联有关人士也表示,支付机构并不能消除交易风险,商户或收单机构仍需使用风险管理工具保护其他业务领域的安全。
一家支付机构技术专家认为,支付标记化技术确实能够降低支付交易风险,但这一技术并不能“消灭”支付体系所有的交易风险。因此,对于任何支付机构而言,构建一个多层次、全方位的支付安全体系才是根本。
除了推行支付标记化技术,《关于进一步加强银行卡风险管理的通知》还要求,各机构2017年5月1日起全面关停芯片磁条复合卡磁条交易(降级交易),并且从加强消费者个人信息保护角度,重申了对支付敏感信息的安全防护,要求升级银行卡支付的交易验证强度和安全防护手段,采取措施加强支付敏感信息内控管理。监管机构力图严格监管,督促相关机构提升支付安全等级。
专家建议,即使有相关技术和制度保驾护航,普通消费者在支付时也应增强风险意识。比如,乐富支付相关负责人就认为,消费者在刷卡消费时,应尽量使用安全性较高的芯片卡。因为,磁条卡可复制性较强,对财产安全威胁较大;芯片卡加强了读写保护和数据加密保护,并且在使用保护上采取个人密码、卡与读写器双向认证,复制和伪造难度较大,安全性比磁条卡有较大提升。