今年11月,央行下发了《中国金融移动支付 支付标记化技术规范》行业标准的通知,强调自2016年12月1日起全面应用支付标记化技术。《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。
据了解,支付标记化是由国际芯片卡标准化组织EMVCo于2014年发布的一项技术,通过用支付标记(Token)取代银行卡号进行交易认证,避免卡号等信息泄露带来的风险。
具体来说,支付标记使用一个唯一的数值(与主卡号保持一致,一般由13至19位的数字组成)来取代银行卡的主账号,同时确保该数值被限定在一个特定的商户、渠道或者设备中使用。在银行卡的支付交易中,支付标记替换了卡号,支付标记的有效期替换了银行卡的有效期,可以在不影响交易处理的情况下增强交易的安全性。
现在被广泛应用的银联“云闪付”就集成了支付标记化的功能。以使用Apple Pay为例,支付标记化的过程表现为,先基于支付标记生成设备卡号,再生成与之匹配的芯片个人化数据并将其加载到手机设备上,使手机代替芯片卡完成支付。
移动支付的兴起带来了新的支付技术和模式,尤其是第三方快捷支付,在给人们提供便利的同时,也给风险管控带来了新的挑战。专家表示,截至2015年底,国内市场上持牌的第三方支付公司约有270家,市场主体的增加进一步提高了监管难度,增加了支付风险。
据悉,目前市场上一些第三方支付机构在完成授权时,只需提供银行卡号和预留手机号码就可以办理,犯罪分子可以通过骗取验证码或者挂失手机号等方式获得支付授权,把钱转走。
而随着移动终端的普及,针对移动支付的病毒也大量出现。从交易方式到交易终端,整个环节中“陷阱”一直存在,这就要求支付环节的各个参与者都加强风险管控。
一些行业个人信息泄露事件频发,不法分子利用泄露数据刻画客户身份并实施精准诈骗,信息泄露成为资金犯罪的基本作案条件和支付风险源头。
那么,采用支付标记化技术后,持卡人是否能免于信息泄露呢?此前,银联方面的分析指出,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。
一位业内人士也分析表示,标记化处理有利于降低敏感信息的泄露风险,从而降低用户遭遇欺诈交易的几率,而技术改造将给公司商户和广大持卡人的资金安全增加一道保障。
与传统交易中的卡号传递过程相比,支付标记替代了卡号、有效期等敏感信息,从源头上避免了信息的泄露。同时,通过限定标记的使用场景,如交易类型、使用次数、支付渠道、商户名称、数字钱包服务提供商等,即使支付标记本身被泄露,影响范围也很有限。
此外,一张主卡可以生成多个标记,任何一个标记发生泄露或者存储该标记的设备丢失后,该标记可以被禁用,从而减少了补卡的麻烦。
