近日,全國金融標準化技術委員會(以下簡稱“金標委”)發佈關於徵求《聚合支付安全技術規範》(徵求意見稿)的通知,目前該規範正處於委員會投票階段,或不久將對外公佈。以下為通知原文:
該規範提出了聚合技術平臺的基本框架,規定了聚合支付系統實現、安全技術、安全管理、風險控制等要求。適用於從事聚合支付系統建設、服務運營的聚合技術服務商。規範在各個方面對聚合支付進行了較高的要求。
數據留存要求嚴格
在規範中,聚合技術服務商被定義為經工商行政管理部門批准成立,接受支付服務機構、商戶委託,利用自身的技術與服務集成能力,提供商戶拓展、支付渠道整合、技術對接、系統運維、集合對賬等服務的機構。
除了對聚合支付的固態碼、動態碼、線上業務等業務進行基本定義之外,標準還對聚合支付的數據留存問題有較高的要求。
數據和交易安全基本要求是,聚合技術服務商應採取加密存儲、訪問控制、信息安全審計等措施,可以防範拖庫撞庫攻擊。聚合支付系統應能夠通過支付標記化技術,應定期開展敏感信息安全的內部審計。
對於聚合支付來說,通過用戶或商戶數據進行分析,進而推送相應的增值服務是一條較為正規的盈利之路。但是交易數據的留存,在本標準中也要求較高。
在滿足法律、管理規定和業務需求的前提下,聚合技術服務商應用宜保留最少的支付信息(如支付賬號等),並限制數據存儲量和保留時間;同時,不應保存用戶支付敏感信息(如支付口令等)及其密文;也不得留存非本機構的支付敏感信息,確有必要留存的應取得客戶本人及賬戶管理機構的授權;應具備重要數據的訪問控制措施。
在應用軟件的數據安全方面,聚合技術服務商應用宜支持頁面回退清除敏感信息的機制。殘餘信息保護方面,聚合技術服務商應用軟件退出時,應清除非業務功能運行所必需留存的業務數據,保證客戶信息的安全性; 軟件卸載後,文件系統中不應殘留任何與用戶相關的個人信息及敏感數據等。
在應用軟件的運行安全方面:
1. 應通過白名單、提醒等方式,確保聚合技術服務商應用訪問聚合技術服務商web站點進行安全控制;
2. 聚合技術服務商應用應從木馬病毒防範、信息加密保護、運行環境可信等方面提升安全防控能力;
3. 聚合技術服務商應用應能檢測並向後臺系統反饋手機支付環境安全狀況,作為風控策略的依據。
除以上要求外,該標準還對通信安全、受理終端安全、報文接口安全等方面有更加細化的要求。
管理及風控要求較高
除了對聚合支付有數據安全方面的要求,該標準甚至對聚合支付的企業管理制度有要求,以加強企業對信息安全的防控能力:
1. 應建立信息安全管理制度體系,制度體系應貫穿網絡支付系統設計、編碼、測試、運行維護、評估以及應急處置等過程,並涵蓋安全制度、安全規範、安全操作規程和操作記錄手冊等相關方面;
2. 應制定聚合支付安全管理工作的總體方針和策略,明確工作職責、規範工作流程、降低安全風險;
3. 應指定或授權專門的部門或人員負責安全管理制度的制定和維護;
4. 安全管理制度應通過正式有效的方式發佈;
5. 應每年組織相關部門和人員對安全管理制度體系的合理性和適用性進行審定,及時修訂完善安全管理制度。
在風控方面,聚合支付應該滿足《銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)要求。2017年年初,央行將聚合支付定性為銀行卡收單外包服務商之後,滿足該文件要求並不為過。但在交易風險控制方面,該標準的要求可謂苛刻。
聚合技術服務商應建立應對套現、欺詐、洗錢等方向的風險監控模型及系統,對異常交易進行及時預警並通過預警及時反饋支付服務機構;應針對批量或高頻登錄等異常行為,應利用IP地址、終端設備標識等信息進行綜合識別,及時採取附加/驗證、拒絕請求等手段;資金類等高風險業務,通過短信等方式實時告知客戶和商戶其資金變化情況。
完善的套現、欺詐、洗錢等方向的系統,許多支付機構在這方面都有所欠缺,絕大多數代理出身的聚合支付服務商們又能滿足幾分呢?
在身份認證、交易過程安全、交易提示、交易監控、風險識別與干預、客戶教育、客戶信息管理等方面,該標準有更加細化要求,在此不累述。
值得一提的是,該標準的工作組由商業銀行、支付機構、中國銀聯、檢測機構等角色組成。
早在2017年央行就下發《關於開展違規”聚合支付“服務清理整治工作的通知》對於開展業務的聚合支付服務商,定位於收單外包機構,對於違反收單外包管理辦法的直接定位無證支付業務,並提出聚合支付4個不得:不得從事商戶資質審核、受理協議簽訂、資金結算、收單業務交易處理、風險監測、受理終端(網絡支付接口)主密鑰生成和管理、差錯和爭議處理等核心業務;不得以任何形式經手特約商戶結算資金,從事或變相從事特約商戶資金結算;不得偽造、篡改或隱匿交易信息;不得采集、留存特約商戶和消費者的敏感信息。
《中國人民銀行關於持續提升收單服務水平規範和促進收單服務市場發展的指導意見》中鼓勵收單為特約商戶提供“聚合支付”服務,並要求收單機構將“聚合支付”服 務外包給聚合技術服務商,並經過其業務系統與特約商戶相互傳輸交易信息的, 應負責事先對其業務系統的安全性、穩定性、技術標準符合性等進行全面評估, 確保其業務系統符合《非金融機構支付業務設施技術要求》(銀髮【2014】350號 文發佈)。收單機構應嚴格落實《中國人民銀行關於進一步加強銀行卡風險管理 的通知》(銀髮【2016】170號)相關要求,通過協議禁止並採取有效技術措施防 止聚合技術服務商採集、留存特約商戶和消費者的敏感信息,防止洩露特約商戶 和消費者的身份、賬戶或交易信息。收單機構應持續強化風險監測,參照《網絡 支付報文結構及要素技術規範(V1.0)》(銀辦發【2016】222號文發佈),確保 特約商戶名稱、編碼、類別和交易類型等各項交易信息的真實性、完整性、可追 溯性以及在支付全流程中的一致性,採取有效技術措施防止聚合技術服務商偽造 、篡改或隱匿交易信息。
聚合支付: 是指提供的是支付基礎之上的多種衍生服務,它不具備支付牌照,而是通過聚合多種第三方支付平臺、合作銀行及其他服務商接口等支付工具的綜合支付服務!主要服務模式如下圖:
聚合支付支付是指只從事支付、結算、清算服務之外的支付服務。依託商並藉助商業銀行、非銀行支付機構、清算組織的支付通道與清結算能力,利用自身的技術與服務集成能力,將一個以上的商業銀行、非銀行支付機構、清算組織的支付服務,整合到一起,為商戶提供包括但不限於支付通道服務、集合對賬服務、技術對接服務、差錯處理服務、金融服務引導、會員賬戶服務、作業流程軟件服務、運行維護服務以及終端提供與維護服務等服務內容,以此減少商戶接入、維護支付結算服務時面臨的成本支出,提高商戶支付結算系統運行效率的,並相應收取增值收益的支付服務。但是也有的機構直接從事資金清算行為,一直被監管也業內詬病,雖然第四方聚合支付不涉及資金清算,不受支付牌照等監管,但目前仍不免有極少數企業打“二清”的擦邊球。未來如果監管層加強針對“二清”的監管,聚合支付的生存情況將難以預測。所謂“二清”,是指沒有獲得央行支付業務許可的單位或個人,在持牌收單機構的支持下實際從事支付業務和資金清算的一種模式。近年來,由於無商戶准入門檻,“二清機構”年交易量規模高達上萬億元,而在這背後,“商戶賬戶安全很難受到保障”、跑路等亂象,也引起監管層的高度重視目前國內聚合支付服務機構已經超過上千家,但是參與聚合支付服務的機構魚龍混雜,按照最新技術要求和方案將有80%的偽聚合支付服務商將被淘汰,將有有力的淨化支付服務市場!
閱讀更多 小小金融人 的文章
