为贯彻落实党的十九大和第五次全国金融工作会议精神,鼓励并规范金融创新,促进条码支付健康可持续发展,2017年12月,人民银行发布了《中国人民银行关于印发的通知》,并配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》。以下为《条码支付安全技术规范》的主要内容。
《条码支付安全技术规范》的主要内容
《条码支付安全技术规范》规定了开展条码支付所需的系统、终端、数据和交易的安全技术要求。
《条码支付受理终端技术规范》规定了受理终端在展示、识读、安全保护、适应性和可靠性方面的技术要求。
《条码支付安全技术规范》的适用范围
《条码支付安全技术规范》的适用范围是银行、非银行支付机构、清算机构开展条码支付业务时所需:
1.软硬件的设计、研发、集成和维护。
2.受理终端的设计、研发、维护和采购。
天天扫二维码支付和被扫是否存在风险?
收款条码和付款扫码都需要遵守条码支付安全技术规范,条码支付借助开放互联网和未通过国家认证认可管理部门认可机构检测认证的受理终端产品进行交易处理,存在一定的技术风险,其风险如下:
1.可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金。
2.易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒=钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。
3.扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
规范都提出了哪些针对性要求降低风险?
1.加强条码安全防护。采取支付标记化、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。
2.提升条码支付交易安全强度。针对不同条码生成方式,提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施,要求银行、非银行支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。
3.强化条码支付交易风险检测与预警。合理应用大数据分析、用户行为建模等手段建立条码支付风险监控模型和系统,对异常交易及时预警并附加风控措施,对高风险交易及时告知客户资金变化情况。
4.加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力,要求客户端软件能够监测并向后台系统反馈手机支付环境安全状况并作为风控策略的依据。
现在个人信息泄露案件频发,扫码是否会将手机的照片和聊天记录都扫走?
首先,规范规定了条码里的信息仅包含当次支付的相关信息,不应包含任何与客户及其账户相关的支付敏感信息。特约商户展示的条形码仅包含与当次支付有关的特约商户。商品(服务)或商品(服务)订单等信息。
其次,规范规定了移动终端安全要求,确保移动终端软件不会成为外部黑客窃取个人信息的跳板。
此外,对条码支付的报文也提出了针对性要求,防范交易信息被篡改或隐匿。人民银行也会加强监管,保护我们的个人信息,因此,手机里的照片和聊天记录不会被扫走。
文章来源:福建速汇宝网络科技有限公司
(标题:中国人民银行发布关于《条码支付安全技术规范》的通知)
閱讀更多 速匯寶聚合支付 的文章
