第三方支付規範監管之後,聚合支付也沒有幸免,近期,全國金融標準化技術委員會(以下簡稱“金標委”)徵求關於《聚合支付安全技術規範》(徵求意見稿)的通知發佈。聚合支付的規範化真的來了。
《聚合支付安全技術規範》的主要內容
《聚合支付安全技術規範》裡提出了關於聚合支付技術平臺的基本框架,規定了聚合支付系統實現、安全技術、安全管理、風險控制等要求。適用於從事聚合支付系統建設、服務運營的聚合技術服務商。規範在各個方面對聚合支付進行了較高的要求。目前該規範還處於委員會投票的階段,不久將會公佈。
聚合支付數據留存問題將嚴格要求
《聚合支付安全技術規範》裡對聚合支付的數據留存問題有較高的要求。聚合技術服務商應該採取加密存儲、訪問控制、信息安全審計等措施,可以防範拖庫撞庫攻擊。聚合支付系統應能夠通過支付標記化技術,應定期開展敏感信息安全的內部審計。
聚合技術服務商應用宜保留最少的支付信息(如支付賬號等),並限制數據存儲量和保留時間;同時,不應保存用戶支付敏感信息(如支付口令等)及其密文;也不得留存非本機構的支付敏感信息,確有必要留存的應取得客戶本人及賬戶管理機構的授權;應具備重要數據的訪問控制措施。
聚合支付數據安全方面的要求
為加強企業對信息安全的防控能力,聚合支付的數據安全方面也有高要求,主要有以下幾點:
1.應建立信息安全管理制度體系,制度體系應貫穿網絡支付系統設計、編碼、測試、運行維護、評估以及應急處置等過程,並涵蓋安全制度、安全規範、安全操作規程和操作記錄手冊等相關方面;
2.應制定聚合支付安全管理工作的總體方針和策略,明確工作職責、規範工作流程、降低安全風險;
3.應指定或授權專門的部門或人員負責安全管理制度的制定和維護;
4.安全管理制度應通過正式有效的方式發佈;
5.應每年組織相關部門和人員對安全管理制度體系的合理性和適用性進行審定,及時修訂完善安全管理制度。
聚合支付應如何風控
央行對聚合支付的風控方面也是要求嚴格,聚合技術服務商應建立應對套現、欺詐、洗錢等方向的風險監控模型及系統,對異常交易進行及時預警並通過預警及時反饋支付服務機構;應針對批量或高頻登錄等異常行為,應利用IP地址、終端設備標識等信息進行綜合識別,及時採取附加/驗證、拒絕請求等手段;資金類等高風險業務,通過短信等方式實時告知客戶和商戶其資金變化情況。
未來按照最新技術要求和方案來說,將會有八成的偽聚合支付服務商將會淘汰,不過這也更有力的淨化支付服務市場,保障用戶資金安全,提高用戶支付體驗。
文章來源:福建速匯寶網絡科技有限公司
(標題:聚合支付規範化:金標委徵求聚合支付安全技術規範意見)
閱讀更多 速匯寶 的文章
