资讯 金融科技
此为临时链接,仅用于文章预览,将在时失效

条码支付门槛低、安全保护薄弱,央行发布支付新规整顿行业

作者:温晓桦
2017/12/28 09:07

雷锋网AI金融评论报道,12月27日傍晚,中国人民银行官网发布公告称,为鼓励并规范金融创新,引导信息技术在金融领域正确应用,提升金融服务实体经济能力,人民银行日前发布《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(银发〔2017〕296号)(以下简称《规范》),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。

据雷锋网AI金融评论了解,《规范》指出,在业务规范方面:

在技术规范方面:

雷锋网AI金融评论获悉,央行有关负责人表示,条码支付在小额、便民支付领域显现出门槛低、使用便捷的优势,同时业务开展中也存在扰乱公平竞争秩序、风险防范不到位等问题。

央行表示,由于静态条码(如事先贴在墙上的二维码)易被篡改或变造,易携带木马或病毒,央行规定,使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户银行或支付机构单日累计交易金额应不超过500元。例如,消费者在使用微信钱包扫描静态条码支付时,单日使用零钱包支付的上限不超过500元,同时微信关联的所有银行卡还可以再独立获得500元的支付上限。

对支付行业各方有何影响?

对此《规范》,苏宁金融研究院互金中心主任薛洪言向雷锋网AI金融评论表示,央行正式对条码支付进行规范,一定程度上将相关标准向传统的银行卡POS收单业务靠拢。

“因此,对于基于传统收单机构基于银联POS体系的条码支付业务影响有限,不过,这会对于第三方支付主导的主要基于扫码枪、静态二维码等的条码支付造成较大影响。”

薛洪言解释道,一方面,支付门槛的提高、支付限额的下降,都将促使第三方支付机构对业务策略进行相应的梳理和整改。

而另一方面,《规范》对商户资质审核、特约商户管理以及市场拓展方面均会受到影响,举例来说,规范要求“银行、支付机构应当对实体特约商户条码收单业务进行本地化经营和管理……,不得跨省(区、市)开展条码收单业务”,这意味着:

巨头擅长的纯互联网的打法会受到一定限制;规范强调要对条码支付业务进行科学合理定价,免费和补贴的打法将受到限制。

雷锋网专栏作者、点石资产管理创始人、百度支付海外顾问蔡凯龙表示,支付宝和微信支付这两大巨头,在支付行业中国二维码扫码支付领域占据着垄断地位,市场其他的玩家要进去其实是受到很大的阻力的。《规范》强调了‘滥用’,即指出用市场优势地位进行不正当的竞争,其实是对对支付宝跟微信支付的一个敲打。

除此之外,蔡凯龙表示,“支付的新规,从监管看,是规范支付行业资质和乱象,比如欺诈和套现。”而对支付的两大巨头支付宝跟微信支付来说,二维码支付虽然已经占据很重要地位,但此前没有明文规定与运营规范,“所以他们要对自己所有的支付流程进行合规性的整改。”

总的来说,本次《规范》的发布,既给行业带来了安全性提高等正面影响,不过当然,其中也透露出央行或多或少的出于保护银行卡支付,以及信用卡支付地位的目的,一定程度倾斜地让消费者更多地选择使用银行卡、信用卡来支付。但其实,蔡凯龙表示,“对选择使用谁的产品,用户跟商家会根据便利程度跟费用自己做出选择,这不是一个行政命令可以解决的问题。”

而作为支付领域的两大巨头,微信和支付宝在27日晚些时候,对央行这份针对条码支付业务规范的新通知做出回应,均对其表示认可和顺从,并称将继续积极研发新技术以及探索新技术应用于条码支付领域的可行性。

附录:

关于更多《规范》实施的问题,日前,人民银行有关负责人就上述通知和规范有关问题回答了记者的提问。

问:条码支付业务发展中存在哪些主要问题?

答:一是条码支付在降低商户准入门槛的同时,加剧收单市场乱象。由于条码支付设备成本低于传统的银行卡受理终端,还可通过张贴静态条码实现收付款业务,能够满足小微商户的非现金支付受理需求,与银行卡收单互为补充,提升社会整体支付服务水平。但是,部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,存在各类安全隐患,对市场可持续发展造成较大的危害。

二是条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。近年来,条码支付在小额、便民支付领域市场份额持续增加,促进了移动支付的快发展和普惠金融的广覆盖。但是,部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。

三是条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。

问:业务规范方面有哪些主要措施?

答:一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

二是重申清算管理要求。针对部分支付机构与多家银行业金融机构(以下简称银行)或支付机构直连进行商户拓展,进一步强化了支付机构与银行多头直连的现象,明确要求银行、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。

三是要求维护市场公平竞争秩序。市场机构不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段损害其他市场主体利益、排挤竞争对手,破坏市场公平竞争秩序。

四是规范条码生成和受理。提出交易验证方式、交易限额管理、信息管理和安全防护,静态条码应用管理、综合应用支付标记化技术等措施,保障条码支付业务的安全性。

五是加强商户管理和风险管理。从特约商户资质审核、受理协议签订、商户风险评级、商户检查,以及交易风险监测,客户安全教育等方面提出要求,强化业务风险管理。

问:针对条码支付技术风险,提出了哪些针对性要求?

答:一是加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。

二是提升条码支付交易安全强度。针对不同条码生成方式,提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施。要求银行、支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。

三是强化条码支付交易风险监测与预警。合理应用大数据分析、用户行为建模等手段建立条码支付风险监控模型和系统,对异常交易及时预警并附加风控措施,对高风险交易及时告知客户资金变化情况。

四是加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力,要求客户端软件能够监测并向后台系统反馈手机支付环境安全状况并作为风控策略的依据。

问:针对条码支付的业务规范要求和安全管理措施是否会制约支付创新发展?

答:支付服务属于金融服务,与社会经济运行和百姓日常生活密切相关,支付安全关乎人民群众财产安全和合法权益,稳健经营关乎产业的健康可持续发展。便捷的使用方式、良好的用户体验是支付创新的生命力,但不能单纯追求无底线的创新;稳定、可持续的投入和运营是支付业务长远发展的保障,不能为了追求短期的市场份额,采取“烧钱”“补贴”等不当竞争手段。通知和规范旨在指导相关单位正确处理安全与发展的关系,在严守安全底线的基础上开展支付创新,维护公平竞争的市场环境,促进行业健康可持续发展,为人民群众提供安全便利的金融服务。通知和规范提出的业务规范要求和安全管理措施非但不会制约支付创新发展,反而能够指引支付业务创新沿着安全规范的方向发展,确保创新业务的质量和效能,保障行业发展的稳健和长远。

问:业务规范和技术要求如何落地实施?

答:业务规范的落地实施要通过构建企业自我管理、行业组织自律、主管部门监管、社会全面监督多位一体的管理体系,保障各项要求落实到位。已开展业务的银行业金融机构、支付机构应当全面梳理自身条码支付业务情况,根据规范要求进行自查和整改。开展条码支付业务创新的,应当履行提前报告义务。银行、支付机构从事条码支付业务,应接受中国支付清算协会行业自律管理,并充分发挥违法违规举报奖励机制的作用,净化市场发展环境。人民银行分支机构依法对辖区内银行、支付机构条码支付业务进行监督管理,加大检查力度,对违规行为,应依法严肃处理。

技术规范的落地实施需要从产品质量管理、入网管理、专项检查、安全评估等方面多管齐下,切实提升条码支付技术风险防控能力。银行、支付机构要严格落实技术规范提出的各项要求,强化条码支付产品安全管理,健全条码支付风险防控机制,使用符合国家标准及金融行业标准的产品,确保相关业务系统、受理终端等的技术标准符合性。清算机构要强化受理终端入网管理,完善终端定期抽检机制,加强终端抽样检测力度。人民银行分支机构要定期对条码支付相关业务系统、受理终端等组织开展专项抽查,强化条码支付技术管理。

问:对条码支付交易报文管理提出了哪些针对性的要求?

答:一是采用数字签名、加密传输等措施,加强支付指令真实性。二是在交易报文中准确记录发起方、接收方、网络路由、唯一交易流水号等关键信息,保障交易可追溯性和一致性。三是完善商户、渠道、订单等交易信息,精准刻画交易全貌,确保支付指令完整性。

问:对于普遍使用的静态条码,提出了哪些针对性的风险防控措施?

答:静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,提出了一系列防范静态条码风险的措施:一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对。五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。

问:对消费者使用条码支付付款的交易限额管理是如何统筹考虑的?

答:条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。

使用动态条码进行支付的,风险防范能力分级见下表。


条码支付门槛低、安全保护薄弱,央行发布支付新规整顿行业

使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。

为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。

问:对特约商户受理条码支付进行收款都有哪些具体要求?

答:加强对条码支付特约商户管理的目的在于排除风险商户,防范和遏制不法分子利用条码支付业务隐藏木马病毒、进行洗钱、欺诈等犯罪活动,更好地维护条码支付业务参与各方的合法权益。考虑到条码支付业务涉及银行账户和支付账户,且可应用于网络特约商户和实体特约商户,为保持监管制度和标准的一致性,我们遵循银行卡收单业务管理的相关要求,从条码支付特约商户拓展、特约商户审批、特约商户信息留存及管理、黑名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的管理要求。同时,为了兼顾小微商户受理条码支付的需求,促进普惠金融发展,明确在符合相关资质审核和认定的前提下,小微商户可以受理条码支付;同时,为了防范套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。

条码支付门槛低、安全保护薄弱,央行发布支付新规整顿行业

长按图片保存图片,分享给好友或朋友圈

条码支付门槛低、安全保护薄弱,央行发布支付新规整顿行业

扫码查看文章

正在生成分享图...

取消
相关文章