根据每日经济新闻消息,中国人民银行于 11 月 9 日下发了《中国金融移动支付 支付标记化技术规范》(以下简称《规范》)行业标准的通知,宣称将于 2016 年 12 月 1 日起全面推行支付标记化技术(Payment Tokenization)。
据悉,《规范》同时确定了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。
什么是支付标记化?
央行在今年 7 月发布《关于进一步加强银行卡风险管理的通知》,首次提出支付标记化技术,旨在解决银行卡盗刷及信息泄露等问题。
根据 MBA 智库百科,支付标记化是由国际芯片卡标准化组织 EMVCo 于 2014 年发布的一项技术,通过用支付标记(Token)取代银行卡号进行交易认证,避免卡号等信息泄露带来的风险。
具体来说,支付标记使用一个唯一的数值(与主卡号保持一致,一般由 13 至 19 位的数字组成)来取代银行卡的主帐号,同时确保该数值被限定在一个特定的商户、渠道或者设备中使用。在银行卡的支付交易中,支付标记替换了卡号,支付标记的有效期替换了银行卡的有效期,可以在不影响交易处理的情况下增强交易的安全性。
(图片来自:Carta Worldwide)
早在 2013 年, 中国银联就已经对支付标记化进行了相关的技术研究和产品实施工作。2014 年 12 月,中国银联与中国南方航空公司推出银联卡“一键支付”服务,面向南航明珠会员首次将支付标记化进行了实际应用。2015 年,中国工商银行与中国银联和 VISA 合作推出“HCE 云支付”信用卡产品,将支付标记运用到了信用卡服务中。今年 7 月,中国银联还发布了《中国银联支付标记化技术指引》,进一步对支付标记化的具体应用进行了阐释。
(图片来自:天极网)
现在被广泛应用的银联“云闪付”就集成了支付标记化的功能。以使用 Apple Pay 为例,支付标记化的过程表现为,先基于支付标记生成设备卡号,再生成与之匹配的芯片个人化数据并将其加载到手机设备上,使手机代替芯片卡完成支付。
中国银联技术部专家周明表示,支付标记化技术具有三项优势:
包含持卡人卡号与有效期等在内的敏感信息将不在交易中出现;
支付标记仅可以在限定的交易场景中使用,降低了交易风险;
与传统银行卡验证方式相比,支付标记的灵活性更高,综合了个人信息和设备信息验证、支付信息附加验证、风险等级评估等功能对交易进行合法性识别和风险管控。
支付标记化如何从源头上降低交易风险?
中国银行业协会于 7 月 28 日发布《中国银行卡产业发展蓝皮书(2016)》,称截至 2015 年底,中国银行卡累计发卡量达 56.1 亿张,人均持卡数为 4.09 张,2015 年全国的银行卡交易金额为 1420.8 亿元人民币。
报告同时指出,尽管银行卡欺诈交易金额的同比增速远低于银行卡业务量的增速,但随着互联网行业的快速发展,欺诈风险逐渐向线上交易转移。在以往的线下交易中,银行卡被复制盗刷是高发案件。而在线上交易中,尽管不存在银行卡被复制盗刷的风险,但是交易仍需提供卡号和有效期,很容易给欺诈团体带来可乘之机。
(图片来自:网易公正邮)
除此之外,移动支付的兴起带来了新的支付技术和模式,尤其是第三方快捷支付,在给人们提供便利的同时,也给风险管控带来了新的挑战。银行卡专业委员会主任、交通银行副行长侯维栋表示,截至 2015 年底,国内市场上持牌的第三方支付公司约有 270 家,市场主体的增加进一步提高了监管难度,增加了支付风险。
据悉,目前市场上一些第三方支付机构在完成授权时,只需提供银行卡号和预留手机号码就可以办理,犯罪分子可以通过骗取验证码或者挂失手机号等方式获得支付授权,把钱转走。
而随着移动终端的普及,针对移动支付的病毒也大量出现。根据奇虎 360 发布的《2015 年度中国互联网安全报告》,2015 年 Android 设备用户感染恶意程序达 3.7 亿人次,比 2014 年增长了 15%。
从交易方式到交易终端,整个环节中“陷阱”一直存在,这就要求支付环节的各个参与者都加强风险管控。
《规范》称,“近年来,国内商业银行、非银行支付机构等为保护支付敏感信息,提升支付安全,防范信息泄露和欺诈交易,在移动支付业务中逐步引入了支付标记化技术,通过支付标记限定,从源头遏制信息泄露,最大程度上保障用户交易安全。”
与传统交易中的卡号传递过程相比,支付标记替代了卡号、有效期等敏感信息,从源头上避免了信息的泄露。同时,通过限定标记的使用场景,如交易类型、使用次数、支付渠道、商户名称、数字钱包服务提供商等,即使支付标记本身被泄露,影响范围也很有限。
此外,一张主卡可以生成多个标记,任何一个标记发生泄露或者存储该标记的设备丢失后,该标记可以被禁用,从而减少了补卡的麻烦。
(图片来自:TechCrunch)
支付标记过程也同样支持动态验证技术,允许持卡人在某些场景下减少入敏感信息进行身份验证的频次。而被广泛应用的二维码支付,也可以因支付标记而变得更加安全。在此场景下,移动应用会生成一个含有支付标记、标记有效期等数据在内的二维码,这个标记将被设置为单次有效且有时间限定。对于扫码支付的持卡人来说,这样就不必担心支付信息被泄露了。
对使用者而言,尽管交易过程中多了“支付标记”这一步,但整个过程发生在后台,对使用者的体验不会造成影响。但也因为这“透明”的一步,交易风险得以降低。
尽管从技术层面的创新和行业监管来看,各方都加强了对线上支付交易的风险管控,但说到底,进行支付行为的还是持卡人本身。因此,要想让钱安全地呆在口袋里,还是得自己先悠着点,做好安全措施。