「澳门四大博彩中介」银行卡盗刷案频发,有了这技术再也不担心信息泄露了


您现在的位置:洗洛铁生信息门户网 > 国际 > 「澳门四大博彩中介」银行卡盗刷案频发,有了这技术再也不担心信息泄露了

1742人阅读

「澳门四大博彩中介」银行卡盗刷案频发,有了这技术再也不担心信息泄露了

澳门四大博彩中介,近日,央视财经曝光了这样一条消息“有这样一些消费者,他们的账号里只留了几十元钱,而且所有的银行卡也都解绑了,可结果还是被骗子转走了数千甚至上万元”。文章起了一个吸引眼球的题目《太可怕!银行卡里没钱,也能被盗刷近万元》,在朋友圈引起了广泛转发。

在苏宁金融研究院高级研究员薛洪言看来,央行近日悄然发布的《中国人民银行关于进一步加强银行卡风险管理的通知》(下称《通知》),首提支付标记化技术,剑指银行卡盗刷,有望根本上破解银行卡敏感信息泄露的难题。至于支付标记化技术是个什么鬼?央行新规又会带来怎样的影响?下面几点你需要知道。

银行卡信息被泄露,你会面临怎样的风险?

截至2016年1季度末,中国银行卡发行量已经达到56.58亿张,人均持卡4.15张。银行卡是交易和支付的最主要载体,也成为黑客和诈骗团伙重点公积的目标。目前业界普遍采用的账户信息保护手段有账户安全保护(如数据加密)、系统定期渗透性测试及端到端加密等,但都存在一定的局限性,不能彻底解决信息泄露风险。

那么,如果持卡人的银行卡信息泄露,会面临什么风险呢?

伪卡欺诈类。如果磁条卡被侧录,很容易复制成一张伪卡,用于欺诈交易,给持卡人带来资金损失。

无卡欺诈类。如果卡号与有效期被泄露,很容易在部分电子商务中被用于欺诈交易,给持卡人带来资金损失。

问题来了,如何在不改变持卡人用卡习惯的同时,有效降低敏感信息泄露的风险呢?答案是支付标记化技术(tokenization)。

支付标记化技术如何降低敏感信息泄露风险?

《通知》明确要求“自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。”

支付标记化(payment tokenization),又可翻译为支付令牌化,是由国际芯片卡标准化组织emvco于2014年正式发布的一项最新技术,即使用唯一的一个支付标记(与主卡号保持一致,一般由 13 至 19 位的数字组成)来替代银行主账号进行交易验证。

也许你对支付标记化技术这个词比较陌生,但对下面一些应用应该不会陌生。

大家熟悉的银联“云闪付”产品就集成了支付标记化处理,以apple pay为例,先基于支付标记生成设备卡号,再生成与之匹配的芯片个人化数据并加载到手机设备上,使手机变成一张芯片卡。

与传统基于卡号的交易传递过程相比,支付标记化方案替代了原始卡号和有效期,根本上杜绝了敏感信息泄露的可能。同时,通过域控属性限定交易场景(如交易类型、使用次数、交易金额、有效期、支付渠道、商户名称等),这样即便支付标记本身被泄露,其影响范围也大大降低。此外,收单机构还可以借助支付标记的担保级别来实现对交易风险的控制,进一步降低风险。

所谓域控,表示标记被限定的使用场景,比如特定的交易类型、使用次数、支付渠道、商户名称、数字钱包服务提供方或者以上限定场景的任意组合。一个简单的例子就是线上商户,可以为该商户定义一个单独的域控,这样即使支付标记被攻击或者泄露,也不能用到其他支付交易场景中。

持卡人的支付体验受到哪些影响?

大多数交易过程中,支付标记对持卡人是透明的。持卡人只需正常发起交易,支付标记化的处理过程会在后台完成,持卡人不需要了解交易过程中使用的是支付标记还是主账号。不过,在有些场景中,支付标记的最后四位可能显示在商户的收据中,以使持卡人感知到支付标记的存在。

在体验基本不受影响的情况下,持卡人还可获得多方面的益处。一是支付标记的使用能减少数据泄漏的影响,一张主卡可生成多个标记,其中任何一个标记发生泄漏或者存储该标记的设备丢失后,该标记可被禁用,减少了重新发卡的麻烦和可能引起的交易中断。此外,支付标记过程使用动态验证技术,持卡人可享受更方便的购物体验,在某些情况下,持卡人不再需要输入敏感信息执行身份验证。

还有一个重要的影响是二维码支付。作为支付创新的一种,二维码支付为用户、商户带来快捷的支付体验,但由于二维码易复制、安全性弱等特点使其存在一定的风险,前几年,央行一度叫停二维码支付模式。而通过支付标记将敏感信息进行替代,可以提高二维码支付的安全。在该应用场景中,移动设备上的应用程序以安全的方式,生成一个含有支付标记、标记有效期以及其它来自于二维码的数据(如交易token密文等),该支付标记被限定为一次有效,且有效时间也被严格控制,以提升支付的安全性。交易流程如下图所示:

快捷支付的快捷性可能稍受影响

《通知》规定,自2016年11月1日起,各商业银行在基于银行卡与商业机构支付机构建立关联联系时,需要多重身份验证,并给出了三种具体的操作模式,基本理念是增加客户验证渠道。在此规定下,快捷支付采用交易密码的单因素验证手段将变得不合规,支付机构需要额外增加新的验证手段,使快捷支付变得不快捷。

当前快捷支付普遍采用交易密码的单因素验证手段,《通知》要求,除交易密码外,还需要增加数字证书或动态口令牌等验证手段。所以,只要用户在设备上安装数字证书,仍然可以通过交易密码的方式完成快捷支付过程。或者采用同时输入交易密码和动态令牌密码的方式完成快捷支付。因此,《通知》落地后,快捷支付的快捷性可能稍受影响,但不存在被叫停的风险。

快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。由于快捷支付无需跳转页面,一步完成支付动作,成为使用最为广泛的线上支付方式。

最后,《通知》明确提出“自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易”,并要求商业银行加快存量磁条卡更换为金融ic卡的进度。磁条卡交易,终于要退出历史舞台了。

(作者:薛洪言,苏宁金融研究院高级研究员)

甘肃快三