银行卡信息泄露和欺诈交易将迎来克星。日前央行下发《关于进一步加强银行卡风险管理的通知》,要求自今年年底前各商业银行和支付机构全面应用“支付标记化技术”,从源头控制信息泄露和欺诈交易风险。
从源头控制信息泄露和欺诈风险
央行日前下发的《通知》明确要求,各商业银行和支付机构自2016年12月1日起,使用支付标记化技术对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
什么是支付标记化?据业内人士介绍,简单来说,支付标记化(Payment Tokenization) 技术是由国际芯片卡标准化组织EMV-Co于2014年正式发布的一项最新技术,原理在于通过支付标记(token)代替银行卡号进行交易验证,从而避免卡 号信息泄露带来的风险。支付标记化是使用一个唯一的数值来替代传统的银行卡主账号的过程,同时确保该值的应用被限定在一个特定的商户、渠道或设备。支付标记可以运用在银行卡交易的各个环节,与现有基于银行卡号的交易一样,可以在产业中跨行使用,具有通用性。
该人士表示,支付标记化技术作为全球支付领域的最新前沿技术,具有多重优势。首先,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现;其次,支付标记仅可在限定交易场景使用,使得支付更安全;此外,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。
强调多重身份验证要落实
除了支付标记化,《通知》还要求各机构2017年5月1日起全面关停芯片磁条复合卡磁条交易(降级交易)。并且从加强消费者个人信息保护角度,重申了对支付敏感信息的安全防护,要求升级银行卡支付的交易验证强度和安全防护手段,采取措施加强支付敏感信息内控管理。并要求各商业银行、支付机构在2016年9月1日前,对2011年央行下发的个人金融信息保护有关规定的落实情况开展自查,并上报央行。
此外,2016年11月1起 各商业银行在基于银行卡与商业机构支付机构建立关联联系需要多重身份验证,并给出指导方式。基本原则仍是“快捷支付由银行验证、实名开户多个外部渠道验证”。其实,前述多重身份验证这一监管要求在此前监管部门下发的“10号文”、规范非银行支付机构的“43号文”(即去年底央行发布的《非银行金融机构网络支付业务管理办法》)都已多次明确要求。由于快捷支付没有验证银行卡密码,并不需要U盾、口令或网银,安全隐患较大,近年因此造成的网络支付纠纷快速上升。
业内人士表示,由于此次《通知》亦强调对违规支付行为从严处罚,因此,此条要求对业内影响最大、也最受网络支付机构关注。
快速办卡通道:广发真情卡