控銀行卡風險 快捷支付或難快捷

　　廣州日報訊 （記者林曉麗）快捷支付或將沒那么快捷了。為了應對銀行卡頻繁被盜刷，央行近日發布《中國人民銀行關于進一步加強銀行卡風險管理的通知》（下稱《通知》），要求各商業銀行、支付機構、卡清算機構加強對支付敏感信息的內控管理和安全防護工作，要求年底必須采用支付令牌化技術，以及多因素身份驗證。

　　降低敏感信息泄露風險

　　《通知》明確要求“自2016年12月1日起，各商業銀行、支付機構應使用支付標記化技術（Tokenization），對銀行卡卡號、卡片驗證碼、支付機構支付賬戶等信息進行脫敏處理，并通過設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息泄露和欺詐交易風險”。

　　據介紹，與傳統基于卡號的交易傳遞過程相比，支付標記化方案替代了原始卡號和有效期，根本上杜絕了敏感信息泄露的可能。

　　同時，通過域控屬性限定交易場景（如交易類型、使用次數、交易金額、有效期、支付渠道、商戶名稱等），即便支付標記本身被泄露，其影響范圍也大大降低。此外，收單機構還可以借助支付標記的擔保級別實現對交易風險的控制，進一步降低風險。

　　關聯業務主要是指快捷支付

　　《通知》規定，自2016年11月1日起，各商業銀行在基于銀行卡與商業機構支付機構建立關聯聯系時，應嚴格采用多因素身份驗證方式，直接鑒別客戶身份，并取得客戶授權。

　　某銀行電子支付相關人士告訴記者，前述關聯業務主要是指快捷支付。快捷支付沒有驗證銀行卡密碼，并不需要U盾、口令或網銀，安全隱患較大，近年因此造成的網絡支付糾紛快速上升。

　　《通知》指出，前述關聯業務的身份鑒別應采取以下組合方式之一：一是采用符合《金融電子認證規范》的數字證書，并組合交易密碼等至少一種認證因素；二是采用符合《動態口令密碼應用技術規范》的動態令牌設備，并組合交易密碼等至少一種認證因素；三是至少組合兩種動態認證因素（如動態驗證碼、基于客戶行為的動態挑戰應答等），并采用語音、短信數據(如手機銀行、即時通訊、郵件)等至少兩種不同的通信渠道。

　　前述銀行人士表示，多重身份驗證這一監管要求此前已多次明確要求，但至今第三方支付機構基本都未落實。此次監管要求的三種方式，對銀行來說并無太大難度，關鍵還要看支付機構的配合。不過，該人士補充道，在此規定下，支付機構需要額外增加新的驗證手段，快捷支付或將變得不快捷。

　　明年五一起

　　關閉復合卡磁條交易

　　值得關注的是，此次《通知》亦強調對違規支付行為從嚴處罰。《通知》要求嚴格落實各項銀行卡支付的有關規定，加大督察處罰力度。對于違規行為將從嚴處罰，對于違規情節嚴重的支付機構，還將按照有關規定調低分類評級機制，直至注銷《支付業務許可證》。

　　《通知》提出“自2017年5月1日起，全面關閉芯片磁條復合卡的磁條交易”，并要求商業銀行加快存量磁條卡更換為金融IC卡的進度。

　　Tips　

　　支付標記化

　　(Payment Tokenization)

　　又可翻譯為支付令牌化，是由國際芯片卡標準化組織EMVCo于2014年正式發布的一項最新技術，即使用唯一的一個支付標記（與主卡號保持一致，一般由13至19位的數字組成）來替代銀行主賬號進行交易驗證。