取消
普通评论
普通评论

银行卡检测中心董事长孙衍琪:守护受理终端安全 护航支付产业发展

金融电子化2017-06-15 10:04
孙衍琪 支付 安全 信息安全

银行卡检测中心董事长孙衍琪:守护受理终端安全 护航支付产业发展

文/中国银联北京分公司总经理、银行卡检测中心董事长 孙衍琪

  人民银行发布的《2016年支付体系运行总体情况》显示,2016年全国银行卡交易笔数和金额分别达到1154.74亿笔和741.81万亿元,全国联网商户和POS终端分别超过2000万户和2400万台,ATM终端90余万台。在庞大的市场规模下,我国支付产业迎来了重大的发展机遇,同时也面临着巨大的挑战。

  受理终端形态多样,终端安全风险突显

  二维码支付、NFC近场支付、手机钱包支付等新型支付方式的兴起,促使支付受理终端形态不断演变。mPOS、智能终端、远程视频柜员机等创新终端的出现有效提升了支付服务效率,更好地满足了社会大众多样化的金融服务需求。然而,支付模式快速创新、终端形态层出不穷的同时,支付受理终端风险隐患也伴随而来。

  一方面,传统支付受理终端面临的终端非法改装、磁道信息侧录等安全风险较为突出。个别收单机构过分逐利、心存侥幸,在受理终端风险管控方面措施不足,使用未通过检测认证或存在安全防护机制缺陷的老旧终端,导致被不法分子非法改装后发生磁条卡伪卡盗刷等风险事件,造成消费者个人信息泄露和资金损失,给支付受理环境和收单市场秩序带来不利影响。

  另一方面,创新支付受理终端防范恶意代码注入、交易指令伪造、中间人攻击等风险的能力有待进一步加强。个别终端厂商为在创新终端市场竞争中取得先机,过分看重产品发布进度,忽视产品安全与质量,企图通过缩短测试周期或绕过外部安全评估以实现“近道超车”,但往往“欲速则不达”,导致出厂终端的操作系统或应用程序存在安全漏洞,给信息保护和资金安全造成严重威胁。

  强化终端安全管理,健全风险防范机制

  在金融监管部门的正确指导以及支付产业各方的共同努力下,支付受理终端领域逐步形成了“以政策制度为基础、以标准规范为支撑、以检测认证为手段”的系统化、协同化、专业化的风险防范机制。

  1.监管政策要求。近期,人民银行印发了《关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号文),针对受理终端非法改装、磁道信息侧录、二维码支付风险等问题,创新性的提出综合运用大数据分析和密码识别技术,建立受理终端事前入网身份识别、事中交易数据校验、事后风险防范多层次的管理机制。同时,针对银行卡受理终端产品质量问题,要求各商业银行、支付机构必须使用符合国家标准及金融行业标准的受理终端。对于使用质量不合格、不符合标准的受理终端导致客户信息泄露或资金损失的,商业银行、支付机构应依法承担相应赔偿责任。21号文的发布体现了金融监管部门对支付受理终端风险整治的决心,也为支付产业提升风险防控能力、防范电信网络欺诈提供了切实有效的实施依据。

  2.标准体系建设。随着境内支付清算市场的逐步开放,支付受理终端领域“国际—行业—企业”三位一体的标准体系已初步落地。支付卡产业国际标准方面,支付卡产业安全标准委员会(简称“PCI”)发布的PCI PTS标准从物理和逻辑、生产过程、设备集成、持卡人数据、开放协议等方面对各类受理终端提出了安全要求,目前已成为国际主流的受理终端安全规范,在我国的落地实施能够对现有的自主标准起到良好的促进与补充作用。我国金融行业标准方面,2016年人民银行发布了《银行卡受理终端安全规范》(JR/T 0120),对POS终端、受理商户信息系统、自助终端、电话支付终端及PIN输入设备提出了全面的安全要求,为增强银行卡受理终端的安全管理能力、提升金融服务质量和普惠水平、防范支付敏感信息泄露和伪卡欺诈风险提供了强有力的技术支撑。我国金融企业标准方面,中国银联于2011年发布了《银联卡受理终端安全规范》(Q/CUP 007),对入网支付受理终端的基础安全、各类终端形态产品特征性安全以及辅助性要求等方面进行了规范,明确了受理终端产品的安全防护基线,为支付产业各方提供了最佳的技术实践。

  3.检测认证机制。检测认证作为支付技术管理的重要辅助手段,在我国金融行业得到了有效的应用,目前已在非银行支付、移动金融等领域开展,涵盖了支付系统、安全芯片、移动客户端软件等多类支付产品。中国银联和PCI均通过引入检测认证机制保证安全标准的贯彻落实,授权第三方专业检测机构对支付受理终端实施技术检测,并根据检测结果开展认证工作,保障支付受理终端标准符合性与安全性,提升支付风险防控能力。

  保障受理终端安全,促进产业健康发展

  银行卡检测中心作为第三方专业检测机构,自1998年成立以来,始终以保障支付安全为己任,以建设成为“国内领先、国际一流”的检测机构为目标,不断开拓进取、砥砺前行,用过硬的技术实力保障支付受理终端安全,以卓越的服务质量促进支付产业健康发展。

  1.深入研究,协助完善技术标准。银行卡检测中心积极学习国外先进检测技术,努力研究国际主流技术标准,不断提升自身检测服务水平,在2013年建成了国家金融IC卡安全检测中心,弥补了我国芯片检测领域空白,具备了不低于国际EAL4+的专业化芯片安全检测能力,实现了对31项芯片安全、19项嵌入式软件安全以及各类应用安全等项目的检测。与此同时,中心充分发挥在检测技术积累上的优势和潜力,积极参与金融IC卡、移动支付、受理终端等多项技术标准的制修订工作,将在支付安全风险防范领域积累的丰富经验融入标准,提升标准制定的科学性与合理性,增强支付产业各方的信息安全保障能力。

  2.开拓视野,推进国际资质建设。银行卡检测中心立足我国支付产业,着眼未来、认真研判,积极开展与国际检测实验室的对标工作。凭借先进的技术水平、良好的检测环境、完善的管理体系,先后成为EMVCo、VISA、MasterCard、GlobalPlatform等国际组织授权的检测实验室。在人民银行科技司、中国银联的指导和产业各方同仁的帮助下,中心于2017年1月获得了PCI PTS检测资质授权,成为了全球第8家、国内首家PCI PTS检测实验室,具备了国际银行卡支付权威标准组织认可的支付受理终端安全检测能力。这也是中心继2013年获得PCI DSS合规评估与扫描服务资质后,再次取得业务领域的重大突破。对完善我国支付安全检测认证体系、推动国内受理终端厂商走向国际、提升支付产业整体安全防护水平起到了积极的促进作用。

  3.履职尽责,把关受理终端安全。银行卡检测中心始终恪尽职守、尽职尽责,坚决履行好作为检测机构应尽的职责和义务,一方面,严格按照国际、国家和金融行业有关技术标准,对支付受理终端的标准符合性与安全性实施检测,为支付产业严把受理终端质量关。2016年完成了214款终端类(POS、mPOS、自助终端、密码键盘、个人支付终端等)产品的安全检测,其中商用终端185款、个人支付终端29款。另一方面,积极配合人民银行及中国银联的支付受理终端技术管理工作,为优化受理环境、保障终端安全提供技术支持。2015年配合中国银联开展支付受理终端安全检查,完成了16款终端的抽检。2016年配合人民银行开展移动金融和金融IC卡受理环境安全和标准符合性专项抽查,完成了228款终端的抽检。

  银行卡检测中心将坚定不移地贯彻国家“一带一路”战略,发挥好在检测技术“引进来”、“走出去”方面的桥梁与纽带作用。切实落实金融监管部门的政策要求,竭力满足支付产业各方的现实诉求,将PCI PTS检测资质作为保障支付安全征程的新起点,继续强化自身实力,持续提升服务水平,为支付产业的安全发展保驾护航。

责任编辑:韩希宇

为你推荐

暂无相关推荐