支付意愿、数据安全 2020年支付安全重点有哪些?
在2020年的今天,大多数人身上已经找不到一张纸币,线下消费大部分通过电子支付完成,电子支付已经成为了这个时代的主要支付方式。支付方式发生了变化,支付安全也再次成为了需要讨论的问题。在现金时代保证支付安全是一件很简单的事情,交易双方一手交钱一手交货,只要能辨识假钱,能算对加减乘除,现金交易安全就可以得到基本保障。在电子支付时代,由于第三方的加入,假钱问题得到了解决,但是新的问题也开始产生。
盗刷是电子支付安全难点
电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为,业务高度依赖于互联网和通信技术。因此,电子支付拥有互联网技术通有的特征:不拘于时间、地点,想付就付。
无疑,电子支付是便捷的,极大的节约了成本,减少了消费者和商户的麻烦,但是它本身也存在一定的问题。电子支付不拘于时间、地点以及非直接接触的特点让支付有点脱离人的掌控。
2017年“315”晚会曝光了二维码盗刷手段,犯罪分子伪造二维码将消费者导流至钓鱼网站进行资金诈骗,甚至干脆使用自己的二维码代替商家的二维码进行盗刷。这是新时代电子支付最普通的盗刷手段。
http://p3.pstatp.com/large/pgc-image/b1723ebef7334134883681de752cc2ae
犯罪嫌疑人指认现场
在这个过程中,商家或消费者发现支付存在问题往往是在支付已经完成的情况下,木已成舟,不要说阻止支付行为,事实上损失都很难追回。而除了二维码盗刷、银行卡盗刷这样的案例,还有更难防范的短信嗅探盗刷。
短信嗅探盗刷主要是依靠伪基站+GSM中间人攻击原理盗取用户个人支付账号,从而实施盗刷。犯罪分子一般选在深夜实施盗刷,用户难以察觉,而且很难防范。目前为止,防御短信嗅探盗刷最好的方式是晚上关机睡觉。
http://p3.pstatp.com/large/pgc-image/c6bd0f8214224c1289059f32cd7ac39c
很明显,电子支付让支付的安全形势发生了变化,支付过程从点对点完成变成了通过一个不可触及的第三方完成。这个第三方每次与支付双方的联系全部通过网路完成,这其中的安全风险不言而喻。
虽然近几年支付机构不断加强支付安全投入,但是盗刷永远都在发生,套路各有不同,而每次盗刷的发生都会给产业带来或大或小的负面影响。
311安全要素贴近安全目标
便捷是电子支付的特点,但是便捷总是要付出代价的,如何弥补这个代价成为了支付行业从业者一直在思考的问题:“作为第三方,我们该如何降低支付风险?”安御道合向移动支付网分享了他们对于这个问题的思考:311安全要素。
安御道合认为,降低支付安全风险的中心问题是保障“谁向谁支付多少钱?”的可信性。作为第三方的银行、支付机构需要在这个过程中确定五个关键要素。
安御道合将这五个关键要素称为311安全要素,“3”指三个客体可信:支付人、商户、货币;两个“1”指一个数据内容可信和一个支付动作可信。
1、确定第一个“谁”即支付者的真实性,确保这个支付者与所付的钱的关系;
2、确定第二个“谁”即收款者的真实性、准确性和不可篡改。确保所支付的钱有且只有指定的收款者才可接收;
3、确定钱是真的,防伪的,金额是正确有效的;
4、支付指令是否由支付者下达;
5、支付行为是否能体现支付者意愿。
这些安全要素构建了最贴近支付业务的安全目标。311安全要素中任何一个要素安全如果无法得到保障,支付安全将会受到威胁。
密码保护技术:支付安全最重要的技术
311安全要素构建了支付业务的安全目标,想要达到目标还要通过技术手段完成。
安御道合认为,为实现311安全要素构建的安全目标,身份认证和密码保护是必不可少的两项技术。其中,身份认证技术验证支付人、商户身份;密码保护技术则是对支付业务中所有数据进行保护。
由于支付相关所有操作全部由各种数据传输、使用组成,因此支付安全的关键其实是数据安全。而且身份认证技术本身无法脱离密码保护,无论是身份认证信息的传输,还是身份认证信息的确认都需要密码技术的保护。
例如在短信嗅探盗刷案中,短信验证码属于身份认证技术,其作用是验证用户身份真实性,但是由于短信验证码在传输过程中没有受到密码保护,被犯罪分子获取,从而使用户账户安全受到威胁。
另外,在支付业务中所有的数据都属于个人金融(信息)数据,一旦泄露,不仅仅会对用户财产安全造成威胁,也会对第三方机构的安全造成威胁,甚至金融安全带来威胁,例如信用卡信息大规模泄露,可能会给银行带来大笔坏账。
在追求支付安全的过程中,数据安全是非常重要的,而密码技术是保护数据安全的最好手段。在等保2.0当中,密码技术是网络安全的核心技术,是信息保护和网络信息体系建设的基础,是保障网络空间安全的关键技术。
密码技术依托于两个关键:一是算法,二是密钥。算法做为一种标准化的,可信的方法,对信息的保护及互联互通起了决定性的作用。而密钥管理在保障共享开放的同时,也对私密个性的管理提供了可靠的保障。
所有数据都会有生命周期,有生、行(传输)、存(保存)、交流(访问)、死亡(销毁)。安御道合认为,密码就象身份里的红细胞,保障数据行和交流的互通。密钥就象身体里的白细胞抵御外来的威胁。安御道合明确地提出,数据也是有边界的,数据边界的划定体现就是密钥,即密钥在哪,哪就是数据的边界。
安御道合认为银行、企业需要统一密钥管理做为数据边界保护的基础设施。
新的货币新的支付
随着互联网技术的继续发展,社会数字化程度不断提高,货币的数字化已经近在眼前,中国人民银行多次透露央行数字货币(DCEP)的信息,无疑DCEP的诞生将会给支付带来新的改变。
幸运的是,DCEP也属于电子支付的一部分,即使给现在的支付业带来冲击,311安全要素的重要性不会改变,而且随着DCEP的发行,密码保护技术的重要性将会随之上升,在支付安全当中密码保护技术的重要性还会继续上升。
技术的快速革新让原有的支付安全手段变得不合时宜,与时俱进是每一个支付人要做的事情。2020年支付安全究竟需要做什么事情,通过什么手段还需要更多专业人士进行讨论。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]