六合解霸|十三太保

支付意愿、數據安全 2020年支付安全重點有哪些?


來源:移動支付網    作者:偉辰    2020-2-1 15:25

在2020年的今天,大多數人身上已經找不到一張紙幣,線下消費大部分通過電子支付完成,電子支付已經成為了這個時代的主要支付方式。

支付方式發生了變化,支付安全也再次成為了需要討論的問題。在現金時代保證支付安全是一件很簡單的事情,交易雙方一手交錢一手交貨,只要能辨識假錢,能算對加減乘除,現金交易安全就可以得到基本保障。在電子支付時代,由于第三方的加入,假錢問題得到了解決,但是新的問題也開始產生。

盜刷是電子支付安全難點

電子支付是指單位、個人直接或授權他人通過電子終端發出支付指令,實現貨幣支付與資金轉移的行為,業務高度依賴于互聯網和通信技術。因此,電子支付擁有互聯網技術通有的特征:不拘于時間、地點,想付就付。

無疑,電子支付是便捷的,極大的節約了成本,減少了消費者和商戶的麻煩,但是它本身也存在一定的問題。電子支付不拘于時間、地點以及非直接接觸的特點讓支付有點脫離人的掌控。

2017年“315”晚會曝光了二維碼盜刷手段,犯罪分子偽造二維碼將消費者導流至釣魚網站進行資金詐騙,甚至干脆使用自己的二維碼代替商家的二維碼進行盜刷。這是新時代電子支付最普通的盜刷手段。

犯罪嫌疑人指認現場

在這個過程中,商家或消費者發現支付存在問題往往是在支付已經完成的情況下,木已成舟,不要說阻止支付行為,事實上損失都很難追回。而除了二維碼盜刷、銀行卡盜刷這樣的案例,還有更難防范的短信嗅探盜刷。

短信嗅探盜刷主要是依靠偽基站+GSM中間人攻擊原理盜取用戶個人支付賬號,從而實施盜刷。犯罪分子一般選在深夜實施盜刷,用戶難以察覺,而且很難防范。目前為止,防御短信嗅探盜刷最好的方式是晚上關機睡覺。

很明顯,電子支付讓支付的安全形勢發生了變化,支付過程從點對點完成變成了通過一個不可觸及的第三方完成。這個第三方每次與支付雙方的聯系全部通過網路完成,這其中的安全風險不言而喻。

雖然近幾年支付機構不斷加強支付安全投入,但是盜刷永遠都在發生,套路各有不同,而每次盜刷的發生都會給產業帶來或大或小的負面影響。

311安全要素貼近安全目標

便捷是電子支付的特點,但是便捷總是要付出代價的,如何彌補這個代價成為了支付行業從業者一直在思考的問題:“作為第三方,我們該如何降低支付風險?”安御道合向移動支付網分享了他們對于這個問題的思考:311安全要素。

安御道合認為,降低支付安全風險的中心問題是保障“誰向誰支付多少錢?”的可信性。作為第三方的銀行、支付機構需要在這個過程中確定五個關鍵要素。

安御道合將這五個關鍵要素稱為311安全要素,“3”指三個客體可信:支付人、商戶、貨幣;兩個“1”指一個數據內容可信和一個支付動作可信。

1、確定第一個“誰”即支付者的真實性,確保這個支付者與所付的錢的關系;

2、確定第二個“誰”即收款者的真實性、準確性和不可篡改。確保所支付的錢有且只有指定的收款者才可接收;

3、確定錢是真的,防偽的,金額是正確有效的;

4、支付指令是否由支付者下達;

5、支付行為是否能體現支付者意愿。

這些安全要素構建了最貼近支付業務的安全目標。311安全要素中任何一個要素安全如果無法得到保障,支付安全將會受到威脅。

密碼保護技術:支付安全最重要的技術

311安全要素構建了支付業務的安全目標,想要達到目標還要通過技術手段完成。

安御道合認為,為實現311安全要素構建的安全目標,身份認證和密碼保護是必不可少的兩項技術。其中,身份認證技術驗證支付人、商戶身份;密碼保護技術則是對支付業務中所有數據進行保護。

由于支付相關所有操作全部由各種數據傳輸、使用組成,因此支付安全的關鍵其實是數據安全。而且身份認證技術本身無法脫離密碼保護,無論是身份認證信息的傳輸,還是身份認證信息的確認都需要密碼技術的保護。

例如在短信嗅探盜刷案中,短信驗證碼屬于身份認證技術,其作用是驗證用戶身份真實性,但是由于短信驗證碼在傳輸過程中沒有受到密碼保護,被犯罪分子獲取,從而使用戶賬戶安全受到威脅。

另外,在支付業務中所有的數據都屬于個人金融(信息)數據,一旦泄露,不僅僅會對用戶財產安全造成威脅,也會對第三方機構的安全造成威脅,甚至金融安全帶來威脅,例如信用卡信息大規模泄露,可能會給銀行帶來大筆壞賬。

在追求支付安全的過程中,數據安全是非常重要的,而密碼技術是保護數據安全的最好手段。在等保2.0當中,密碼技術是網絡安全的核心技術,是信息保護和網絡信息體系建設的基礎,是保障網絡空間安全的關鍵技術。

密碼技術依托于兩個關鍵:一是算法,二是密鑰。算法做為一種標準化的,可信的方法,對信息的保護及互聯互通起了決定性的作用。而密鑰管理在保障共享開放的同時,也對私密個性的管理提供了可靠的保障。

所有數據都會有生命周期,有生、行(傳輸)、存(保存)、交流(訪問)、死亡(銷毀)。安御道合認為,密碼就象身份里的紅細胞,保障數據行和交流的互通。密鑰就象身體里的白細胞抵御外來的威脅。安御道合明確地提出,數據也是有邊界的,數據邊界的劃定體現就是密鑰,即密鑰在哪,哪就是數據的邊界。

安御道合認為銀行、企業需要統一密鑰管理做為數據邊界保護的基礎設施。

新的貨幣新的支付

隨著互聯網技術的繼續發展,社會數字化程度不斷提高,貨幣的數字化已經近在眼前,中國人民銀行多次透露央行數字貨幣(DCEP)的信息,無疑DCEP的誕生將會給支付帶來新的改變。

幸運的是,DCEP也屬于電子支付的一部分,即使給現在的支付業帶來沖擊,311安全要素的重要性不會改變,而且隨著DCEP的發行,密碼保護技術的重要性將會隨之上升,在支付安全當中密碼保護技術的重要性還會繼續上升。

技術的快速革新讓原有的支付安全手段變得不合時宜,與時俱進是每一個支付人要做的事情。2020年支付安全究竟需要做什么事情,通過什么手段還需要更多專業人士進行討論。

本文為作者授權發布,不代表移動支付網立場,轉載請注明作者及來源,未按照規范轉載者,移動支付網保留追究相應責任的權利。
相關文章

月點擊排行
關于本站    聯系我們    版權聲明    手機版
Copyright © 2011-2020 移動支付網    粵ICP備11061396號     粵公網安備 44030602000994號
 
六合解霸 秒速赛车人工网页计划 15选5开奖结果金 包钢股票行情分析 陕西麻将游戏下载 贵州快三开奖号 象泰配资 武汉赖子麻将官网 pk10官方网站 峪科配资 北京快三走势图1定牛