央行推“支付標記化”技術堵截防盜

今年以來，監管層加緊了對支付業務的監管。一位支付行業人士向北京商報記者透露，央行近日下發了《關于加強銀行卡風險管理的通知》（以下簡稱《通知》），要求各商業銀行、第三方支付公司在今年底要使用支付標記化技術進行交易數據處理。《通知》意在加強支付交易信息保護，保障支付安全。

按照央行要求，各商業銀行、支付機構在今年9月1日前，應采取措施加強支付敏感信息內控管理并開展自查，在12月1日起全面實行支付技術標記化技術處理數據。

支付標記化（Payment Tokenization）技術是由國際芯片卡標準化組織EMVCo于2014年正式發布的一項最新技術，原理在于通過支付標記（token）代替銀行卡號進行交易驗證，從而避免卡號信息泄露帶來的風險。

蘇寧金融研究院高級研究員薛洪言表示，與傳統基于卡號的交易傳遞過程相比，支付標記化方案替代了原始卡號和有效期，根本上杜絕了敏感信息泄露的可能。同時，通過域控屬性限定交易場景，既便支付標記本身被泄露，其影響范圍也大大降低。此外，收單機構還可以借助支付標記的擔保級別實現對交易風險的控制，進一步降低風險。

值得注意的是，央行還提出，自2016年11月1日起，各商業銀行基于銀行卡與支付機構、商業機構建立關聯業務時，應嚴格采用多因素身份驗證方式，直接鑒別客戶身份，并取得客戶授權。

這一條也受到第三方支付機構的關注，監管層所提到的“關聯業務”在實際操作中是指快捷支付。事實上，由于快捷支付沒有驗證銀行卡密碼，不需要U盾、口令或網銀，安全隱患較大，近年來，因快捷支付帶來的盜刷問題也屢屢發生。

薛洪言指出，當前快捷支付普遍采用交易密碼的單因素驗證手段，《通知》要求除交易密碼外，還需要增加數字證書或動態口令牌等驗證手段。《通知》落地后，快捷支付的快捷性可能稍受影響，比如從輸入一個密碼變成輸入兩個密碼，但不存在被叫停的風險。

今年6月，工行手機銀行就推出了新功能，用戶可通過App自助查詢銀行卡綁定了哪些第三方支付平臺，且可自助注銷其中不常用的快捷支付。

“央行此次的要求又是一塊檢驗第三方支付機構是口頭擁抱監管還是行動擁抱監管的試金石”，恒豐銀行研究院執行院長董希淼表示，關鍵在于銀行和第三方支付落實情況。

在去年底央行發布的《非銀行金融機構網絡支付業務管理辦法》就明確要求加強支付的多重身份驗證，但執行情況并不樂觀，目前，快捷支付的隱患依然存在。但在薛洪言看來，“支付標記化技術”和快捷支付的新規符合各方利益，推行的阻力不大。

而央行此次也強調要加大處罰力度。《通知》強調，要嚴查銀行卡受理終端改裝、支付交易驗證強度低、系統存在安全漏洞及受到網絡攻擊等造成的支付服務中斷、支付敏感信息泄露、資金損失事件，并按照有關規定從嚴處罰。對于違規情節嚴重者，將處罰有關高管；對于違規情節嚴重的支付機構，還將按照有關規定調低分類評級機制直至注銷《支付業務許可證》。