▲支付标记化就是使用数值来替代传统的银行卡主账号的过程。同时,确保该值的应用被限定在一个特定的商户、渠道或设备
银行卡在自己手里,钱却被盗了;持卡人未收到动态交易密码,银行卡账户却发生网上支付……随着刷卡和网上支付的日渐增多,盗用他人银行卡信息,非法牟利的案例屡见不鲜。不过,从12月1日起,银行卡信息泄露和欺诈交易迎来克星。
今年7月,央行发布了《关于进一步加强银行卡风险管理的通知》,要求自12月1日起,各商业银行、支付机构应使用支付标记化技术。为加速推进支付标记化,日前央行下发了《中国金融移动支付支付标记化技术规范》,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。支付标记化时代已经到来。
如何预防信息泄露
据了解,支付标记化技术是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项技术,原理在于通过标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。
实际上,Visa、万事达卡等国际银行卡清算组织早已将支付标记技术引入到其数字支付服务中。不过,国内只有部分机构应用了此项技术。
苏宁金融研究院高级研究员薛洪言表示,标记化技术提出了“域控”概念,举例来说,支付机构可以为线上商户定义一个单独的域控,如此一来,即使支付标记被攻击或者泄露,也不能用到其他支付交易场景中。
是否影响支付体验
快钱公司上述负责人进一步介绍说,在大多数交易过程中,持卡人对支付标记没有特别的感知。持卡人只需正常发起交易,支付标记化的处理过程则在后台完成。持卡人不需要了解交易过程中使用的是支付标记还是主账号。
不过,该负责人还表示,在个别场景中,支付标记的最后4位可能显示在商户的收据中,以使持卡人感知到支付标记的存在。比如,持卡人使用苹果支付之后,用户可以在POS机打印小票上看到标记化后的四位数字与银行卡号有所不同。
“在体验基本不受影响的情况下,持卡人还可获得多方面的益处。”一位银行内部人士表示,一张主卡可生成多个标记,其中任何一个标记发生泄漏或者存储该标记的设备丢失后,该标记可被禁用,减少了重新发卡的麻烦和可能引起的交易中断。此外,支付标记过程使用动态验证技术,持卡人不再需要输入敏感信息执行身份验证。
据了解,推行支付标记化,发卡机构需要系统改造,实现对支付标记交易的识别和处理,支付机构也需要进行技术改造。改造过程中,是否会给支付带来不便?
能否确保支付安全
随着支付标记化技术的推广,消费者最关心的个人银行卡信息泄露的口子能否被彻底堵上?
对此,业内专家认为,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。但是,能否做到完全避免信息泄露目前尚不得而知,还有待检验。
银联有关人士也表示,支付机构并不能消除交易风险,商户或收单机构仍需使用风险管理工具保护其他业务领域的安全。
一家支付机构技术专家认为,支付标记化技术确实能够降低支付交易风险,但这一技术并不能“消灭”支付体系所有的交易风险。因此,对于任何支付机构而言,构建一个多层次、全方位的支付安全体系才是根本。