Call me : 028-6810-2519
今年8月,央行下发了146号文,要求商业银行、非银行支付机构、清算机构等从业机构对自身支付业务相关系统进行要点的排查。排查工作依据中第一项就是《支付标记化技术规范》。同时,在排查内容中敏感信息保护、安全漏洞防护、信息传输安全三者都是重点排查对象。
信息泄露不止银行卡盗刷难停
细数银行卡盗刷手段变化,从最开始的摄像头偷拍、POS机复制磁条卡信息到现在通过黑客手段寻找漏洞进行盗刷,其中都有一个共同点:需要拿到受害者的银行卡信息、个人信息甚至是银行卡密码。也就是说,实施盗刷的前提是产生了信息泄露。
那么信息泄露是如何产生的呢?
在传统交易当中,一笔交易的发生必然伴随着银行卡信息在四方之间流转,每一次交易、每一次账号绑定、每一次输入验证码都有可能产生数据泄露。今年9月,华住集团被爆发生重大数据泄露,被泄露的数据约有5亿条,共1.3亿人的个人数据被泄露,泄露的数据当中就包括盗刷所需的所有信息:姓名、手机号、银行卡号、邮箱。
数量如此之大的信息泄露如果被有心人利用带来的恶果难以预计,但是从现在的网络安全态势上来看,使用技术手段保护信息不泄露是困难的,各大互联网巨头包括Facebook、谷歌都不能杜绝这类事情的发生,那么真的没有办法了吗?
支付标记化从源头控制信息泄露
2016年11月,央行下发了《中国金融移动支付支付标记化技术规范》,期望能从源头控制信息泄露。在此之前,2014年银联就开始了这方面的尝试,2015年中国工商银行成为亚洲地区首家推出使用支付标记化技术支付产品的商业银行,今年央行下发146号文,再次要求采用支付标记化技术,通过标记(token)代替银行卡号进行交易验证,对敏感信息进行脱敏处理,从而避免银行卡信息泄露带来的风险。
央行两次下发文件推行的支付标记化技术是什么呢?它有什么作用?能在哪些方面进行应用呢?围绕这些问题,我们有幸邀请到成都鸿业远图科技有限公司副总经理徐圣贵,在第三届中国移动金融安全大会上以《支付标记化技术为移动支付加把锁》为题从支付标记化技术的监管要求、发展历程、技术简介、应用场景等进行介绍。
徐圣贵,成都鸿业远图科技有限公司副总经理,长期从事金融IC卡的实施和推广工作,见证了中国金融IC卡从PBOC 1.0、2.0到3.0的发展历程,协助人民银行成都分行编写了金融IC卡应用规范。近年来,致力于移动支付敏感数据保护技术的研究,并积极推广支付标记化技术在移动支付领域的应用。主持研发的支付标记化系统全国首个通过银行卡检测中心的合规检测。