作为电话和pos支付相结合的创新支付产品,电话pos经过几年的发展,已然成为和传统pos、atm并驾齐驱的主流电子支付渠道之一。不过,随着电话pos的快速布放,终端机具安全、信用卡套现、终端移机使用等事件时有发生,有些涉案金额还特别巨大。电话pos交易的安全性到底如何呢?
“目前,电话pos支付虽然在终端机具、平台系统、应用模式、市场培育、客户接受程度等方面已相当成熟,但仍存在漏洞,给犯罪分子有了可乘之机。要营造放心的支付环境,就必须建立健全安全机制。”一位资深电子支付专家指出,“随着银行卡换‘芯’加速,对终端机具安全也有了新的要求,电话pos必须未雨绸缪,顺势而为,否则会陷入比较尴尬的生存境地。”
安全拷问电话支付 厂商支招防风险
安全是电子支付的第一要义。目前电话pos市场应用过程中主要存在三个问题:一是普通电话pos可能出现信用卡套现等风险;二是电话pos布放审核手续比较简单,个别商户为了低扣率,套用mcc,进行移机使用;三是敏感信息被泄漏或篡改。
为了化解这些问题,惠尔丰、联迪商用等主流金融pos厂商的做法是:将每种交易是否允许使用信用卡作为一个配置参数,该参数由各银行统一控制,这样就有效防范了信用卡套现风险。针对移机使用风险,则将电话pos终端的接入电话号码与终端硬件序列号进行绑定,保证该终端只能在银行指定的固定场所、固定线路上进行交易,而无法随意更换和移动。
对交易报文中的敏感数据进行加密,终端上也不保存任何敏感数据。附加报文鉴别码mac,传输过程中非法篡改任意数据,都能被系统侦测到。系统则是构建三层密钥管理体系——传输加密密钥采用多个主管分别输入密钥分量的方式管理,防止内部作案;终端主密钥是一机一密;工作密钥采用签到动态更新方式管理,防止密钥的泄密,提高系统安全性。
银行卡换“芯”加速 电话pos未雨绸缪
安全已成为电子支付发展的“命脉”,中国人民银行也加快了银行卡产业的升级——金融ic卡进入了快速、规模化的发展阶段。与磁条卡相比,金融ic卡更为安全、方便、快捷。当前国内银行正按照pboc2.0的统一标准,采取磁条卡与ic卡并存过渡,逐步由ic卡取代磁条卡的分步推进方法,对银行卡进行换“芯”,同时加强对金融ic卡的受理环境建设,对存量pos终端进行ic卡读卡器的升级改造,新增pos终端则强制采用支持ic卡标准的系统,对于不符合ic卡标准的终端机进行逐步淘汰,并对收单系统与发卡等系统进行ic卡升级改造,以实现从磁条卡向ic卡的迁移。
另一方面,随着国际交流增加,中国加速融入国际经济体系,终端机具必须考虑受理emv卡。这对电话pos来说,是个不小的难题,因为目前市场上大多数电话pos终端不具备符合pboc2.0和emv2000规范的ic卡读卡器。该专家不无忧虑地指出,“虽然通过银联ii型规范检测认证的有20多个不同型号的终端,但同时通过pboc2.0和emv2000 l1&l2认证的很少,仅是几个主流金融pos厂商。”随着银行卡换“芯”进程加速,以及中国经济的日益全球化,电话pos必须未雨绸缪,否则前景堪忧。
“芯”时代 “整机”安全成关注重点
面对严峻的安全形势,各大银行纷纷提高电话pos的技术准入门槛——银联电话支付终端ii型规范成为电话pos“商用”市场的重要标准。不过,专家指出,仅是制定ii型规范还不能彻底扭转安全形势。某些厂商的pos终端虽然通过了银联ii型检测,但他们只是将已有的终端外接密码键盘,取得了相关认证,其本身并不具备生产安全密码键盘的能力。
就终端安全而言,除了公众熟知的密码键盘外,凡是涉及到敏感信息的存储、处理与传输的各个环节,都应是安全模块。尤其是磁条卡、ic卡读卡器,由于模块与交易的运算处理是在终端主机上,“整机”安全更应得到高度重视。目前,各大银行都要求金融pos主机通过pci认证,从整体上有效保证终端安全。
电话支付从最初的规范缺失,到银联ii型规范作为技术准入门槛,再到终端主机通过pci认证,正日趋走上了良性发展的道路。可以预见,随着电话pos的技术标准不断统一完善,在金融机构、监管部门及终端厂商的携手努力下,电话pos将迈进“芯”时代!