近日,全国金融标准化技术委员会(以下简称“金标委”)发布关于征求《聚合支付安全技术规范》(征求意见稿)的通知,目前该规范正处于委员会投票阶段,或不久将对外公布。以下为通知原文:
该规范提出了聚合技术平台的基本框架,规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。
数据留存要求严格
在规范中,聚合技术服务商被定义为经工商行政管理部门批准成立,接受支付服务机构、商户委托,利用自身的技术与服务集成能力,提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。
除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外,标准还对聚合支付的数据留存问题有较高的要求。
数据和交易安全基本要求是,聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施,可以防范拖库撞库攻击。聚合支付系统应能够通过支付标记化技术,应定期开展敏感信息安全的内部审计。
对于聚合支付来说,通过用户或商户数据进行分析,进而推送相应的增值服务是一条较为正规的盈利之路。但是交易数据的留存,在本标准中也要求较高。
在满足法律、管理规定和业务需求的前提下,聚合技术服务商应用宜保留最少的支付信息(如支付账号等),并限制数据存储量和保留时间;同时,不应保存用户支付敏感信息(如支付口令等)及其密文;也不得留存非本机构的支付敏感信息,确有必要留存的应取得客户本人及账户管理机构的授权;应具备重要数据的访问控制措施。
在应用软件的数据安全方面,聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面,聚合技术服务商应用软件退出时,应清除非业务功能运行所必需留存的业务数据,保证客户信息的安全性; 软件卸载后,文件系统中不应残留任何与用户相关的个人信息及敏感数据等。
在应用软件的运行安全方面:
1. 应通过白名单、提醒等方式,确保聚合技术服务商应用访问聚合技术服务商web站点进行安全控制;
2. 聚合技术服务商应用应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力;
3. 聚合技术服务商应用应能检测并向后台系统反馈手机支付环境安全状况,作为风控策略的依据。
除以上要求外,该标准还对通信安全、受理终端安全、报文接口安全等方面有更加细化的要求。
管理及风控要求较高
除了对聚合支付有数据安全方面的要求,该标准甚至对聚合支付的企业管理制度有要求,以加强企业对信息安全的防控能力:
1. 应建立信息安全管理制度体系,制度体系应贯穿网络支付系统设计、编码、测试、运行维护、评估以及应急处置等过程,并涵盖安全制度、安全规范、安全操作规程和操作记录手册等相关方面;
2. 应制定聚合支付安全管理工作的总体方针和策略,明确工作职责、规范工作流程、降低安全风险;
3. 应指定或授权专门的部门或人员负责安全管理制度的制定和维护;
4. 安全管理制度应通过正式有效的方式发布;
5. 应每年组织相关部门和人员对安全管理制度体系的合理性和适用性进行审定,及时修订完善安全管理制度。
在风控方面,聚合支付应该满足《银行卡收单业务外包管理的通知》(银发〔2015〕199号)要求。2017年年初,央行将聚合支付定性为银行卡收单外包服务商之后,满足该文件要求并不为过。但在交易风险控制方面,该标准的要求可谓苛刻。
聚合技术服务商应建立应对套现、欺诈、洗钱等方向的风险监控模型及系统,对异常交易进行及时预警并通过预警及时反馈支付服务机构;应针对批量或高频登录等异常行为,应利用IP地址、终端设备标识等信息进行综合识别,及时采取附加/验证、拒绝请求等手段;资金类等高风险业务,通过短信等方式实时告知客户和商户其资金变化情况。
完善的套现、欺诈、洗钱等方向的系统,许多支付机构在这方面都有所欠缺,绝大多数代理出身的聚合支付服务商们又能满足几分呢?
在身份认证、交易过程安全、交易提示、交易监控、风险识别与干预、客户教育、客户信息管理等方面,该标准有更加细化要求,在此不累述。
值得一提的是,该标准的工作组由商业银行、支付机构、中国银联、检测机构等角色组成。