找商網手機端:m.zhaosw.com
電子支付過程中的安全思考
更新時間:2022-01-09 15:25
近些年,政府部門發布多個文件支持電子支付與電子商務的融合發展,特別是2016年5月20日國家發改委等部門發布的《關于推動電子商務發展有關工作的通知》中提到健全電子商務支撐體系,推動電子支付創新應用,大力發展移動支付。一方面隨著監管層對支付機構的監管收緊,多家支付機構被罰,支付牌照已經進入存量“洗牌期”,現存支付機構應嚴格遵循行業規范開展業務;另一方面隨著電子支付應用場景的不斷擴大,電子支付的安全性也應引起人們的重視。
在2009年某電子商務平臺和第三方支付平臺網絡服務合同糾紛一案中,由于國家對支付業務尚未制定相應的國家標準、行業標準,在發生黑客攻擊的情況下,無法判定各方是否盡到安全保障義務,而僅根據雙方的協議及雙方提供的證據認定各方責任,最終法院在判決理由中認為電子商務平臺負有當妥善保管商戶號和密碼的責任,第三方支付平臺對自身系統的安全和信息保密負有認真和謹慎義務,其有責任保證電子支付業務處理系統的設計和運行能夠避免電子支付交易數據被泄露,而對于黑客攻擊支付平臺是否由于電子支付平臺存在安全隱患,應由電子商務平臺即商戶承擔舉證責任。
分析該判例筆者發現,由于在當時并未出臺明確的電子支付行業標準導致各方責任的不明確,而在隨后國家陸續出臺關于非金融支付機構的網絡業務規范中對電子支付的安全性做出了明確規定。
第一,開戶審核。支付機構為單位開立支付賬戶應要求單位提供相關證明文件,并自主或者委托合作機構以面對面方式核實客戶身份,或者以非面對面方式通過至少三個合法安全的外部渠道對單位基本信息進行多重交叉驗證,并加強對使用個人支付賬戶開展經營性活動的資金交易監測和持續性客戶管理。另外,支付機構在為單位和個人開立支付賬戶時,應當與單位和個人簽訂協議,約定支付賬戶與支付賬戶、支付賬戶與銀行賬戶之間的日累計轉賬限額和筆數,超出限額和筆數的,不得再辦理轉賬業務。
第二,加強賬戶監測。支付機構應當加強對銀行賬戶和支付賬戶的監測,建立和完善可疑交易監測模型,賬戶及其資金劃轉具有集中轉入分散轉出等可疑交易特征的,應當列入可疑交易。對于列入可疑交易的賬戶,支付機構應當與相關單位或者個人核實交易情況;經核實后支付機構仍然認定賬戶可疑的,支付機構應當暫停賬戶所有業務,并按照規定報送可疑交易報告或者重點可疑交易報告;涉嫌違法犯罪的,應當及時向當地公安機關報告。
第三,交易驗證。支付機構可選擇靜態密碼,經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼及客戶本人指紋等進行交易驗證。
第四,確保交易信息真實、完整、可追溯。支付機構與銀行合作開展銀行賬戶付款或者收款業務的,應當保存交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間,以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業標準設置的商戶類別碼;收付款客戶名稱,收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號;付款客戶的身份驗證和交易授權信息;有效追溯交易的標識;單位客戶單筆超過5萬元的轉賬業務的付款用途和事由等,以確保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一致性。
總之,根據電子支付中可能出現的安全問題,我國已經建立健全了多項安全防護機制的規范文件,但是隨著電子支付應用場景的增加,支付機構應逐步完善電子支付風險管理機制、建立電子支付災難備份機制等,通過創新技術及服務模式以提高整個電子支付系統的安全水平。
在線客服