• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    李晓枫:五路并进 移动支付安全发展总趋势

    来源:雷锋网 2017-12-01 10:33:20 移动支付 安全 金融安全
         来源:雷锋网     2017-12-01 10:33:20

    核心提示中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升;但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾:尽管你触达普惠金融,金融效力提升,但是风险在增加。

      第二届中国移动金融大会近日成功举办。会上,中国金融电子化公司原董事、人民银行科技司原副司长李晓枫先生,带来了主题为《移动支付安全技术发展总体趋势》的演讲。

      李晓枫首先分析,当前金融效力提升和风险并存的矛盾下,中国的移动支付要着眼于触达普惠和整治二者并垂。尽管移动支付体系取得了不小成就,但其中存在的业务和技术的违规,需要系统合规和风控管制来整治。

      他指出,中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升。“但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾——尽管你触达普惠金融,金融效力提升,但是风险在增加。”

      其次他认为对支付机构整治合规的重点就是持牌经验。针对业务合规,提出:

      商业实体可信;

      支付工具可信;

      结算模式可信。

      而在技术方面,则指出以下两点前提,来保证交易的安全性和可追溯性:

      交易双方的身份认证;

      数据的机密性和完整性。

      基于上述观点,他进一步阐述安全技术方面五大趋势:

      金融机构安全技术标准化;

      清算组织回归四方模式;

      云端、终端的高质量安全产品产出加快;

      智能手机和金融业实现产业共进共融;

      深化推广反欺诈联控。

      据雷锋网AI金融评论了解,最后李晓枫先生给出三点个人意见:

      建立风险联合防控、信息共享机制;

      PAY要突破单一的PAY而形成统一的PAY;

      手机盾亦应有所统一,以便公众识别。

      以下是李晓枫先生演讲原文,雷锋网AI金融评论作了不改变原意的编辑:

      中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升;但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾:尽管你触达普惠金融,金融效力提升,但是风险在增加。

      今天主要分享四点:

      这种矛盾之中,趋势问题是什么?业务合规、技术架构安全核心要求是怎么样?安全技术发展五大趋势;最后谈个人的三点意见。

      安全趋势发展问题:整治合规

      首先趋势是一个大的方面的问题。曾有撰文指出我们进入了中国的后半场移动支付,我的理解是触达普惠和整治并垂,这种整治就是合规和安全。合规的核心问题就是参与移动支付的商业主体是否可信,安全参与移动支付的设备是否可信。

      中国移动支付兴起过程中,为什么说是金融提升的效力增加,但是风险并存呢?我们整个支付体系存在业务违规、技术违规创新,合规监管就是消除这些隐患。

      支付跟其他互联网金融不一样,支付是需要持牌的。

      我们看合规这一块,首先是体系风险,一个是线上、线下费率不一致,96费改,去年9月6日费率改了之后基本上一致了,差别就缩小了,这非常有利于把二清、套码切机的风险控制住,这是体系性的风险。第二个就表现在网联成立,这个稍微晚一点,这个说白了,三方模式回归四方模式,就是正本清源,网联成立的核心。

      我们在移动支付触达普惠取得很大成绩,形成三个比较大的生态体系:支付宝,微信和银联。

      银联是以散户为主的,银联在这个品牌上,相比起支付宝和微信,它的技术战略的选择有些模糊。对此希望在座各位能努力把产业链提升上来,特点变得更加鲜明。

      这几年我们通过小额支付、非银支付机构等可知,支付场景也是一种软硬因素,支付工具是和场景、和安全有关的。

      系统合规是一方面,而另一方面,风控管制水平成为近期的重点。你的风控水平跟你的资金流向、你可追溯、可报告构成了下半场整治的重点。

      业务和技术安全下的合规

      实体,从商业角度来说是商业实体,像银行、非支付机构、清算机构;而从技术角度来看,就是POS,ATM,包括PAY、手机银行、支付宝、微信等这些工具。其中实体的可信是第一位的。其次技术设备也要可信。

      商业实体一定要持牌,持牌接受监管,达到可信,这才能达到整治到商业实体——比如支付机构、银行或者收单的目的。

      当然这里还有一个问题:商业清算、结算的模式非常重要。所以体系纠偏,回归四方模式是个很重要的方面。底层的就比如密码算法,密钥体系,包括现在新发展的生物识别,苹果的iPhone X引入3D人脸识别,这些都是最新的技术发展。

      业务合规,对支付机构河沿的整治合规,就是持牌经验。所以为什么要打击支付机构的无证经营?

      资金的流向要可追溯,帐户一定要实名,分类开设;开设条件要满足监管认可的安全技术。

      之所以整治支付机构,包括民营银行,互联网银行,正是因为技术到现在还不被认可,才没有得到普及。支付机构的报文规范等等,都是整治的目标。

      技术方面,在技术设备、软件可信的基础上:

      第一个是交易双方认证,双方的真实身份。当然现在认证技术只是认定技术,并不认定人。第二就是数据的机密性、完整性。经过检测认证的产品,至少是一个可靠的产品。纳入到技术管理的体系,我们就可以保证交易的安全性和可追溯性。

      关于移动支付存在的问题,从两大主要参与者来谈。

      一是支付机构的问题。它主要体现在实名制、冒名开户,甚至是虚构代理。这些问题很严重,开了户,做支付业务,洗钱、黄赌毒等参与其中。二是商户资料的操作、造假,包括正规的收单机构也存在这些问题。有时候想做好的机构也被迫陷入其中。

      移动支付涉及到安全技术发展的话,我们就要从安全体系,实体可信,安全技术方面来了解它的大趋势。

      移动支付安全技术五大趋势

      首先,是标准,金融机构的安全技术标准化。正如前文所言,要做到你的设备可信,标准化很重要,包括检测认证体系和标准的研制。现在这一领域有中国互联网金融协会、移动支付产业联盟出了个金融盾,包括生物认证,有三个机构都涉及到指纹的认证。由于整个支付机构水平提升,如果这个编制送审完成最终落地,能够符合移动终端的认证,那么手机APP的认证体系就有了基础。

      标准是通过技术检测+安全要求和指标的体现,并对安全技术和产品进行实际的考量和评定,这是整个产业链规范化提升整体安全水平的前提和必经之路。为什么我国二维码发展得比较好?其实跟产业链水平提升落后有些关系。如果以后上升了,移动支付的安全将来会提升一个档次。

      第二,清算组织回归四方模式,将会是实体安全在技术层面的第一道防线。也就是把所有的收单、平台,全部纳入,现在银联已经做到了。把网上的收单平台统一注册,并且实体可信,可以预测下一步就是实体之间的互联,通过四方模式,保证互联的安全可控。不过目前商户还没有解决。

      第三,云端、手机终端的高质量安全产品产出加快,极大地改善了金融机构移动支付应用基础。手机银行APP植入TEE环境成为值得期许的监管要求。

      云计算的核心是安全。银行的包袱很重,就像有些发达国家,它的技术很陈旧,要转换成像中国这样的高铁很难——我们的商业银行转后台可行,带来的是产业链和产业基础。手机终端方面,像华为的inSE,还有TEEI、豆荚TEE、手机盾都成为移动支付安全的基本要素。金融机构移动支付的创新发展,是需要整个产业链机构参与的,其中的合作交流、规则标准要产业界来提供。

      第四,我们跟产业能够共进共融。最近大家看到徽商银行和建行跟华为,在手机厂商华为合作PAY和盾,可以感知整个中国的智能手机产业,还有工业制造的水平都在快速升级。在高端升级以后,明年国内销售的新款智能手机将成为标准配置,千元以下手机应该都能实现。手机银行涉及较广,人民银行要求手机银行、APP植入TEE安全环境。

      合规方面,网络支付业务和支付机构内部的风险隐患无疑还会存在。排雷整治,消除收单,要支付机构无论是做收单,还是做移动支付的,风控管理水平要达到监管的要求。

      最后,反欺诈的联控,会在移动支付和网络支付的后半场深化推广。银行与支付机构之间的反欺诈合作,也成为趋势之一。黑场、灰场是非常严重的问题。要做普惠金融,像多头借贷怎么防治,就需要大家来合作。现在又要体现快速放贷,这些都会涉及到欺诈防范的问题。

      手机盾这个产品说一下,除了做到一机一盾跟数字证书绑定,其次要跟风控相关。

      三点个人意见

      确实手机金融盾今年已经开启了,把风险联合防控、信息共享的机制建立起来,非常重要。第二个,随着我们的产业基础的供应链发生改变,PAY要突破单一的PAY,应该有一个统一的。当然手机盾也应该如此,这样我们的公众易于识别,讲银行金融机构的支付是什么呢?那就应该有PAY。

      谢谢!

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定