作為電話和POS支付相結(jié)合的創(chuàng)新支付產(chǎn)品,電話POS經(jīng)過幾年的發(fā)展,已然成為和傳統(tǒng)POS、ATM并駕齊驅(qū)的主流電子支付渠道之一。不過,隨著電話POS的快速布放,終端機(jī)具安全、信用卡套現(xiàn)、終端移機(jī)使用等事件時(shí)有發(fā)生,有些涉案金額還特別巨大。電話POS交易的安全性到底如何呢? “目前,電話POS支付雖然在終端機(jī)具、平臺(tái)系統(tǒng)、應(yīng)用模式、市場(chǎng)培育、客戶接受程度等方面已相當(dāng)成熟,但仍存在漏洞,給犯罪分子有了可乘之機(jī)。要營造放心的支付環(huán)境,就必須建立健全安全機(jī)制。”一位資深電子支付專家指出,“隨著銀行卡換‘芯’加速,對(duì)終端機(jī)具安全也有了新的要求,電話POS必須未雨綢繆,順勢(shì)而為,否則會(huì)陷入比較尷尬的生存境地。” 安全拷問電話支付 廠商支招防風(fēng)險(xiǎn) 安全是電子支付的第一要義。目前電話POS市場(chǎng)應(yīng)用過程中主要存在三個(gè)問題:一是普通電話POS可能出現(xiàn)信用卡套現(xiàn)等風(fēng)險(xiǎn);二是電話POS布放審核手續(xù)比較簡(jiǎn)單,個(gè)別商戶為了低扣率,套用MCC,進(jìn)行移機(jī)使用;三是敏感信息被泄漏或篡改。 為了化解這些問題,惠爾豐、聯(lián)迪商用等主流金融POS廠商的做法是:將每種交易是否允許使用信用卡作為一個(gè)配置參數(shù),該參數(shù)由各銀行統(tǒng)一控制,這樣就有效防范了信用卡套現(xiàn)風(fēng)險(xiǎn)。針對(duì)移機(jī)使用風(fēng)險(xiǎn),則將電話POS終端的接入電話號(hào)碼與終端硬件序列號(hào)進(jìn)行綁定,保證該終端只能在銀行指定的固定場(chǎng)所、固定線路上進(jìn)行交易,而無法隨意更換和移動(dòng)。 對(duì)交易報(bào)文中的敏感數(shù)據(jù)進(jìn)行加密,終端上也不保存任何敏感數(shù)據(jù)。附加報(bào)文鑒別碼MAC,傳輸過程中非法篡改任意數(shù)據(jù),都能被系統(tǒng)偵測(cè)到。系統(tǒng)則是構(gòu)建三層密鑰管理體系——傳輸加密密鑰采用多個(gè)主管分別輸入密鑰分量的方式管理,防止內(nèi)部作案;終端主密鑰是一機(jī)一密;工作密鑰采用簽到動(dòng)態(tài)更新方式管理,防止密鑰的泄密,提高系統(tǒng)安全性。 銀行卡換“芯”加速 電話POS未雨綢繆 安全已成為電子支付發(fā)展的“命脈”,中國人民銀行也加快了銀行卡產(chǎn)業(yè)的升級(jí)——金融IC卡進(jìn)入了快速、規(guī)?;陌l(fā)展階段。與磁條卡相比,金融IC卡更為安全、方便、快捷。當(dāng)前國內(nèi)銀行正按照PBOC2.0的統(tǒng)一標(biāo)準(zhǔn),采取磁條卡與IC卡并存過渡,逐步由IC卡取代磁條卡的分步推進(jìn)方法,對(duì)銀行卡進(jìn)行換“芯”,同時(shí)加強(qiáng)對(duì)金融IC卡的受理環(huán)境建設(shè),對(duì)存量POS終端進(jìn)行IC卡讀卡器的升級(jí)改造,新增POS終端則強(qiáng)制采用支持IC卡標(biāo)準(zhǔn)的系統(tǒng),對(duì)于不符合IC卡標(biāo)準(zhǔn)的終端機(jī)進(jìn)行逐步淘汰,并對(duì)收單系統(tǒng)與發(fā)卡等系統(tǒng)進(jìn)行IC卡升級(jí)改造,以實(shí)現(xiàn)從磁條卡向IC卡的遷移。 另一方面,隨著國際交流增加,中國加速融入國際經(jīng)濟(jì)體系,終端機(jī)具必須考慮受理EMV卡。這對(duì)電話POS來說,是個(gè)不小的難題,因?yàn)槟壳笆袌?chǎng)上大多數(shù)電話POS終端不具備符合PBOC2.0和EMV2000規(guī)范的IC卡讀卡器。該專家不無憂慮地指出,“雖然通過銀聯(lián)II型規(guī)范檢測(cè)認(rèn)證的有20多個(gè)不同型號(hào)的終端,但同時(shí)通過PBOC2.0和EMV2000 L1&L2認(rèn)證的很少,僅是幾個(gè)主流金融POS廠商。”隨著銀行卡換“芯”進(jìn)程加速,以及中國經(jīng)濟(jì)的日益全球化,電話POS必須未雨綢繆,否則前景堪憂。 “芯”時(shí)代 “整機(jī)”安全成關(guān)注重點(diǎn) 面對(duì)嚴(yán)峻的安全形勢(shì),各大銀行紛紛提高電話POS的技術(shù)準(zhǔn)入門檻——銀聯(lián)電話支付終端II型規(guī)范成為電話POS“商用”市場(chǎng)的重要標(biāo)準(zhǔn)。不過,專家指出,僅是制定II型規(guī)范還不能徹底扭轉(zhuǎn)安全形勢(shì)。某些廠商的POS終端雖然通過了銀聯(lián)II型檢測(cè),但他們只是將已有的終端外接密碼鍵盤,取得了相關(guān)認(rèn)證,其本身并不具備生產(chǎn)安全密碼鍵盤的能力。 就終端安全而言,除了公眾熟知的密碼鍵盤外,凡是涉及到敏感信息的存儲(chǔ)、處理與傳輸?shù)母鱾€(gè)環(huán)節(jié),都應(yīng)是安全模塊。尤其是磁條卡、IC卡讀卡器,由于模塊與交易的運(yùn)算處理是在終端主機(jī)上,“整機(jī)”安全更應(yīng)得到高度重視。目前,各大銀行都要求金融POS主機(jī)通過PCI認(rèn)證,從整體上有效保證終端安全。 電話支付從最初的規(guī)范缺失,到銀聯(lián)II型規(guī)范作為技術(shù)準(zhǔn)入門檻,再到終端主機(jī)通過PCI認(rèn)證,正日趨走上了良性發(fā)展的道路??梢灶A(yù)見,隨著電話POS的技術(shù)標(biāo)準(zhǔn)不斷統(tǒng)一完善,在金融機(jī)構(gòu)、監(jiān)管部門及終端廠商的攜手努力下,電話POS將邁進(jìn)“芯”時(shí)代!