文 \ 中國工商銀行信息科技部副總經理?張穎

　　近年來，隨著大數據、云計算、移動化、分布式等技術的創新發展，支付業務形態不斷演進，同時也面臨著新的風險形勢，支付受理終端作為移動金融中連接客戶和銀行的關鍵一環，迫切需要技術和政策上的配套支持以保障健康持續發展。

　　加強支付受理終端安全管理的重要性

　　沒有受理終端的安全管理，就沒有銀行卡支付業務的健康持續發展的基礎。隨著政策出臺，商業銀行應從如下層面做好落實：在技術規范層面,應規范銀行卡交易報文管理，明確要求報文準確填寫受理機構編碼、商戶編碼、終端編碼，切實保障交易報文信息的完整性、真實性和可追溯性；在基礎設施層面，進一步加強銀行卡受理終端注冊管理，各單位基于公共注冊管理平臺進行統一規范注冊；在產品應用層面，應強化銀行卡受理終端產品質量管理，建立健全受理終端產品質量體系并形成制度備查，嚴禁未通過檢測認證的受理終端入網，確保受理終端的技術標準的符合性；在風險管控層面，應用開展受理終端校驗，通過大數據分析的方式識別移機、切機、二清等風險。支付產業急需共同采取嚴格管控措施并開展集中治理行動，沒有支付受理終端的安全管理政策，支付產業就沒有抓手和戰斗力來落實安全管理。

　　工行支付受理終端的總體情況

　　工行嚴格按照監管要求和行業標準組織ATM、POS等受理終端的選型采購工作，目前，工行入圍的各型號ATM、POS設備都已具備CCC認證、PCI安全認證、銀聯卡受理終端產品安全認證、銀聯卡受理終端產品入網認證、PBOC3.0認證、QPBOC檢測認證、電信設備進網許可證、全國工業產品生產許可證、商用密碼產品型號證書等各類認證，符合監管要求。

　　根據人民銀行3月份公布的數據，截至2016年末，銀行卡支付受理終端數量相比2015年有小幅下降，其中POS機具2453.5萬臺、ATM機具92.42萬臺。從工行自身情況來看，2016年底，工行共有在用的POS設備136.58萬臺，較2015年下降0.8%；ATM設備10.01萬臺，與2015年基本持平。

　　隨著近幾年移動互聯網的迅猛發展，新型移動支付手段正在對客戶逐步產生影響，工行POS、ATM等支付受理終端的交易量增幅不斷收窄，甚至出現了下降的趨勢。在這種情況下，工行也在考慮主動放緩各類支付受理終端的投放速度，并從存量終端入手，不斷挖潛，提升設備的使用效能。

　　支付受理終端面臨的挑戰及對策

　　為保障商戶和客戶的利益，工商銀行不斷采取應對策略,除通過規范終端檔案管理、加強設備選型和質量控制，IP地址綁定等各類控制措施，近年來工行一直大力推進“三碼綁定”策略防范終端安全風險：

　　從2013年開始，工行建立起一機一檔，POS硬件序列號、資源編碼、終端編碼“三碼綁定”的硬控制機制，將每臺POS終端出廠時自帶的硬件序列號、采購入庫后設備檔案中的資源編碼、POS在主機建檔時使用的終端編碼三者進行綁定，只有綁定的POS終端才能通過工行系統進行交易，所有未綁定的POS終端都無法交易。通過幾年的努力，目前工行采購的POS終端，已經全部實現了三碼綁定，在全生命周期內能夠對POS使用情況進行準確的跟蹤、統計和管理；對于安裝工行版本的各類第三方POS終端，工行也通過POS硬件序列號和終端編碼綁定等措施，不斷加強管控，逐步實現了終端身份的可認證和可追溯，提升安全管理水平。

　　工行加強受理終端安全管理的措施

　　工行圍繞強化銀行卡受理終端安全管理做了大量工作，具體如下。

　　第一，針對“規范銀行卡交易報文管理”的相關要求，工行ATM交易報文已經滿足人民銀行通知要求，工行POS交易報文POS目前已包含受理機構編碼、商戶編碼、終端編碼等信息，將按照通知要求在4月份完成系統改造，在交易報文中增加上送終端序列號、終端應用版本號信息。

　　第二，針對“加強銀行卡受理終端注冊管理”的相關要求，今年2月下旬，銀聯已經編制了收單機構接入銀聯商戶信息注冊管理平臺的技術開發文檔，提供給成員機構使用。工行與銀聯保持了密切溝通，結合銀聯商戶信息注冊管理平臺建設情況，后續按照銀聯提供的技術開發文檔，組織相關接口研發工作，按時完成POS、ATM等各類終端信息注冊工作。此外工行在7月份還要將新增終端硬件序列號通過隨機加密因子、密鑰進行加密后上送給銀聯，符合“采用密碼識別技術增強POS終端合法身份驗證”的要求。

　　第三，針對“強化銀行卡受理終端產品質量管理”的相關要求，工行嚴格按照監管要求和行業標準組織ATM、POS等受理終端的選型及全流程管理，符合監管要求。

　　第四，針對“加大銀行卡受理終端支付風險防控力度”的相關要求，我們有以下幾個方面的落實措施。

　　一是“加強支付交易風險監控”。對于查詢、消費、取現、轉賬等交易，工行系統現已提供余額變動提醒功能，可通過短信、融E聯方式通知持卡人；對于“大額、可疑交易的附加驗證手段”，工行系統針對部分渠道交易設置了風險監控

　　模型，實時監控及阻斷，并通過短信或電話方式核實。具體措施包括開展7x24小時異常交易監控；對少量高欺詐風險交易進行事中干預；強化與各信用卡組織及國內同業間合作，加大信息泄露風險排查處置力度；建立完善與公安部、中國銀聯等機構的合作機制，加強欺詐風險打擊和防控力度；廣泛開展安全用卡常識宣傳，從源頭上防范欺詐風險等。

　　二是“建立偽卡欺詐損失的持卡人賠償機制，切實保障持卡人合法權益”，工行已經建立了應急處置及風險補償機制。前期，根據人民銀行等14部委《關于促進銀行卡清算市場健康發展的意見》中提出的“鼓勵發卡機構通過保險合作等方式建立市場化、多元化的客戶權益保障機制，積極發展銀行卡客戶損失補償保險”的有關意見，工行于今年1月開始正式全面推廣信用卡賬戶安全險服務，為信用卡客戶因遭受欺詐交易造成的資金損失提供了風險補償機制?？蛻艨舍槍ㄆ瑨焓?2小時的交易向保險公司申請理賠。

　　三是“加強受理終端密鑰管理”，當前工行終端實施的是三層密鑰管理體系，初始密鑰由工行保管，工作密鑰通過后臺系統生成，每天一換。實現一機一天一密的密鑰體系，滿足密鑰管理要求；工行ATM、POS端機應用程序、密鑰灌裝都是由行內人員統一完成，不允許外包服務機構直接參與；工行采購的POS終端都具有拆機自毀功能；支持通過綜合前置聯機激活和重置終端。

　　對支付受理終端安全管理的展望和建議

　　支付產業應按照政策要求，通過基礎平臺實現受理終端環境的共同治理，保障支付產業健康發展。在此也提出兩項建議。其一，銀行卡及支付產業離不開各類終端機具，近期也出現了智能POS、mPOS等新型終端，他們以較好的應用擴展性和可維護性受到市場青睞。但是目前終端設備仍然呈現良莠不齊的局面，部分機具在技術標符合性、檢測認證方面尚未達標，未達到商業銀行業普遍要求的安全要求，建議產業各方全面落實技術標準和檢測認證，配套開展檢查、退出等工作機制，確保受理環境的健康有序。其二，終端注冊管理和校驗平臺的建立將有效提升入網終端的管控水平，對防范收單業務風險起到至關重要的作用?？紤]到平臺具有很高的的覆蓋度和可信度，建議在終端黑名單共享的基礎上，進一步擴大風險數據內容和共享，未來與銀行配合實現動態的、實時的交易反欺詐控制功能。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇