文/中國銀聯北京分公司總經理、銀行卡檢測中心董事長 孫衍琪

　　人民銀行發布的《2016年支付體系運行總體情況》顯示，2016年全國銀行卡交易筆數和金額分別達到1154.74億筆和741.81萬億元，全國聯網商戶和POS終端分別超過2000萬戶和2400萬臺，ATM終端90余萬臺。在龐大的市場規模下，我國支付產業迎來了重大的發展機遇，同時也面臨著巨大的挑戰。

　　受理終端形態多樣，終端安全風險突顯

　　二維碼支付、NFC近場支付、手機錢包支付等新型支付方式的興起，促使支付受理終端形態不斷演變。mPOS、智能終端、遠程視頻柜員機等創新終端的出現有效提升了支付服務效率，更好地滿足了社會大眾多樣化的金融服務需求。然而，支付模式快速創新、終端形態層出不窮的同時，支付受理終端風險隱患也伴隨而來。

　　一方面，傳統支付受理終端面臨的終端非法改裝、磁道信息側錄等安全風險較為突出。個別收單機構過分逐利、心存僥幸，在受理終端風險管控方面措施不足，使用未通過檢測認證或存在安全防護機制缺陷的老舊終端，導致被不法分子非法改裝后發生磁條卡偽卡盜刷等風險事件，造成消費者個人信息泄露和資金損失，給支付受理環境和收單市場秩序帶來不利影響。

　　另一方面，創新支付受理終端防范惡意代碼注入、交易指令偽造、中間人攻擊等風險的能力有待進一步加強。個別終端廠商為在創新終端市場競爭中取得先機，過分看重產品發布進度，忽視產品安全與質量，企圖通過縮短測試周期或繞過外部安全評估以實現“近道超車”，但往往“欲速則不達”，導致出廠終端的操作系統或應用程序存在安全漏洞，給信息保護和資金安全造成嚴重威脅。

　　強化終端安全管理，健全風險防范機制

　　在金融監管部門的正確指導以及支付產業各方的共同努力下，支付受理終端領域逐步形成了“以政策制度為基礎、以標準規范為支撐、以檢測認證為手段”的系統化、協同化、專業化的風險防范機制。

　　1.監管政策要求。近期，人民銀行印發了《關于強化銀行卡受理終端安全管理的通知》(銀發〔2017〕21號文)，針對受理終端非法改裝、磁道信息側錄、二維碼支付風險等問題，創新性的提出綜合運用大數據分析和密碼識別技術，建立受理終端事前入網身份識別、事中交易數據校驗、事后風險防范多層次的管理機制。同時，針對銀行卡受理終端產品質量問題，要求各商業銀行、支付機構必須使用符合國家標準及金融行業標準的受理終端。對于使用質量不合格、不符合標準的受理終端導致客戶信息泄露或資金損失的，商業銀行、支付機構應依法承擔相應賠償責任。21號文的發布體現了金融監管部門對支付受理終端風險整治的決心，也為支付產業提升風險防控能力、防范電信網絡欺詐提供了切實有效的實施依據。

　　2.標準體系建設。隨著境內支付清算市場的逐步開放，支付受理終端領域“國際—行業—企業”三位一體的標準體系已初步落地。支付卡產業國際標準方面，支付卡產業安全標準委員會(簡稱“PCI”)發布的PCI PTS標準從物理和邏輯、生產過程、設備集成、持卡人數據、開放協議等方面對各類受理終端提出了安全要求，目前已成為國際主流的受理終端安全規范，在我國的落地實施能夠對現有的自主標準起到良好的促進與補充作用。我國金融行業標準方面，2016年人民銀行發布了《銀行卡受理終端安全規范》(JR/T 0120)，對POS終端、受理商戶信息系統、自助終端、電話支付終端及PIN輸入設備提出了全面的安全要求，為增強銀行卡受理終端的安全管理能力、提升金融服務質量和普惠水平、防范支付敏感信息泄露和偽卡欺詐風險提供了強有力的技術支撐。我國金融企業標準方面，中國銀聯于2011年發布了《銀聯卡受理終端安全規范》(Q/CUP 007)，對入網支付受理終端的基礎安全、各類終端形態產品特征性安全以及輔助性要求等方面進行了規范，明確了受理終端產品的安全防護基線，為支付產業各方提供了最佳的技術實踐。

　　3.檢測認證機制。檢測認證作為支付技術管理的重要輔助手段，在我國金融行業得到了有效的應用，目前已在非銀行支付、移動金融等領域開展，涵蓋了支付系統、安全芯片、移動客戶端軟件等多類支付產品。中國銀聯和PCI均通過引入檢測認證機制保證安全標準的貫徹落實，授權第三方專業檢測機構對支付受理終端實施技術檢測，并根據檢測結果開展認證工作，保障支付受理終端標準符合性與安全性，提升支付風險防控能力。

　　保障受理終端安全，促進產業健康發展

　　銀行卡檢測中心作為第三方專業檢測機構，自1998年成立以來，始終以保障支付安全為己任，以建設成為“國內領先、國際一流”的檢測機構為目標，不斷開拓進取、砥礪前行，用過硬的技術實力保障支付受理終端安全，以卓越的服務質量促進支付產業健康發展。

　　1.深入研究，協助完善技術標準。銀行卡檢測中心積極學習國外先進檢測技術，努力研究國際主流技術標準，不斷提升自身檢測服務水平，在2013年建成了國家金融IC卡安全檢測中心，彌補了我國芯片檢測領域空白，具備了不低于國際EAL4+的專業化芯片安全檢測能力，實現了對31項芯片安全、19項嵌入式軟件安全以及各類應用安全等項目的檢測。與此同時，中心充分發揮在檢測技術積累上的優勢和潛力，積極參與金融IC卡、移動支付、受理終端等多項技術標準的制修訂工作，將在支付安全風險防范領域積累的豐富經驗融入標準，提升標準制定的科學性與合理性，增強支付產業各方的信息安全保障能力。

　　2.開拓視野，推進國際資質建設。銀行卡檢測中心立足我國支付產業，著眼未來、認真研判，積極開展與國際檢測實驗室的對標工作。憑借先進的技術水平、良好的檢測環境、完善的管理體系，先后成為EMVCo、VISA、MasterCard、GlobalPlatform等國際組織授權的檢測實驗室。在人民銀行科技司、中國銀聯的指導和產業各方同仁的幫助下，中心于2017年1月獲得了PCI PTS檢測資質授權，成為了全球第8家、國內首家PCI PTS檢測實驗室，具備了國際銀行卡支付權威標準組織認可的支付受理終端安全檢測能力。這也是中心繼2013年獲得PCI DSS合規評估與掃描服務資質后，再次取得業務領域的重大突破。對完善我國支付安全檢測認證體系、推動國內受理終端廠商走向國際、提升支付產業整體安全防護水平起到了積極的促進作用。

　　3.履職盡責，把關受理終端安全。銀行卡檢測中心始終恪盡職守、盡職盡責，堅決履行好作為檢測機構應盡的職責和義務，一方面，嚴格按照國際、國家和金融行業有關技術標準，對支付受理終端的標準符合性與安全性實施檢測，為支付產業嚴把受理終端質量關。2016年完成了214款終端類(POS、mPOS、自助終端、密碼鍵盤、個人支付終端等)產品的安全檢測，其中商用終端185款、個人支付終端29款。另一方面，積極配合人民銀行及中國銀聯的支付受理終端技術管理工作，為優化受理環境、保障終端安全提供技術支持。2015年配合中國銀聯開展支付受理終端安全檢查，完成了16款終端的抽檢。2016年配合人民銀行開展移動金融和金融IC卡受理環境安全和標準符合性專項抽查，完成了228款終端的抽檢。

　　銀行卡檢測中心將堅定不移地貫徹國家“一帶一路”戰略，發揮好在檢測技術“引進來”、“走出去”方面的橋梁與紐帶作用。切實落實金融監管部門的政策要求，竭力滿足支付產業各方的現實訴求，將PCI PTS檢測資質作為保障支付安全征程的新起點，繼續強化自身實力，持續提升服務水平，為支付產業的安全發展保駕護航。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇