欧洲央行首次发布《网络支付安全评估指引》及对我国的启示

何玲枢 中国人民银行重庆营业管理部

摘要：继2003年、2005年国际清算银行（BIS）、美国联邦金融机构检查委员会先后发布网络支付监管法规后，2014年2月4日，为有效打击和防范网络支付欺诈，提高消费者网络支付安全信任度，欧洲央行首次发布《网络支付安全评估指引》（以下简称《指引》），要求各成员国从内控制度建设、安全控制措施、客户教育和沟通3方面，对支付服务供应商（payment service providers，PSPs）和监管当局的支付计划（payment schemes）开展安全评估，对我国加强网络支付安全监管和评估具有较强借鉴意义。

方面，对支付服务供应商（payment service providers，PSPs）和监管当局的支付计划（payment schemes）开展安全评估，对我国加强网络支付安全监管和评估具有较强借鉴意义。

一、《指引》发布背景及目的

（一）发布背景

）诈骗金额达6.55亿欧元，占欧盟诈骗总金额的56%，其中超过7成无卡交易支付为互联网支付。为有效提高成员国网络支付安全性，，根据欧洲零售支付系统安全论坛（the European Forum on the Security of Retail Payments）的建议，欧央行正式发布该指引。

    （二）发布目的

    《指引》发布旨在统一各成员国对网络支付系统的安全评估原则，加强成员国间评估结果比较或融合，确保成员国评估有效性，有效提高各成员国网络支付安全性。  

二、《指引》适用范围、原则

（一）适用范围

《指引》适用于电子商务机构、电子货币转账机构等PSPs提供的所有网络支付服务，包括可进行网上支付的银行卡（含虚拟支付卡、电子钱包）、网络资金转账工具等。同时，《指引》对各成员国监管当局提出的支付计划（包括银行卡支付计划、资金转账计划、直接付款计划等）也具有指导作用。

（二）评估原则

一是根据支付系统新的威胁和诈骗技术，分别对支付系统进行评估。二是评估对象应加强敏感支付数据保护。三是评估对象应加强交易监控。四是评估对象应重视客户教育和沟通。

（三）核心术语定义

   “敏感支付数据”（sensitive payment data）是指可实施欺诈的数据，包括启用付款服务的数据；用于身份验证的数据；客户用于订购支付服务工具、身份验证工具的数据等。

“强有力的客户身份验证”（strong customer authentication）应不少于2个独立要件：一是只有客户知道的信息，如静态密码、代码、个人识别号码；二是只有客户拥有的设备，如令牌、智能卡、手机；三是客户自身的专属特征，如指纹等。

（四）评估注意事项

《指引》只提供评估的一般路径，评估人员应运用职业判断，根据具体特点对网络支付系统进行评估。如果网络支付出现新的威胁，欧央行将及时进行修改。

三、《指引》提出的14项建议

《指引》从内控制度建设、安全控制措施、客户教育和沟通3方面，对各成员国评估PSPs提供的支付服务和各成员国监管当局的支付计划提出14项建议。

（一）内控制度建设

一是建立网络支付安全政策，定义安全目标和风险偏好，并明确员工、承包商、第三方供商职责。每年至少对安全政策进行一次审查。

五是对所有交易过程进行流程跟踪，并保存、分析跟踪数据，确保所有交易和电子授权过程能适当回溯。

    （二）安全控制措施

一是严格按照欧洲反洗钱法规进行客户身份识别。通过客户可接受的渠道和频率，告知客户安全进行网络支付交易的相关信息，确保客户正确、安全使用网络支付服务。客户合同应包含各类安全条款，PSPs可阻止特定异常交易或支付。

二是执行强有力的客户身份验证，身份验证程序需经专业机构测试认证，确保客户已提供有效证明其身份的相关信息。身份验证不少于2个独立要件，应明确密码信息度、长度、复杂度及到期时间。

三是确保向客户提供的个性化安全证书、软件、网络支付系统设备等网络支付验证工具无风险漏洞。

四是明确网络支付服务限制登录或验证超时规则，并确保客户了解登录、验证限制，设立防重复登录机制、不活跃网络支付冻结机制。

（三）客户认知、教育和沟通

一是通过各种渠道向客户提供网络支付服务安全指导，告知客户加强个人信息数据保护，并妥善管理安全设备。建立安全事故报告程序，及时有效解决客户投诉、咨询。

二是在为客户提供网络支付服务前，设定与客户风险成正比的网络支付限额，并提供网络支付限额管理工具、参数设置服务，允许客户禁用网络支付功能。

三是在确保安全情况下，随时为客户提供账户状态以及账户余额信息。

四、相关启示

一是尽快出台网络支付安全标准。网络支付安全监管逐渐成为全球监管趋势，应尽快将网络支付安全纳入监管范畴，明确网络支付安全监管标准、监管对象和适用范围，并根据网络支付风险的最新发展态势，适时修订完善。

二是加强网络支付安全评估。明确网络支付安全评估机构，从安全管理框架、安全控制措施、消费者安全沟通和教育等方面，定期对支付服务供应商和监管部门各类支付计划进行全面安全评估，并根据评估情况针对性开展现场检查。

三是督促支付服务提供商加强客户沟通和教育。明确支付服务和客户进行沟通及教育的内容、频率、方法及相关责任，督促支付服务提供商定期、及时报告安全事件及处理进展，及时解决客户的疑问、投诉、咨询，全方位保护消费者网络支付安全。