欧洲央行首次发布《网络支付安全评估指引》及对我国的启示
何玲枢 中国人民银行重庆营业管理部
摘要:继2003年、2005年国际清算银行(BIS)、美国联邦金融机构检查委员会先后发布网络支付监管法规后,2014年2月4日,为有效打击和防范网络支付欺诈,提高消费者网络支付安全信任度,欧洲央行首次发布《网络支付安全评估指引》(以下简称《指引》),要求各成员国从内控制度建设、安全控制措施、客户教育和沟通3方面,对支付服务供应商(payment service providers,PSPs)和监管当局的支付计划(payment schemes)开展安全评估,对我国加强网络支付安全监管和评估具有较强借鉴意义。
方面,对支付服务供应商(payment service providers,PSPs)和监管当局的支付计划(payment schemes)开展安全评估,对我国加强网络支付安全监管和评估具有较强借鉴意义。
一、《指引》发布背景及目的
(一)发布背景
)诈骗金额达6.55亿欧元,占欧盟诈骗总金额的56%,其中超过7成无卡交易支付为互联网支付。为有效提高成员国网络支付安全性,,根据欧洲零售支付系统安全论坛(the European Forum on the Security of Retail Payments)的建议,欧央行正式发布该指引。
(二)发布目的
《指引》发布旨在统一各成员国对网络支付系统的安全评估原则,加强成员国间评估结果比较或融合,确保成员国评估有效性,有效提高各成员国网络支付安全性。
二、《指引》适用范围、原则
(一)适用范围
《指引》适用于电子商务机构、电子货币转账机构等PSPs提供的所有网络支付服务,包括可进行网上支付的银行卡(含虚拟支付卡、电子钱包)、网络资金转账工具等。同时,《指引》对各成员国监管当局提出的支付计划(包括银行卡支付计划、资金转账计划、直接付款计划等)也具有指导作用。
(二)评估原则
一是根据支付系统新的威胁和诈骗技术,分别对支付系统进行评估。二是评估对象应加强敏感支付数据保护。三是评估对象应加强交易监控。四是评估对象应重视客户教育和沟通。
(三)核心术语定义
“敏感支付数据”(sensitive payment data)是指可实施欺诈的数据,包括启用付款服务的数据;用于身份验证的数据;客户用于订购支付服务工具、身份验证工具的数据等。
“强有力的客户身份验证”(strong customer authentication)应不少于2个独立要件:一是只有客户知道的信息,如静态密码、代码、个人识别号码;二是只有客户拥有的设备,如令牌、智能卡、手机;三是客户自身的专属特征,如指纹等。
(四)评估注意事项
《指引》只提供评估的一般路径,评估人员应运用职业判断,根据具体特点对网络支付系统进行评估。如果网络支付出现新的威胁,欧央行将及时进行修改。
三、《指引》提出的14项建议
《指引》从内控制度建设、安全控制措施、客户教育和沟通3方面,对各成员国评估PSPs提供的支付服务和各成员国监管当局的支付计划提出14项建议。
(一)内控制度建设
一是建立网络支付安全政策,定义安全目标和风险偏好,并明确员工、承包商、第三方供商职责。每年至少对安全政策进行一次审查。
五是对所有交易过程进行流程跟踪,并保存、分析跟踪数据,确保所有交易和电子授权过程能适当回溯。
(二)安全控制措施
一是严格按照欧洲反洗钱法规进行客户身份识别。通过客户可接受的渠道和频率,告知客户安全进行网络支付交易的相关信息,确保客户正确、安全使用网络支付服务。客户合同应包含各类安全条款,PSPs可阻止特定异常交易或支付。
二是执行强有力的客户身份验证,身份验证程序需经专业机构测试认证,确保客户已提供有效证明其身份的相关信息。身份验证不少于2个独立要件,应明确密码信息度、长度、复杂度及到期时间。
三是确保向客户提供的个性化安全证书、软件、网络支付系统设备等网络支付验证工具无风险漏洞。
四是明确网络支付服务限制登录或验证超时规则,并确保客户了解登录、验证限制,设立防重复登录机制、不活跃网络支付冻结机制。
(三)客户认知、教育和沟通
一是通过各种渠道向客户提供网络支付服务安全指导,告知客户加强个人信息数据保护,并妥善管理安全设备。建立安全事故报告程序,及时有效解决客户投诉、咨询。
二是在为客户提供网络支付服务前,设定与客户风险成正比的网络支付限额,并提供网络支付限额管理工具、参数设置服务,允许客户禁用网络支付功能。
三是在确保安全情况下,随时为客户提供账户状态以及账户余额信息。
四、相关启示
一是尽快出台网络支付安全标准。网络支付安全监管逐渐成为全球监管趋势,应尽快将网络支付安全纳入监管范畴,明确网络支付安全监管标准、监管对象和适用范围,并根据网络支付风险的最新发展态势,适时修订完善。
二是加强网络支付安全评估。明确网络支付安全评估机构,从安全管理框架、安全控制措施、消费者安全沟通和教育等方面,定期对支付服务供应商和监管部门各类支付计划进行全面安全评估,并根据评估情况针对性开展现场检查。
三是督促支付服务提供商加强客户沟通和教育。明确支付服务和客户进行沟通及教育的内容、频率、方法及相关责任,督促支付服务提供商定期、及时报告安全事件及处理进展,及时解决客户的疑问、投诉、咨询,全方位保护消费者网络支付安全。
本文编号:16030
本文链接:https://www.wllwen.com/jingjilunwen/bxjjlw/16030.html