2020-01-20 来源:第三方支付技术与监管 作者:胡娟
本文为第三方支付技术与监督,其中一章节,如需查看全文,请点击:《第三方支付技术与监督》全文
1、固定电话支付
对固话支付客户开展定期或不定期业务培训,并保留培训记录,以备核查。加强对固话支付客户的交易监控,密切关注固话系统监控报表中预警的低交易强度、大额交易、高频次交易账户,对可疑客户及时进行实地调查并以书面形式向上级机构报告调查结果,对于确实存在交易风险的客户应及时报警并拦截交易。
2、数字电视支付
非金融支付机构从事数字电视支付服务的机构不多,所以审查中发现的问题相对其他支付业务类型反映的问题绝对数量不多,功能方面的典型问题主要包括:
1)支付业务管理系统的电视用户查询模块、客户管理系统的数字电视卡管理的查询模块,未对数据有效性进行检查,如卡号等字段可输人英文字符;
2)目前在清算管理软件下可生成渠道交易统计表,数字财务部门根据该表进行结算,但系统中无法体现出交易是否结算;
3)支付设施仅提供了缴费类业务,不能通过数字电视完成订单撤销,但部分支付机构采用了替代方式,即可以通过登录个人支付账户完成订单删除,或根据设置的订单超时时间,到期后自动撤销。
显然不完善的系统功能必然会造成用户支付过程较差的体验,特别是客户结算功能的缺失,直接影响支付设施的风险控制功能实现,系统不对输人数据进行有效性检查,会极大地增大注人方式攻击的风险,例如SQL注入攻击等。
3、银行卡收单支付
支付设施审查中的主要问题集中在特约商户管理方面,如特约商户信息维护和黑名单管理。显然作为银行卡收单支付业务,若对特约商户不能有效管理,不仅会给用户的支付过程带来安全风险,造成正常用户的资金损失,也可能形成安全风险危及发卡行和收单行正常业务服务;对于不良商户也无法实施有效监管,近年来出现的信用卡套现等违法行为都与支付机构对商户管理不到位存在或多或少的关系。
4、预付卡发行与受理支付
预付卡发行与受理支付业务类型审查中的典型问题,主要体现在IC卡类型预付费卡的数字证书管理上。根据《非金融机构支付业务设施检测规范第二部预付卡发行与受理》的要求,发行IC卡类预付卡的支付机构应建立CA中心,对所发行卡的数字证书进行有效管理和控制,建立有效的发卡机制和发卡系统。基于此,预付卡的有效管理和控制是支付机构自身风险控制实现的保障,而通过数字证书的管理也可以保证预付卡在支付过程中的安全性,是IC卡形式的预付卡类业务安全开展服务的基础设施要求。没有有效的数字证书管理,就无法保证发卡过程的规范性和安全性,必然加大支付过程中的安全风险。
另外一个具有代表性的功能问题是统计报表缺少运行管理类报表,根据“非金融机构检测规范”的相关要求:应实现对一段时间内运行管理情况(资产、监控、安全事件等)的查询统计。支付机构在审计过程中,不能仅限于业务类型的统计报表,对运营管理类的报表也需要相同的重视程度,没有有效的运营不能获取准确的运营状态,业务的开展就会缺乏管理的依据和行动的方向。
5、互联网支付
互联网支付业务设施审查中存在的典型问题主要反映在客户管理方面,包括客户信息登记管理、客户证书管理以及商业银行管理等方面的问题,另外部分支付机构设施在业务处理过程的系统功能还不完善。
1)客户证书管理问题具体表现在部分支付机构虽然实现了客户证书,但客户证书缺少更新和吊销管理机制;另外还有部分支付机构的系统允许商户可选使用证书,但大部分商户是使用MD5算法来保证报文真实性和完整性的,显然单一使用MD5是无法达到安全要求的。
2)业务处理过程功能问题部分表现在:一是支付设施不支持个人申请退款,部分功能通过线下实现,功能不健全;二是部分支付机构的系统将退款与支付撤销功能混淆。
3)客户管理功能的问题主要是客户信息登记不全,而商业银行在管理上,部分支付机构没有专门的录人银行信息界面,采取直接数据库录人的方式。
互联网支付业务在诸多支付业务类型中,业务表现形式多样,服务功能相对其他业务来说也更加丰富,因此必须有基本的运营管理功能,并对用户的支付过程提供充分的功能保障。
6、移动支付(远程)
移动远程支付在支付领域中可谓异军突起,由于移动支付的业务模式和业务流程也处在不断调整中,创新技术和创新业务也在不断涌现,移动支付的业务功能也在探索和完善中,因此功能方面的典型问题相对比较分散。
1)客户信息修改是通过互联网访问进行修改,而非通过移动通信网络进行修改,并且存在同一账户可在多台终端同时登录;
2)部分支付机构移动支付的必测系统功能还很不完善,有较大的缺失;
3)短信支付查询没有按照时间、交易类型或者客户等交易明细信息进行查询,且能实现浏览交易明细的功能;
4)没有提供将客户支付账户与移动终端设备(如手机号码)相关联的功能,远程移动支付没有设置开通确认的功能。
