日前,支付清算協(xié)會向會員單位下發(fā)了《條碼支付業(yè)務(wù)規(guī)范(征求意見稿)》(下簡稱《征求意見稿》),記者看到,業(yè)務(wù)規(guī)范提出了條碼支付的系列技術(shù)標準與規(guī)范要求,并根據(jù)風險驗證,對條碼支付額度分級管理。
2014年3月13日,央行以線下二維碼支付存在一定的支付隱患為由,下發(fā)緊急文件叫停二維碼支付服務(wù)。雖然期間二維碼支付并未真正暫停,但不少機構(gòu)都處于觀望狀態(tài)。時隔兩年后,《條碼支付業(yè)務(wù)規(guī)范(征求意見稿)》終于正式出臺,也意味著央行首次正式肯定二維碼支付,二維碼支付將告別“野蠻生長”。
7月份,央行向支付清算協(xié)會、銀聯(lián)發(fā)函確認二維碼支付地位。要求支付清算協(xié)會在前期相關(guān)工作基礎(chǔ)上,同銀行卡清算機構(gòu)、主要商業(yè)銀行和支付機構(gòu)出臺開展條碼業(yè)務(wù)需要準許的相關(guān)標準,對個人信息保護、資金安全、機密措施、敏感信息儲存上提出明確要求。
南方日報記者 黃倩蔚 實習生 蔡文軒
要求
二維碼支付需經(jīng)技術(shù)檢測認證
記者看到,征求意見稿將條碼支付分為付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端讀取收款人展示的條碼完成支付。收款掃碼則是指收款人通過讀取付款人移動終端展示的條碼完成支付,目前在很多商超已推廣。
《征求意見稿》要求支付企業(yè)要遵循客戶實名制的準則,并對支付過程中的條碼生成和受理提出了系列操作規(guī)范和移動支付技術(shù)安全標準。
比如,要求條碼支付交易過程組合采用三類驗證要素:靜態(tài)密碼,經(jīng)過安全認證的數(shù)字證書、電子簽名、以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a,或是生理特征驗證,如指紋等。
要求移動終端完成條碼掃描后,顯示掃碼內(nèi)容,供客戶確認。對于移動終端間的小額轉(zhuǎn)賬業(yè)務(wù),付款方完成掃碼后,移動終端應(yīng)回顯隱去姓氏的收款方姓名,供付款方確認。
此外,開展條碼支付業(yè)務(wù)所涉及的業(yè)務(wù)系統(tǒng)、客戶端軟件、受理終端/機具等,應(yīng)當持續(xù)符合監(jiān)管部門及行業(yè)標準要求,支付機構(gòu)還應(yīng)通過協(xié)會組織的技術(shù)安全檢測認證。
對于系列技術(shù)的標準,幾家第三方支付機構(gòu)均對南方日報記者表示,與當前他們實際操作中的安全認證方式和標準基本相一致,并不需要做大的調(diào)整。目前規(guī)范還處于征求意見階段,此后具體如何進行技術(shù)安全監(jiān)測認證,還有待通知。
管理
根據(jù)風險驗證方式分級限額
值得注意的是,《征求意見稿》根據(jù)交易驗證方式的安全級別及《條碼支付技術(shù)安全指引》,根據(jù)風險防范能力的分級,對個人客戶條碼支付業(yè)務(wù)的交易進行限額管理。
其中,要求風險防范能力達到C級,即采用不足兩類要素對交易進行驗證的,個人單個銀行賬戶或所有支付賬戶單日累計金額應(yīng)不超過1000元,支付企業(yè)要承諾無條件金額承擔此類交易的風險損失賠付責任。我們?nèi)粘W疃嗍褂玫谋憷甑让饷艽a、免指紋驗證等二維碼支付均屬于此類別。
而采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類(含)以上有效要素對交易進行驗證的,為B級,單日累計金額應(yīng)不超過5000元。若需要采用掃碼支付更高額度,則要求風險防范能力達到A級,采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素對交易進行驗證的,支付企業(yè)可與客戶協(xié)議自主約定單日累計限額。
據(jù)南方日報記者了解,目前支付寶也采取與這一規(guī)定相同的限額管理。如免密掃碼支付的限額是1000元。需要支付更高額度時,需要增加密碼和指紋等驗證。
連線
業(yè)內(nèi)人士:大銀行加入有助發(fā)展商戶業(yè)務(wù)
業(yè)內(nèi)人士認為,此次規(guī)范出臺最重大意義是認可了掃碼支付,統(tǒng)一了管理辦法。事實上,支付寶和微信一直在使用這一支付技術(shù)。此次規(guī)范,或許對銀行而言意義更大,包括工行在內(nèi),不少銀行開始摩拳擦掌推出二維碼支付。
“過往,由于技術(shù)門檻低,二維碼的制作和發(fā)布都比較簡單,支付指令驗證手段單一,且沒有統(tǒng)一的標準管理體系。一般人很難鑒別二維碼的真?zhèn)?,不法分子正是利用這個漏洞,對用戶進行欺騙?!睒I(yè)內(nèi)人士表示。
在二維碼支付業(yè)務(wù)中,用戶在交易的信息交換環(huán)節(jié),如何保證自身信息的真實性和完整性、如何保護用戶交易信息,避免泄露和資金流失等都是關(guān)鍵問題。此前因為缺乏相關(guān)管理規(guī)定,銀行基本沒有推廣此項業(yè)務(wù)。
央行支付結(jié)算司在7月份給支付清算協(xié)會和銀聯(lián)的函中表示,線下條碼支付具有進入門檻低、便捷等特點,適用于對傳統(tǒng)POS收銀成本敏感的小商戶的日常小額交易,定位于傳統(tǒng)線下銀行卡支付的有益補充。而無論是商業(yè)銀行還是支付機構(gòu)、使用銀行賬戶還是支付賬戶,均應(yīng)按照交易驗證安全等級的不同,統(tǒng)一通過交易額度進行風險控制和安全管理。
近日,有銀行已加快了進入腳步。7月份,工商銀行推出了覆蓋線上線下和O2O支付全場景的二維碼支付產(chǎn)品。工行對此表示,產(chǎn)品具備當前市場主流掃碼產(chǎn)品的全部功能,而且采用國際清算組織領(lǐng)先的令牌技術(shù)對卡號進行變異處理,可以有效保護客戶資金和信息安全。
對于銀行而言,除了線下支付的大量零售業(yè)務(wù)之外,算盤主要還在于發(fā)展商戶業(yè)務(wù)。工行表示,商業(yè)銀行發(fā)展二維碼支付,可以把二維碼支付作為紐帶,運用大數(shù)據(jù)技術(shù)深度挖掘中小商戶的經(jīng)營狀況和融資需求,提供信貸融資、存款理財、電子銀行、代發(fā)工資等全面金融服務(wù)。
而第三方支付企業(yè)看中的,也是背后龐大的業(yè)務(wù)拓展空間。如通過二維碼支付,鏈接更多數(shù)據(jù),給商家提供客戶群維護、會員管理等增值業(yè)務(wù),掃碼支付背后的業(yè)務(wù)爭奪顯然才是未來的“戰(zhàn)場”。(南方日報)