生态共享,助商惠民。9月17日,一年一度的中国银联云闪付合作伙伴大会,如期而至。来自商业银行、第三方支付机构及云闪付合作服务商的代表齐聚上海,围绕技术创新、生态共享、产业赋能、合规发展等话题展开深入探讨与交流。中国银联执行副总裁郝哲、中国支付清算协会副秘书长亢林出席大会并致辞。
中国金融认证中心(CFCA)支付信息安全专家王贺刚应邀出席,并以“开放与安全 推动云闪付生态建设”为题发表演讲,解析支付安全现状,梳理监管要求,分享安全建设经验,颇受关注。
CFCA支付信息安全专家王贺刚
产业数字化升级推动支付技术创新,也为商业模式创新带来新机遇。王贺刚表示,开放之门开启后,支付生态安全问题,比如信息泄漏,系统被入侵,支付接口非法用于洗钱、网络赌博与诈骗等,不容忽视。
在整个支付产业链中,聚合支付机构是商户一点接入、统一转发的重要节点。然而,安全能力建设欠缺、业务环境复杂、受理渠道多等因素交织在一起,使得聚合系统成为整个链条中相对较弱的一环,极易受到网络攻击。一点接入、统一转发的特点,更易引发以聚合支付机构为突破口,攻击向上游收单机构快速蔓延的风险。
为控制聚合支付安全风险,指导业务持续发展、合规发展,相关部门从立法、行政规章、行业自律等方面,提出了一系列要求。
立法层面,我国于2016年颁布的《中华人民共和国网络安全法》,就指明了网络运营者的安全保护义务。
行政规章层面,央行近年来陆续发布的“199号文””“222号文”296号文”“242号文”等文件,形成了条码支付全产业链从业务规范到技术规范的完整要求,涵盖前端(条码支付终端、客户端APP)到后端(后台系统等)的完整业务设施。
行业自律方面,中国支付清算协会于2020年8月发布的《收单外包服务机构备案管理办法(试行)》,则对聚合支付机构等服务商提出具体的备案要求。
王贺刚介绍道,结合监管文件精神,以及CFCA多年来的金融业安全实践来看,聚合支付机构开展安全建设应聚焦技术安全、管理安全、业务安全三个控制域,充分覆盖系统安全、受理终端安全、客户端APP安全、安全管理制度体系、运维与业务连续性管理、商户真实性核验控制、业务流程安全。
如今,积极拥抱产业变化,顺应金融科技发展趋势,云闪付合作伙伴大会正打造以支付为基础、以金融服务为核心的综合性开放式平台,构建规范、健康的移动支付生态体系,平台开放合作能力现已全面升级。CFCA愿与支付服务商、云闪付一道共成长,依托全方位安全服务能力,赋能支付生态安全建设,为持续推动数字经济发展添薪续力。
