登录没有账号？
&登录超时，稍后再试
免注册 快速登录
央行新规强化银行卡风控 快捷支付发展受限
&&& 本文首发于微信公众号：君子i财。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。　　前两天，i财君推送了一篇如何预防微信支付被骗的文章，很多财粉热情地留言，要i财君今后多写写相关的话题。　　其实，支付安全这个事，不仅各位财粉记挂着，我们央妈也非常关心。　　近日，央行就发布了《中国人民银行关于进一步加强银行卡风险管理的通知》（下称《通知》），要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作，严格规范外包服务，加强持卡人权益保障。　　I财君梳理发现，《通知》里有3点与各位小伙伴的日常生活最密切相关：全面应用支付标记化技术、快捷支付需要增加多重身份验证、逐步停止磁条卡交易。　　银行卡信息泄露后，　　你会面临怎样的风险？　　随着科技进步，现在很多人都不带银行卡出门，一样都能畅行无阻，但是每一次无卡交易的背后，都基于我们在银行开立的帐户。　　可以说，银行卡是交易和支付的最主要载体，银行卡的交易模式变化事关每个人切身利益。　　那么，如果你的银行卡信息泄露后，会面临什么风险呢？　　1　　伪卡欺诈类风险　　如果磁条卡被侧录，很容易复制成一张伪卡，用于欺诈交易，给持卡人带来资金损失。　　2　　无卡欺诈类风险　　如果卡号与有效期被泄露，很容易在部分电子商务中被用于欺诈交易，给持卡人带来资金损失。　　那么，如何在不大幅改变持卡人用卡习惯的同时，有效降低敏感信息泄露风险呢？　　Bingo~ 没错！答案就是支付标记化技术那么，问题来了What is 支付标记化技术？　　支付标记化(Payment Tokenization)，又可翻译为支付令牌化，是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术，即使用唯一的一个支付标记（与主卡号保持一致，一般由 13 至 19 位的数字组成）来替代银行主账号进行交易验证。　　以上是教科书时间，人话版就是――　　以Apple Pay为例，先基于支付标记生成设备卡号，再生成与之匹配的芯片个人化数据并加载到手机设备上，使手机变成一张芯片卡。　　使用支付标记化技术有什么优势？安全，安全，还是安全！　　交易传递过程上，传统方式是基于卡号，而新技术则通过支付标记化方案替代了原始卡号和有效期，根本上杜绝了敏感信息泄露的可能。　　同时，通过域控属性限定交易场景（如交易类型、使用次数、交易金额、有效期、支付渠道、商户名称等），即便支付标记本身被泄露，其影响范围也大大降低。　　一个简单的例子就是线上商户，可以为该商户定义一个单独的域控，这样即使支付标记被攻击或者泄露，也不能用在其他支付交易场景中。　　此外，收单机构还可以借助支付标记的担保级别实现对交易风险的控制，进一步降低风险。　　正是因为标记化技术的种种优点，央妈在《通知》中要求，“自日起，各商业银行、支付机构应使用支付标记化技术（Tokenization），对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和欺诈交易风险。”　　Tips：二维码支付更安全　　前几年，央行一度叫停二维码支付模式。原因就在于该模式存在二维码易复制、安全性弱等特点，存在一定风险。　　不过，今后通过支付标记化技术，移动设备上的应用程序以安全的方式，将敏感信息进行替代，同时生成的支付标记被限定为一次有效，有效时间也被严格控制，可以提高二维码支付的安全性。　　据了解，除了微信支付、支付宝外，多家银行也在发力二维码支付产品，日前(,)亦在2016世界移动大会（MWC）上，推出了工行二维码支付产品。　　快捷支付可能变得不快捷　　《通知》规定，自日起，各商业银行在基于银行卡与商业机构支付机构建立关联联系时，需要多重身份验证。　　其实，通知里说的关联交易就是快捷支付。快捷支付没有验证银行卡密码，并不需要U盾、口令或网银，安全隐患较大，因此近年相关的网络支付纠纷快速上升。　　《通知》要求关联业务的身份鉴别应采取以下组合方式之一：　　一是采用符合《金融电子认证规范》的数字证书，并组合交易密码等至少一种认证因素；　　二是采用符合《动态口令密码应用技术规范》的动态令牌设备，并组合交易密码等至少一种认证因素；　　三是至少组合两种动态认证因素（如动态验证码、基于客户行为的动态挑战应答等），并采用语音、短信数据(如手机银行、即时通讯、邮件)等至少两种不同的通信渠道。　　新规落地后，快捷支付还快得起来吗？　　某银行电子支付相关人士表示，在此规定下，快捷支付采用交易密码的单因素验证手段将变得不合规，支付机构需要额外增加新的验证手段，这将使快捷支付变得不快捷。　　金融研究院高级研究员薛洪言认为，快捷支付的快捷性可能稍受影响，但只要用户在设备上安装数字证书，仍然可以通过交易密码的方式完成快捷支付过程。或者采用同时输入交易密码和动态令牌密码的方式完成快捷支付。　　磁条卡交易退出时间定了！　　最后，《通知》明确提出“自日起，全面关闭芯片磁条复合卡的磁条交易”，并要求商业银行加快存量磁条卡更换为金融IC卡的进度。磁条卡交易，终于要退出历史舞台了。　　不少市民的银行卡绑定了支付宝、微信等支付平台，如果要换卡的话会不会很麻烦？　　《通知》要求，对于持有磁条卡需要换卡的市民，各商业银行应采取换卡不换号、实时发卡等措施，加快存量磁条卡更换为金融IC卡的进度。　　不过，i财君从业内了解到，纯芯片卡遭到投诉较多，因为在一些国家无法使用。所以i财君建议财粉们可以将磁条卡换成复合卡，在平日消费里主动提示收银员刷芯片。
&&& 文章来源：微信公众号君子i财
（责任编辑：马郡 HN022）
和讯网今天刊登了《央行新规强化银行卡风控 快捷支付发展受限》一文，关于此事的更多报道，请在和讯财经客户端上阅读。
提 交还可输入500字
你可能会喜欢
热门新闻排行榜
【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。
违法和不良信息举报电话：010- 传真：010- 邮箱：yhts@ 本站郑重声明：和讯信息科技有限公司系政府批准的证券投资咨询机构[ZX0005]。所载文章、数据仅供参考，投资有风险，选择需谨慎。快捷支付曝巨大漏洞 惹用户与各银行众怒_滚动新闻_新浪财经_新浪网
&&& &&正文
快捷支付曝巨大漏洞 惹用户与各银行众怒
　　中国网财经5月12日讯(记者 郑岚予 王颖) 当你的银行卡忽然在不知情的某天被绑上了别人的快捷支付，且未经自己银行卡支付密码的验证便被刷走卡内所有现金，这种惊心动魄的切身体验是否还会让你继续一往无前地依赖那种“方便”与“快捷”？
　　近日，托人代办的李先生(化名)由于将银行预留手机号码、身份证与储蓄卡的高清照片都泄露给了骗子，尽管存款当天便惊醒回神，迅速去银行柜面关闭网银并更改预留联系方式，但仍未能避免三日后卡内现金被悉数盗刷而空的命运。
　　对此方面对中国网财经记者官方回应称，本次事件是由于用户泄露自己的个人信息导致，交行方面将尽快与支付宝方面做沟通。支付宝方面也表示，将去核对该用户的账户信息，确认其具体是否符合其赔付规则再做处理。
　　“用户的账户一旦绑定了快捷支付，账户验证和支付的流程就进入了支付宝的后台系统了，银行无法全面查询与掌握。”某国有大行内部人士对中国网财经记者表示。
　　记者就此走访多家银行，得到的回应不约而同地为“交行确实不算推卸责任”，各大银行均对记者表示，快捷支付的风险并非今日才浮出水面，也并非最近才引起银行的重视。据中国网财经记者获悉，以民生和交行为代表的数家商业银行早已向监管部门提交了关于与快捷支付合作的风险报备，但出于鼓励创新及互联网金融的角度，银行们得到的指示为“把控风险，风险自负”。
　　“越过密码的资金蒸发”
　　4月4日，由于工作单位问题限制导致办信用卡困难重重的李先生主动找到声称可以代办信用卡的张某(化名)，并在张某的要求下当天便在交通银行广州分行的大石支行开通一张新储蓄卡，“这一点确实是我的过错在先，”李先生说，“张某要求我在开户时登记的是他的电话号码，并且让我把卡和身份证都拍了照片发给他，我便轻信并照做了。”
　　李先生对中国网财经记者表示，资料发去之后，张某又以交行办信用卡要“考核财力”为由要求其往卡内存入2万元现金。“那时我已心生警惕，所以4月8日存入现金后当天下午，我就去了开户支行柜台办理更改联系电话业务，并关闭了网上银行和电子银行业务，但没想到4月13日晚上11点收到短信，钱还是被转出了。”
　　调查记录显示，李先生的卡被绑定了快捷支付，卡里的款项正是通过快捷支付的方式支出。但李先生表示不解：明明已经关闭了网银和电子银行业务，为何钱款依然能被快捷支付扣走？
　　支付宝方面对中国网财经记者解释，网银与快捷支付是毫不相干的两项业务，用户在使用快捷支付时并不需要开通网上银行业务，是否关闭网银与是否能成功使用快捷支付并不构成任何关联影响。
　　但相对而言更让李先生气愤的是，此番快捷支付扣除他的款项，竟无需经过他银行卡支付密码的验证。
　　记者调查获悉，开通快捷支付业务并不繁琐，只需在支付宝快捷支付页面提供本人的姓名、身份证号码、银行卡号以及银行预留手机号等有效个人信息，即可快速开通，而后期支付时也无需经过原有银行卡的支付密码验证，只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。
　　“这是非常典型的轻信了对方从而泄露自己个人信息结果被诈骗的案例。对方已经掌握了名字，手机号，身份证号，包括你办过那张储蓄卡所有卡面信息，完全可以拿你的身份在网上再注册一个网络账号，通过快捷支付的方式绑定银行卡，所有的密码可以自行设置，而且校验手机号也是他的，这样你卡里的钱当然就只能由他来支配了。”支付宝方面某负责人对中国网财经记者表示，该案例并非首发，支付宝此前便已收到过类似案件的投诉，因而“非常了解作案流程”。
　　而对于为何支付转账等走款流程要越过银行卡支付密码的环节，支付宝方面则对中国网财经记者表示：“这是国际上的规定和惯例，不允许在网上支付的时候输入银行卡密码。”
银行与支付宝并非“无缝对接”
　　如果网银与快捷支付不相干，银行卡密码与快捷支付也不相干，那么为何开通快捷支付需要的银行办卡的预留手机号呢？李先生向中国网财经记者表达了自己的疑惑，自己明明已经提前去银行更改了预留手机号，为何最后却还是被绑上了别人的快捷支付，更改之后的号码只是收到了一条“2万元被转出”的事后通知？
　　交行方面对中国网财经解释称，李先生当日是在ATM机上自助更改的联系方式，且操作记录显示，更改的仅仅是“短信通知”的联系方式而非其他验证。但不少银行内部人士却对记者透露，即便更改了预留手机号，用户的储蓄卡账户绑定快捷支付后整个验证流程都对应在支付宝的系统，银行也无法查到快捷支付方面的联系方式验证是否会自动与银行同步。
　　“用户的储蓄卡账户一旦绑定了快捷支付，整个验证的流程都对应在支付宝的系统里，所以我们银行也没法确定，绑定后若只在银行柜台进行验证手机联系方式的更换、而不在快捷支付页面进行手动更新，控制用户快捷支付走款流程的验证号码，究竟是新的还是旧的。”前述国有某大行内部人士对中国网财经记者如是表示。
　　“如果不能自动匹配更新，假如我不知道别人拿我的号码绑定了快捷支付，我根本不可能自己去快捷支付的页面手动更改；或者即便我知道被别人绑定了，我也没办法知道别人设定的登录密码，同样无法手动更改。这样验证走款依然在旧的号码，我还能自主掌控自己的储蓄资金么？”一位刚刚关闭了快捷支付的用户如此质疑。
　　中国网财经记者多次就此问题咨询支付宝相关负责人，但截至发稿未曾收到对此问题的任何回应。
　　无独有偶，此前曾试图开通快捷支付的孟小姐(化名)对中国网财经记者反映称，某天其手机突然收到来自一条内容为“账户通过快捷支付转出0.1元”的提示短信，心生警惕的孟小姐旋即前往招商银行柜面查询，柜员调取记录告知称该0.1元为快捷支付方式转账，但也仅限于能查到转账方式是快捷支付，而更多的信息，柜员表示银行无法查看。
　　“此前在支付宝页面开通快捷支付显示开通失败，我便没有再继续开通，结果毫无防备就被快捷支付的方式转走卡里的钱，我不知道这是怎么做到的，连银行都查不到，我觉得心惊胆战。”孟小姐对中国网财经记者如是说。
　　“银行和支付宝并非是无缝对接的，”某银行界业内人士对中国网财经记者表示，“一旦用户的账户绑定了快捷支付，很多方面都是银行无法控制的。”
　　中国人民银行高级工程师吴晓光对此曾公开表示：“快捷支付业务模式里，银行的服务界面被屏蔽在客户的支付流程之外，银行从用户支付结算的前台，退到了代理第三方清算的后台，只扮演‘账房先生’的角色，被动地处理来自支付机构的指令，不再认证用户的身份，不再掌握用户的支付行为。”
　　让银行“愤怒又无奈”的“最安全支付”
　　银行无法控制，那支付宝控制的系统安全性能又当如何？
　　“美国paypal的风险率是千分之几，国内的风险率比国外低，而快捷支付的风险率是十万分之一，比国内外所有同行都要低。”支付宝方面信心满满地告知中国网财经记者。
　　“虽然没有银行卡密码，但支付宝会在别的环节做好功课，比如短信校验码，若手机遗失被人试图重置密码，我们还会验证本人身份证信息和银行卡信息。”支付宝如是对中国网财经记者表示。
　　一位接近央行的分析人士表示：“目前，以快捷支付为代表的第三方支付机构的客户实名认证为非面对面的间接身份认证，流程一般为‘客户基本信息+ 身份证件上传与审核+小额打款回填’，该认证流程与银行实施的客户柜台面签的实名认证流程相比，强度要弱得多。”
　　一位不愿透露姓名的用户向记者提供了一份访客与支付宝在线客服“云在线”的咨询记录，在记录中“云在线”对客户坦言，若身份证被人知晓便可以注册新账户，若银行卡与手机同时落入他人之手，便可以给新注册的账户开通快捷支付。当该客户质疑银行卡和身份证号并非隐私信息身边已有多人知晓当如何防范时，客服回应称“无法防止，建议保管好自己的手机”。
　　而当客户质疑此漏洞更易被身边熟悉之人趁虚利用时，客服却匪夷所思地反问了一句：“您身边的人都很坏吗？”
　　“如此这般，用来规范与约束整个金融市场的，便不需要法律和规范了，全凭人的道德修养自律。”一位资深金融界人士对记者笑称。
　　支付宝方面对记者表示，李先生类似的案例，从快捷支付问世至今，他们“只接到了一两例”。
　　“前段时间银行与支付宝的纷争其实就在这里，”某国有行高层对中国网财经记者表示，“快捷支付的安全漏洞被不法分子趁虚而入，发生了大量跟李先生此案类似的案例，而受害人为了最有效率地收到赔付成果，往往把银行一并告上被告席，因为银行不会不回应，并且会在客观上帮忙举证，而支付宝承诺的72小时赔付机制其实条件并不宽松。但长此以往，银行会承受不了如此的重压。所以只好选择调低交易额度上限，一旦风险发生，损失能在客观上尽量降到最低。”
　　另一位国有行内部人士则向记者表达了无奈：“其实银行挺委屈，明明是为了保障客户安全，舆论却被煽动得一边倒，我们反而被自己努力保护的人斥责说‘垄断’与‘打压’。现在支付过程中用户过多贪图了快捷方便，但实际上网上支付最重要的应该是安全，若有天‘被盗刷’的案件发生在自己身上，到时候再想起来重视可能就来不及了。”
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
请用微博账号，推荐效果更好！
看过本文的人还看过支付宝快捷支付上，绑着磁条银行卡的用户要注意了！
支付宝快捷支付上，绑着磁条银行卡的用户要注意了！
据相关规定，自今年5月1日起，银行将关闭磁条类银行卡的交易了，目前来说，像这类磁条类的卡片安全性较低，容易被复制，因此为了用户的交易安全，银行决定停止这类银行卡的交易。由于这类卡不能交易，所以需要用户去相应的银行去兑换新的卡片，大部分银行卡还支持换卡不换号呢。相对的，我们在支付宝微信上也绑定了很多张银行卡，如果不能交易的话，还能用支付宝转钱么？不过为了保险起见，大家有空的话，还是去银行换一张芯片卡吧。支付宝作为我们国内最大的互联网支付工具之一，上亿级别的实名用户，也推出了很多的便民产品，余额宝就是支付宝最开始推广阶段时的一大利器，由于收益可观，很多用户就把钱转到了支付宝的平台上，一直到目前为止也是最成功的一款产品，而当时绑定的银行卡大多数应该也是磁条卡。还有近年来推广的蚂蚁花呗，借呗，网商贷，网商银行等一系列的产品，致使现在顺其自然的提出了一种无现金社会的概念，同腾讯一同推进着互联网的发展。随着互联网的发展，可能会有更多的东西被替换掉，不仅仅是磁条银行卡，也许银行卡也会被替代，这是一个高速发展的时代，请时刻做好准备。
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
百家号 最近更新：
简介: 每天呈上最精辟的财经事件解读和最新资讯
作者最新文章