7月31日,央行公布《非银行支付机构网络支付业务管理办法(征求意见稿)》(以下简称《意见稿》),《意见稿》一出台便引起广泛争议,这一堪称史上针对第三方支付最严厉的监管办法,是否会让互联网金融遭遇发展瓶颈?
答案是否定的,出于规范非银行支付机构网络支付业务的目的,《意见稿》的公布无疑对行业的长远发展是利好的,为了金融安全和个人资金的安全考虑,对第三方支付账户进行适当的监管理所应当。来谊金融科技一直专注互联网安全,从技术角度出发,研发了小微封安全解决方案,致力于将安全风险降到最低。
“交叉认证不是梦
《意见稿》第九条明确规定,支付机构为客户开立支付账户,必须通过三个(含)以上外部渠道进行多重交叉验证。
向央行提供至少三项“你就是你”的证明,其实并不是一条无法逾越的鸿沟,除了政府部门和商业银行外,小微封安全解决方案可提供另一种快捷的电子化验证渠道。“小微封”可让用户手机等智能终端与已经分发的含有安全单元(se)的各种载体相结合,如SIM卡、SD卡、eID银行卡等,使得安全单元只能在用户绑定的终端上使用,实现用户身份的电子化验证。
“
交易限额如何自主约定又保证安全?
《意见稿》第二十八条指出,支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元。
想要自主约定交易限额,必须采用数字证书、电子签名在内的验证要素。那么问题来了,数字证书和电子签名如何在移动端快速实现安全覆盖?传统来说,数字证书在PC端为保安全需要保存在U盾中,若在智能终端设备上进行保存,会存在较大的被盗隐患。“小微封”使用创新的方式保证证书的安全性,并可以让证书能且只能在用户指定的设备上使用,即便证书被*取盗**,也无法在其他设备上使用。来谊金融科技已与上海CA、CFCA等多家数字证书认证平台达成合作,“小微封”能够把用户手机等智能终端作为安全的数字证书载体,将设备认证与电子签名结合,通过终端设备指纹识别(包括硬件、软件以及个人特征数据)、地理位置及时间等多因素强认证的手段,对用户身份进行认证,提升安全指数,并且达到了《意见稿》对第三方支付机构多项认证要素的要求。
“如何防范一次性密码潜在的风险?
《意见稿》第二十九条提到,支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
简单来说,支付机构必须有效防范一次性密码带来的诸如短信劫持、OTP口令仿冒等安全风险,这种一次性密码的验证方式逻辑上是基于单通道模式的。小微封安全解决方案采用已获国家专利的双通道技术,将交易支付数据及验证信息数据相分离。此外,“小微封”的多因素强认证技术,将金融机构单方实施的安全措施转化为由金融机构和消费者共同参与的交叉式安全保护,全方位防范身份盗用攻击形式。
凭借得天独厚的技术基础和认证模式,来谊金融科技已经与多家数字证书认证平台达成合作,双通道技术也已荣获国家专利,由此可看出小微封安全解决方案与金融行业发展步伐的一致性,在未来的日子里来谊金融科技将继续致力于服务互联网金融,促进行业健康发展。此外,不局限于金融业的应用,小微封安全解决方案也可以适用于所有云账户的安全防护,例如云空间、云存储、论坛账户等。