登录
注册

0591-88077088

遭遇安全大考 电话POS走进“芯”时代

发布时间:2012-11-05

作为电话和POS支付相结合的创新支付产品,电话POS经过几年的发展,已然成为和传统POS、ATM并驾齐驱的主流电子支付渠道之一。不过,随着电话POS的快速布放,终端机具安全、信用卡套现、终端移机使用等事件时有发生,有些涉案金额还特别巨大。电话POS交易的安全性到底如何呢?

“目前,电话POS支付虽然在终端机具、平台系统、应用模式、市场培育、客户接受程度等方面已相当成熟,但仍存在漏洞,给犯罪分子有了可乘之机。要营造放心的支付环境,就必须建立健全安全机制。”一位资深电子支付专家指出,“随着银行卡换‘芯’加速,对终端机具安全也有了新的要求,电话POS必须未雨绸缪,顺势而为,否则会陷入比较尴尬的生存境地。”

安全拷问电话支付  厂商支招防风险

安全是电子支付的第一要义。目前电话POS市场应用过程中主要存在三个问题:一是普通电话POS可能出现信用卡套现等风险;二是电话POS布放审核手续比较简单,个别商户为了低扣率,套用MCC,进行移机使用;三是敏感信息被泄漏或篡改。

为了化解这些问题,惠尔丰、联迪商用等主流金融POS厂商的做法是:将每种交易是否允许使用信用卡作为一个配置参数,该参数由各银行统一控制,这样就有效防范了信用卡套现风险。针对移机使用风险,则将电话POS终端的接入电话号码与终端硬件序列号进行绑定,保证该终端只能在银行指定的固定场所、固定线路上进行交易,而无法随意更换和移动。

对交易报文中的敏感数据进行加密,终端上也不保存任何敏感数据。附加报文鉴别码MAC,传输过程中非法篡改任意数据,都能被系统侦测到。系统则是构建三层密钥管理体系——传输加密密钥采用多个主管分别输入密钥分量的方式管理,防止内部作案;终端主密钥是一机一密;工作密钥采用签到动态更新方式管理,防止密钥的泄密,提高系统安全性。

银行卡换“芯”加速  电话POS未雨绸缪

安全已成为电子支付发展的“命脉”,中国人民银行也加快了银行卡产业的升级——金融IC卡进入了快速、规模化的发展阶段。与磁条卡相比,金融IC卡更为安全、方便、快捷。当前国内银行正按照PBOC2.0的统一标准,采取磁条卡与IC卡并存过渡,逐步由IC卡取代磁条卡的分步推进方法,对银行卡进行换“芯”,同时加强对金融IC卡的受理环境建设,对存量POS终端进行IC卡读卡器的升级改造,新增POS终端则强制采用支持IC卡标准的系统,对于不符合IC卡标准的终端机进行逐步淘汰,并对收单系统与发卡等系统进行IC卡升级改造,以实现从磁条卡向IC卡的迁移。

另一方面,随着国际交流增加,中国加速融入国际经济体系,终端机具必须考虑受理EMV卡。这对电话POS来说,是个不小的难题,因为目前市场上大多数电话POS终端不具备符合PBOC2.0和EMV2000规范的IC卡读卡器。该专家不无忧虑地指出,“虽然通过银联II型规范检测认证的有20多个不同型号的终端,但同时通过PBOC2.0和EMV2000 L1&L2认证的很少,仅是几个主流金融POS厂商。”随着银行卡换“芯”进程加速,以及中国经济的日益全球化,电话POS必须未雨绸缪,否则前景堪忧。

“芯”时代  “整机”安全成关注重点

面对严峻的安全形势,各大银行纷纷提高电话POS的技术准入门槛——银联电话支付终端II型规范成为电话POS“商用”市场的重要标准。不过,专家指出,仅是制定II型规范还不能彻底扭转安全形势。某些厂商的POS终端虽然通过了银联II型检测,但他们只是将已有的终端外接密码键盘,取得了相关认证,其本身并不具备生产安全密码键盘的能力。

就终端安全而言,除了公众熟知的密码键盘外,凡是涉及到敏感信息的存储、处理与传输的各个环节,都应是安全模块。尤其是磁条卡、IC卡读卡器,由于模块与交易的运算处理是在终端主机上,“整机”安全更应得到高度重视。目前,各大银行都要求金融POS主机通过PCI认证,从整体上有效保证终端安全。

电话支付从最初的规范缺失,到银联II型规范作为技术准入门槛,再到终端主机通过PCI认证,正日趋走上了良性发展的道路。可以预见,随着电话POS的技术标准不断统一完善,在金融机构、监管部门及终端厂商的携手努力下,电话POS将迈进“芯”时代!

关于我们
新闻资讯
服务与支持
联系我们
微信订阅号
微信服务号