中国电子银行网讯 12月28日,央行发布《非银行支付机构网络支付业务管理办法》(以下简称《办法》),至此,备受关注的第三方支付行业业务政策终于落地了。《办法》将对个人支付账户、支付机构实施分类管理,此外对不同交易验证方式做出了不同支付限额的规定。
央行此次发布的支付新规规定支付机构可以采用静态密码、数字证书、生物特征手段对交易行为进行保护,并对不同安全手段下的交易限额提出要求。“支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定”,而“采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账)”,“采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元(不包括支付账户向客户本人同名银行账户转账)”。由此可见,数字证书、电子签名等交易验证手段对提高支付限额有着极大的帮助。
中国金融认证中心(CFCA)业务部总经理赵宇表示,应用数字证书对交易进行电子签名不仅能够保证交易的完整性、机密性及不可否认性,同时也符合《电子签名法》及主管机构关于金融交易安全的要求。在移动支付领域,数字证书作为最安全的认证因素之一,不仅可以保证商业银行、非银行支付机构开展移动支付的交易安全,同时可以提高支付额度,大大提高了业务的适用范围,方便了客户。目前,在移动端应用数字证书的技术手段也很多,也比较成熟,能够适用客户的不同层次的安全需求,比如:与手机可分离的蓝牙Key、音频Key、IC卡等,以及和手机一体化的SIM盾、手机盾等应用方式。合法的数字证书服务将助力互联网支付业务发展的更快、更稳。
中国金融认证中心(CFCA)业务部总经理赵宇表示,在《办法》中提及的各种安全手段中,可靠的电子签名是解决交易纠纷问题最有效的安全手段。《办法》中要求支付机构采用数字证书、电子签名作为验证要素的,应该符合相关法律法规和技术标准。其含义就是支付机构应该采用合法电子认证服务机构提供的相关服务,并按照国家相关标准实现应用过程。依据《中华人民共和国电子签名法》和《电子认证服务管理办法》,只有获得电子认证服务许可证的机构才能提供电子认证服务,这是可靠电子签名的必要条件。
在传统的互联网领域,用户通过数字证书、生物识别、动态口令牌、银行卡信息核验等相关技术,在身份核验、交易安全、隐私保护中都进行了大量的应用,对互联网交易安全保障起到的积极的作用。
中国金融认证中心(CFCA)技术部总经理马春旺认为,在互联网支付中主要面临三个方面的安全问题:身份核验、交易保护、隐私保护。央行《办法》为规范互联网支付业务,降低风险指明了方向。目前解决这三方面问题的产品和方案很多,也都很成熟,《办法》中也介绍了一些,比如:基于数据的身份认证、通过合法的数字证书来保证交易的安全和隐私的安全。