聚合支付行业发展现状:交易安全是重中之重

admin
随着移动支付的增加,聚合支付已成为新时代的宠儿。但是,由于行业的出现,一系列的监管措施不到位,汇款付款洗钱 运行 兑现等新闻不断涌现,不仅破坏了行业声誉,破坏了社会稳定。
10月15日,全国金融标准化技术委员会秘书处发布金标委秘发[2018]138号文,即“关于审查《聚合支付安全技术规范》(送审稿)的通知”(以下简称“通知”),通知表明《聚合支付安全技术规范》金融行业标准已经形成标准送审稿,进入委员单位电子投票阶段。
 
聚合支付行业发展现状:交易安全是重中之重
 
《聚合支付安全技术规范》内容
该规范提出了聚合技术平台的基本框架,规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。
在规范中,聚合技术服务商被定义为经工商行政管理部门批准成立的机构,功能是接受支付服务机构、商户委托,利用自身的技术与服务集成能力,提供商户拓展、支付渠道整合、集合对账、系统运维、技术对接等服务。
除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外,标准还对聚合支付的数据存留、安全还有交易安全有较高的要求。
最基本的要求是,聚合技术服务商采取加密存储、访问控制、信息安全审计等措施,达到防范拖库撞库攻击的目的。在应用软件的数据安全方面,聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面,聚合技术服务商应用软件退出时,应清除非业务功能运行所必需留存的业务数据,保证客户信息的安全性;软件卸载后,文件系统中不应残留任何与用户相关的个人信息及敏感数据等。然后聚合支付系统应能够通过支付标记化技术,应定期开展敏感信息安全的内部审计。
在应用软件的运行安全方面,应通过白名单、提醒等方式,确保聚合技术服务商应用访问聚合技术服务商web站点进行安全控制;还要做好木马病毒防范、信息加密保护、运行环境可信等方面的工作;服务商还应做好后台检测和反馈工作,确保手机支付环境安全状况,这些数据还作为风控策略的依据。
除了对数据安全方面的要求,该标准对聚合支付的企业管理制度也有要求,比如建立信息安全管理制度体系、制定聚合支付安全管理工作的总体方针和策略、专员负责安全管理制度的制定和维护、通过正式有效的方式发布安全管理制度、安全管理制度体系的合理性和适用性每年进行审定修改等等,借此加强企业对信息安全的防控能力。
在风控方面,聚合支付应满足《银行卡收单业务外包管理的通知》(银发〔2015〕199号)里的要求。
那么这些政策对聚合支付产业会造成怎样的影响?
第一:加剧产业优胜劣汰,行业壁垒提升。
第二:聚合支付价值进一步肯定。监管层对聚合支付产业是鼓励的同时,谋求规范化。 
第三:支付上下游职责划分更加清晰。降低银行、支付机构的相关责任压力,让产业分工更加清晰。
 
可以说这个标准的出台,会大大得改善聚合支付行业的很多坏毛病,好的企业会留来并且越来越好。有付呗有这份决心也有这份信心会做得更好,不会辜负所有代理商的信任,也欢迎更多的有志之士加入我们的大家庭。