背景回顾
事件一
一个自称
"网银受害者联盟"的民间组织,针对工行的网上银行系统安全问题开始集体维权。事隔两周,工行就网上银行用户关心的问题做出正面回应,但"网银受害者联盟"的集体维权还在继续。
事件二 国内杀毒软件厂商江民公布消息,其反病毒中心监测到,光大证券阳光网提供的多款网上证券交易程序捆绑了木马病毒。用户运行这些安装程序的同时,会下载网银木马,威胁用户工商银行网上银行的账号密码安全。
为何互联网支付的安全问题如此突出?
易观国际分析:电子支付的内涵是一种信用的产物,外延是"给付对价"或"价值交付"的过程。电子支付根据用户行为与后台运行机制可分为"现场支付----面对面支付"与"远程支付----非面对面支付"两种,互联网支付则属于后者。
互联网对传统商务的价值,更多在于解决信息不对称的问题,而在支付方面,用户支付体验将从"面对面"向公开的、虚拟的----"非面对面"转移,这需要一个漫长过程,尤其是中国信用体系尚处于初级阶段。如此,互联网支付的安全性即成为焦点问题。
支付安全性包括什么要素?怎样分类?
电子支付的安全通常由有效性、真实性、完整性、保密性、不可撤消、不可否认、身份验证等要素组成。对于"非面对面"的互联网支付,这些要素的完备性更高。根据电子支付的外延与内涵,易观国际将互联网支付的安全性区分为硬件与软件两方面:
第一 硬件,即技术手段。通常由卡组织、IT厂商、支付渠道服务商(如电信运营商)所提供,如:对称与非对称加密技术、SSL、SET、3D-Secure、NFC无接触式通信的智能卡技术,以及基于数据挖掘的交易监控与分析方案等。
第二 软件,即信用管理机制。安全不仅是一种技术手段,更多是通过组织流程管理而形成的信用管理机制。其中包括基于技术手段建立完善的管理制度、处理流程、操作规范,针对可能出现的欺诈、差错、争议,提供有效解决流程与处理办法;合理的责任分配安排(包括用户、商家、支付服务商);对用户安全支付行为的市场教育等等。
银行有什么问题?
易观国际认为,在网上支付安全措施的部署方面,银行将更多的精力放在"硬件"方面,而忽视"软件"方面的投入。目前网上支付的主要支付工具为银行借记卡[注1],其本质上是存折的替代品,属于银行传统的负债业务----存款。由于历史上银行为追求单一发卡量,形成了高额成本在短时间内难以消化,同时银行又面临从单一的资产与负债业务,向资产、负债、中间业务多元化业务转型的经营压力,因此造成银行目前对此业务安全"软件"方面的改造或升级的动机不足,风险管理的手段主要依赖于外围的信用管理体系(如央行的个人信用体系),或将责任转移于外部市场与用户。这与主要从事"信用中介"的第三方支付商的服务内容与承担责任大相径庭。
银行应该如何应对?
易观国际建议银行采取如下措施(跨银行的卡组织同样适用):
在短期内,虽然在网上支付发生的不安全事件,多数由用户自身原因造成[注2],但是目前银行在处理网上支付与用户间安全性争端时,对自身责任的缺失尚无足够认识。银行应该深入各领域业务层面的支付流,制定相应的管理制度、操作规范、风险处理办法,构建完善的信用管理体系,比如在用户端与商户端之间端建立双认证体系,针对支付过程中欺诈、差错、争议等问题,配套合理的管理手段等等,从而有利于在价值链各成员之间的风险责任合理分配,减少可能带来的损失与争议。
在中、长期来看,由于网上支付这种"非面对面"的支付渠道,其根植土壤是完善的信用管理体系,如果银行依旧只考虑安全"硬件"方面的投入,忽视安全"软件"方面的投入,采用把风险转嫁外部市场或用户的方式,将会失去未来市场的信任,在下一轮市场竞争中处于被动地位。
易观国际认为,在支付电子化的今天,对于任何产业而言,电子支付是经营中重要一环(资金流的核心),而对于任何企业来说,都是一项战略资产,虽然银行是在支付方面拥有"先天"的传统优势,但是在电子支付市场逐渐呈现产业融合的趋势下,安全性既然成为用户使用网上支付的焦点问题,银行就应该深入各领域业务层面的支付流,加大对安全"软件"----信用管理体系建设的投入,向第三方支付服务商学习。否则,将会失去对市场的主动权。
作者:易观国际 马凌
网友评论