日前,人民銀行發(fā)布《條碼支付安全技術(shù)規(guī)范(試行)》(銀辦發(fā)〔2017〕242號(hào))�����,以下簡(jiǎn)稱242號(hào)文����,從技術(shù)規(guī)范、風(fēng)險(xiǎn)防范��、額度等方面多角度的做出了規(guī)定����。規(guī)范實(shí)行后若交易時(shí)使用掃碼支付,同一客戶銀行或支付單日��、月累計(jì)交易額��,根據(jù)“風(fēng)險(xiǎn)防范分級(jí)”進(jìn)行限額��。該規(guī)范從今年4月1日已開始正式實(shí)行����。
過去,二維碼支付額度沒有根據(jù)“風(fēng)險(xiǎn)防范分級(jí)”進(jìn)行限制����,當(dāng)交易額度較高時(shí)���,交易賬戶安全性難以保障,包括但不限于:業(yè)務(wù)開展過程中用戶或?qū)嶓w身份的真實(shí)性�����、交易數(shù)據(jù)的機(jī)密性和完整性�、以及用戶支付行為的不可否認(rèn)性等。
銀行�、支付機(jī)構(gòu)應(yīng)根據(jù)242號(hào)文中關(guān)于風(fēng)險(xiǎn)防范能力的分級(jí),對(duì)個(gè)人客戶的條碼支付業(yè)務(wù)進(jìn)行限額管理�����,其中規(guī)定根據(jù)風(fēng)險(xiǎn)和支付額度�,分成A、B��、C�、D四個(gè)等級(jí),具體規(guī)定如下:
●風(fēng)險(xiǎn)防范能力達(dá)到A級(jí)����,即采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素對(duì)交易進(jìn)行驗(yàn)證的�����,可與客戶通過協(xié)議自主約定單日累計(jì)限額;
●風(fēng)險(xiǎn)防范能力達(dá)到B級(jí),即采用不包括數(shù)字證書��、電子簽名在內(nèi)的兩類(含)以上有效要素對(duì)交易進(jìn)行驗(yàn)證的�����,同一客戶單個(gè)銀行賬戶或所有支付賬戶單日累計(jì)交易金額應(yīng)不超過5000元;
●險(xiǎn)防范能力達(dá)到C級(jí)�,即采用不足兩類要素對(duì)交易進(jìn)行驗(yàn)證的,同一客戶單個(gè)銀行賬戶或所有支付賬戶單日累計(jì)交易金額應(yīng)不超過1000元;
●風(fēng)險(xiǎn)防范能力達(dá)到D級(jí)��,即使用靜態(tài)條碼的�,同一客戶單個(gè)銀行賬戶或所有支付賬戶單日累計(jì)交易金額應(yīng)不超過500元。
其中���,風(fēng)險(xiǎn)防范能力最高為到A級(jí)���,需要采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素對(duì)交易進(jìn)行驗(yàn)證,銀行或者支付機(jī)構(gòu)可與客戶通過協(xié)議自主約定單日累計(jì)限額�����。目前,各大銀行和各個(gè)支付機(jī)構(gòu)均有二維碼支付業(yè)務(wù)�,為保證業(yè)務(wù)合規(guī)開展,引入數(shù)字證書或者電子簽名技術(shù)是必要的�����。
數(shù)字證書和電子簽名能夠保證二維碼掃碼支付的安全
二維碼支付交易驗(yàn)證采用數(shù)字證書和電子簽名技術(shù)�,該技術(shù)是基于密碼學(xué)和PKI技術(shù)實(shí)現(xiàn),通過利用成熟的密碼算法保證支付安全���。電子簽名技術(shù)及方案較為成熟����,目前在各行各業(yè)廣泛應(yīng)用��,特別是銀行業(yè)務(wù)中已經(jīng)應(yīng)用多年���,此次242號(hào)文中將基于數(shù)字證書和電子簽名應(yīng)用列為最高安全等級(jí)��,也是從大額轉(zhuǎn)賬時(shí)的賬戶安全考慮���。
數(shù)字認(rèn)證二維碼安全解決方案
北京數(shù)字認(rèn)證股份有限公司(簡(jiǎn)稱:數(shù)字認(rèn)證,股票代碼:300579)是工信部認(rèn)可的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)�,為二維碼支付相關(guān)方提供身份識(shí)別���、數(shù)字證書、電子簽名等可信服務(wù)�。
公司基于滿足《電子簽名法》的可靠電子簽名技術(shù),提供的二維碼支付安全解決方案���,方案如下:
利用數(shù)字認(rèn)證的電子簽名服務(wù),為二維碼支付時(shí)的客戶實(shí)體頒發(fā)數(shù)字證書����,在進(jìn)行二維碼掃碼交易時(shí),調(diào)取數(shù)字證書完成用戶的身份驗(yàn)證�。同時(shí),利用電子簽名技術(shù)可以保證交易主體的強(qiáng)身份驗(yàn)證�����,同時(shí)也可對(duì)交易金額等關(guān)鍵數(shù)據(jù)進(jìn)行電子簽名��,保證操作的可追溯和防抵賴�。
應(yīng)用流程舉例:
其實(shí)現(xiàn)過程為:掃碼支付時(shí),商家掃描客戶二維碼成功后��,需要確認(rèn)用戶身份��,在確認(rèn)用戶身份環(huán)節(jié),調(diào)用客戶端的數(shù)字證書進(jìn)行身份認(rèn)證���,要求用戶輸入數(shù)字證書保護(hù)口令或者指紋��,驗(yàn)證成功后����,完成后續(xù)的交易過程�。
作為權(quán)威第三方電子認(rèn)證服務(wù)機(jī)構(gòu),數(shù)字認(rèn)證憑借對(duì)銀行業(yè)務(wù)發(fā)展的深刻認(rèn)識(shí)以及大量服務(wù)經(jīng)驗(yàn)積累�,完全滿足242號(hào)文要求,降低業(yè)務(wù)風(fēng)險(xiǎn)��,合法全規(guī)�����。支持多種數(shù)字證書形態(tài)��,滿足用戶�、商戶、第三方機(jī)構(gòu)的實(shí)體屬性要求���。支持Android�����、IOS�、H5等業(yè)務(wù)平臺(tái),操作簡(jiǎn)單便捷����,用戶體驗(yàn)極佳,符合應(yīng)用場(chǎng)景要求��。
轉(zhuǎn)自:北國(guó)網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
