条码支付,也就是二维码支付,是近年来深深改变了居民生活方式的创新业务。去年8月,虎嗅曾报道,央行主管的中国支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),指出了支付机构开展条码业务需要遵循的安全标准。历时一年多,在即将走到2017年年底的今天(12月27日),央行终于发布了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》。
有意思的是,针对我们在商户常见的静态收款二维码,央行提出了比较细致的要求:静态条码宜采用防伪纸张展示条码,展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查;静态条码应采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记;在静态条码介质显著位置应明显展示收款方信息,便于用户核对。
央行因为与“亲儿子”银行的亲密关系而被称为央妈。在今天的支付规范中,央妈展示了博爱的一面,对小商户们的支付安全谆谆教导。
条码支付存在不正当竞争、加剧收单市场乱象、技术风险等问题
央行曾暂停二维码支付,原因是是安全性存在问题。这次发布规范,也是针对行业中存在的问题。针对条码支付业务发展中存在的主要问题,央行表示:
一是条码支付在降低商户准入门槛的同时,加剧收单市场乱象。部分市场机构通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,存在各类安全隐患。
二是条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段。
三是条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:
可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;
易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;
信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;
扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
新规强调持牌经营、通过央行进行清算、不得烧钱补贴排挤竞争对手等
针对以上存在的问题,新规在多个方面进行了规范,具体而言有如下几点:
一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
二是重申清算管理要求。银行、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。
三是要求维护市场公平竞争秩序。央行强调,不能单纯追求无底线的创新;稳定、可持续的投入和运营是支付业务长远发展的保障,不能为了追求短期的市场份额,采取“烧钱”“补贴”等不当竞争手段。
四是规范条码生成和受理。提出交易验证方式、交易限额管理、信息管理和安全防护,静态条码应用管理、综合应用支付标记化技术等措施,保障条码支付业务的安全性。
五是加强商户管理和风险管理。从特约商户资质审核、受理协议签订、商户风险评级、商户检查,以及交易风险监测,客户安全教育等方面提出要求,强化业务风险管理。
总体来说就是几点:做二维码支付需要持牌经营,需要跟央行清算系统或者网联对接进行清算,不能进行不正当竞争,支付机构需要对商户加强管理。
安全是条码支付重中之重
技术安全是此次新规的关注重点,在技术风险方面,央行要求,加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。另外,要提升条码支付交易安全强度,强化条码支付交易风险监测与预警,加强客户端软件安全管理。
对于我们常常扫码付款用的静态条码,央行特别指出,静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,提出了一系列防范静态条码风险的措施:
一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。
二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。
三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。
四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对。
五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。
现实中确实出现过二维码被替换导致付款人的资金没有转到商户,而是被不法分子窃取。央行上述这些规范是针对新出现的这些支付问题。这也使得此次新规比较接地气。
条码支付将设置限额
因为条码支付的安全性相对不足,央行将其定位为小额、便民支付。与此对应,央行为动态条码和静态条码都设置了交易限额。
动态条码方面,限额如下:
使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
需要明确的是,这条并不是说路边使用静态二维码的小商户每天只能接收500元,而是说这些商户的单个消费者每天扫码支付不能超过500元,也就是说,这是针对消费者的,而不是针对商户的。
总体而言,央行此次业务规范针对当下越来越普及的二维码支付,在技术安全、使用安全、市场竞争秩序等方面进行了全面规范,对于行业的安全会是一种保障。