【盤點(diǎn)】10大關(guān)鍵詞串聯(lián)2017銀行卡受理終端行業(yè)變革
2017年已步入尾聲,這一年終端行業(yè)有哪些有趣又比較重大的事呢?由金融科技大講堂公眾號(hào)攜手北京信陵神州科技有限公司編輯整理的2017終端行業(yè)十大關(guān)鍵詞,將為您細(xì)細(xì)盤點(diǎn)這一年的行業(yè)動(dòng)態(tài)。
Top1:21號(hào)文
中國(guó)人民銀行發(fā)布21號(hào)文
為加強(qiáng)銀行卡受理終端安全管理,提升支付風(fēng)險(xiǎn)防控能力,防范電信網(wǎng)絡(luò)詐騙及偽卡欺詐,切實(shí)保護(hù)人民群眾財(cái)產(chǎn)安全和合法權(quán)益,中國(guó)人民銀行發(fā)布了《中國(guó)人民銀行關(guān)于強(qiáng)化銀行卡受理終端安全管理的通知》(銀發(fā)[2017]21號(hào))。
從21號(hào)文中我們不難看出,人行對(duì)目前的銀行卡受理終端環(huán)境并不滿意。支付終端產(chǎn)品良莠不齊、終端管理不完善、支付交易報(bào)文不規(guī)范、關(guān)聯(lián)業(yè)務(wù)系統(tǒng)合規(guī)性不夠等,都是目前支付終端存在的諸多問(wèn)題。人行21號(hào)文從規(guī)范銀行卡交易報(bào)文管理、加強(qiáng)銀行卡受理終端注冊(cè)管理、強(qiáng)化銀行卡受理終端產(chǎn)品質(zhì)量管理、加大銀行卡受理終端支付風(fēng)險(xiǎn)防控力度 等方面,對(duì)清算機(jī)構(gòu)、商業(yè)銀行、支付機(jī)構(gòu)(收單)提出了更為具體的要求。為貫徹21號(hào)文,中國(guó)銀聯(lián)也編制了《加強(qiáng)支付受理終端規(guī)范化管理技術(shù)實(shí)現(xiàn)方案》、《銷售點(diǎn)POS終端應(yīng)用規(guī)范終端唯一標(biāo)示技術(shù)方案》、《中國(guó)銀聯(lián)終端管理系統(tǒng)上送終端硬件系列號(hào)密鑰文件的技術(shù)開(kāi)發(fā)方案》等等相關(guān)的技術(shù)方案和標(biāo)準(zhǔn)等。
Top2:關(guān)閉磁條降級(jí)交易
央行于5月1日起復(fù)合卡關(guān)閉磁條交易
2016年央行發(fā)布了《中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》,要求2017年5月1日起全面關(guān)閉芯片磁條復(fù)合卡的磁條交易功能。
眾所周知磁條卡因?yàn)楸旧淼奈锢硖匦?,很容易被?cè)錄,被用來(lái)做偽卡交易,而芯片卡較磁條卡來(lái)說(shuō)更安全一點(diǎn),未來(lái)銀行卡的發(fā)展趨勢(shì)肯定是磁條卡會(huì)慢慢的被芯片卡所取代。自1985年第一張磁條卡在我國(guó)中國(guó)銀行珠海支行發(fā)行以來(lái),據(jù)專家介紹,目前我國(guó)發(fā)行的銀行卡已超過(guò)20億張,其中90%以上是磁條卡。這么多的磁條卡被取代是一項(xiàng)非常龐大的工程,所需時(shí)間也肯定不短。央行此舉一方面加強(qiáng)了對(duì)銀行卡風(fēng)險(xiǎn)的把控,另一方面對(duì)于POS機(jī)行業(yè)來(lái)說(shuō),未來(lái)隨著磁條卡慢慢退出歷史舞臺(tái),針對(duì)于芯片卡的刷卡機(jī)器將有更多的市場(chǎng)。
Top3:281號(hào)文
央行發(fā)布281號(hào)《關(guān)于規(guī)范支付創(chuàng)新業(yè)務(wù)通知》
繼《關(guān)于進(jìn)一步加強(qiáng)無(wú)證經(jīng)營(yíng)支付業(yè)務(wù)整治工作的通知》(簡(jiǎn)稱“217號(hào)文”)之后,中國(guó)人民銀行于12月13日又下發(fā)了《關(guān)于規(guī)范支付創(chuàng)新業(yè)務(wù)的通知》(簡(jiǎn)稱“281號(hào)文”),涉及支付創(chuàng)新業(yè)務(wù)、收單業(yè)務(wù)、代收業(yè)務(wù)、支付業(yè)務(wù)系統(tǒng)接口等方面。
281號(hào)文中對(duì)收單機(jī)構(gòu)POS設(shè)備的管理,包括對(duì)收單業(yè)務(wù)廣告以及外包服務(wù)等提出了更加嚴(yán)格、更加明確的規(guī)定,針對(duì)目前收單市場(chǎng)切機(jī)、套現(xiàn)等違法違規(guī)亂象進(jìn)行整頓,保證收單市場(chǎng)健康有序的發(fā)展。
與此同時(shí),一些大機(jī)構(gòu)為了爭(zhēng)奪市場(chǎng),進(jìn)行POS機(jī)具補(bǔ)貼,一定程度上使得代理商看哪家補(bǔ)貼多換哪家產(chǎn)品,進(jìn)而給整個(gè)受理市場(chǎng)帶來(lái)負(fù)面影響。針對(duì)這一現(xiàn)狀,281號(hào)文還強(qiáng)調(diào)“不得濫用本機(jī)構(gòu)及關(guān)聯(lián)企業(yè)的市場(chǎng)優(yōu)勢(shì)地位,排除、限制支付服務(wù)競(jìng)爭(zhēng);不得采用低價(jià)傾銷、交叉補(bǔ)貼等不當(dāng)手段拓展市場(chǎng);不得夸大宣傳、散布虛假信息,損害其他市場(chǎng)主體的商業(yè)信譽(yù)。”
Top4:終端安全行業(yè)認(rèn)證
中國(guó)人民銀行準(zhǔn)備推行銀行卡受理終端安全認(rèn)證
中國(guó)人民銀行于2016年9月6日正式發(fā)布金融行業(yè)標(biāo)準(zhǔn)《銀行卡受理終端安全規(guī)范》(JR/T 0120-2016),對(duì)終端安全的各個(gè)方面做了系統(tǒng)且詳細(xì)的要求。
據(jù)悉,人行由此標(biāo)準(zhǔn),在今年已準(zhǔn)備積極推行銀行卡受理終端機(jī)具的安全認(rèn)證,目前已有多家實(shí)驗(yàn)室在準(zhǔn)備該認(rèn)證資質(zhì)的申請(qǐng),預(yù)計(jì)2018年將會(huì)大范圍普及。人行推行銀行卡受理終端機(jī)具的安全認(rèn)證,會(huì)進(jìn)一步規(guī)范銀行卡受理終端的安全管理,強(qiáng)化POS、ATM受理終端軟硬件安全防護(hù)能力,提升銀行卡受理商戶系統(tǒng)安全水平,有效防范支付敏感信息泄露和偽卡欺詐風(fēng)險(xiǎn),提升金融服務(wù)質(zhì)量和普惠水平,滿足金融領(lǐng)域安全健康發(fā)展需要。
Top5:支付牌照續(xù)展
樂(lè)富支付牌照被注銷
月26日,央行發(fā)布第四批非銀行支付機(jī)構(gòu)《支付業(yè)務(wù)許可證》續(xù)展決定,共涉及93家第三方支付機(jī)構(gòu),樂(lè)富支付等9家機(jī)構(gòu)支付牌照續(xù)展未通過(guò)。8月31日銀聯(lián)官方正式發(fā)布終止樂(lè)富支付有限公司銀聯(lián)卡收單業(yè)務(wù)資格的公告,之前央行注銷樂(lè)富支付牌照并要求其退出全國(guó)市場(chǎng),銀聯(lián)這一公告正式預(yù)示著樂(lè)富這一品牌的終結(jié)!
300萬(wàn)臺(tái)左右,簽約商戶數(shù)260萬(wàn)家,4000多家合作伙伴,年清算規(guī)模超過(guò)1.2萬(wàn)億,這么一家旗艦級(jí)別的支付公司續(xù)展未通過(guò),還被央行堅(jiān)決給予注銷支付牌照,著實(shí)轟動(dòng)了整個(gè)中國(guó)支付行業(yè),說(shuō)明了樂(lè)富支付在開(kāi)展續(xù)展工作以及日常針對(duì)監(jiān)管提出的問(wèn)題的整改方面存在著重大疏漏,實(shí)實(shí)在在觸及到了央行的底線,某個(gè)角度也可以說(shuō)是咎由自取。
更重要的是,此次注銷支付牌照的行為表明了央行嚴(yán)厲整頓支付行業(yè)的決心,也給足了對(duì)其他的眾多支付機(jī)構(gòu)的警示。
Top6:PCI PTS資質(zhì)
銀行卡檢測(cè)中心獲得PCI PTS檢測(cè)資質(zhì)
2017年3月21日,支付安全研討會(huì)暨PCI PTS檢測(cè)資質(zhì)授權(quán)儀式在京召開(kāi),會(huì)上宣布銀行卡檢測(cè)中心取得PCI PTS檢測(cè)資質(zhì),正式建立PCI PTS安全檢測(cè)機(jī)構(gòu),成為亞洲首家,也是全球第8家PCI SSC授權(quán)認(rèn)可的PTS檢測(cè)機(jī)構(gòu)。
銀行卡檢測(cè)中心經(jīng)過(guò)十年的努力與積累,終建成中國(guó)本土首家PCI PTS安全檢測(cè)機(jī)構(gòu),標(biāo)志著我國(guó)終端設(shè)備測(cè)試也達(dá)到了國(guó)際認(rèn)可的水平,填補(bǔ)了國(guó)內(nèi)金融行業(yè)PCI產(chǎn)品安全檢測(cè)的空白,解決了中國(guó)企業(yè)出國(guó)送檢問(wèn)題。
Top7:抽檢
2017年受理終端抽檢:已取消多款銀聯(lián)卡受理終端安全認(rèn)證證書(shū)
為引導(dǎo)銀聯(lián)卡受理終端市場(chǎng)規(guī)范有序發(fā)展,銀聯(lián)組織開(kāi)展了2017年銀聯(lián)卡受理終端抽檢工作,主要對(duì)市場(chǎng)實(shí)際布放的終端進(jìn)行抽樣檢測(cè),驗(yàn)證其安全功能設(shè)計(jì)是否與通過(guò)認(rèn)證檢測(cè)的產(chǎn)品保持一致。
到目前為止,已完成第一批和第二批終端抽檢工作,兩批抽檢均發(fā)現(xiàn)多家廠商多款POS產(chǎn)品修改了安全設(shè)計(jì),存在很大的安全隱患,嚴(yán)重違反了銀聯(lián)對(duì)于產(chǎn)品一致性的要求規(guī)定。針對(duì)出問(wèn)題的終端設(shè)備,銀聯(lián)已取消了其安全認(rèn)證證書(shū),要求相關(guān)廠商停止生產(chǎn)銷售,并于一年內(nèi)暫停其同類新產(chǎn)品的認(rèn)證申請(qǐng)。
銀聯(lián)抽檢從2014年開(kāi)始,今年已是連續(xù)第三年,期間發(fā)現(xiàn)多款POS在生產(chǎn)時(shí)廠商為了省成本,對(duì)POS的安全設(shè)計(jì)做了改動(dòng),導(dǎo)致終端設(shè)備有極大的安全隱患。銀聯(lián)對(duì)待此類事件也是毫不手軟,可見(jiàn)銀聯(lián)對(duì)終端市場(chǎng)的監(jiān)管確實(shí)重視,也警示各終端廠商莫要投機(jī)取巧,為了一點(diǎn)蠅頭小利而招致銀聯(lián)處罰是得不償失的。
Top8:審廠
終端廠商現(xiàn)場(chǎng)測(cè)評(píng)
中國(guó)銀聯(lián)組織于2017年1月編制并發(fā)布了《銀聯(lián)卡受理終端產(chǎn)品生命周期安全與質(zhì)量管理指南(發(fā)布稿)》,對(duì)終端產(chǎn)品的設(shè)計(jì)與生產(chǎn)過(guò)程提出管理要求,決定于5月份起陸續(xù)組織開(kāi)展對(duì)新老廠商的現(xiàn)場(chǎng)測(cè)評(píng)。
現(xiàn)場(chǎng)測(cè)評(píng)先由銀聯(lián)開(kāi)測(cè),后續(xù)會(huì)委托給第三方測(cè)評(píng)機(jī)構(gòu),測(cè)評(píng)結(jié)果以評(píng)分方式展現(xiàn),滿分為100分(百分制),首次測(cè)評(píng)必須達(dá)到80分以上,否則認(rèn)證辦公室一年內(nèi)不再受理該企業(yè)的認(rèn)證申請(qǐng)。
銀聯(lián)發(fā)布《銀聯(lián)卡受理終端產(chǎn)品生命周期安全與質(zhì)量管理指南(發(fā)布稿)》,目的是為引導(dǎo)終端廠商提高產(chǎn)品設(shè)計(jì)和研發(fā)管理水平,在產(chǎn)品生命周期管理過(guò)程中建立和實(shí)施有效的安全和質(zhì)量管控制度,確保終端產(chǎn)品的一致性,提高終端廠商的綜合競(jìng)爭(zhēng)力。
截止到今年11月,銀聯(lián)公布了通過(guò)審場(chǎng)的合規(guī)企業(yè),名單中包含了以聯(lián)迪商用為首的17家廠商,名單后續(xù)會(huì)持續(xù)更新。
Top9:POS補(bǔ)貼
銀聯(lián)為推動(dòng)云閃付進(jìn)行大規(guī)模POS補(bǔ)貼,每臺(tái)最高400元!
10月23日,銀聯(lián)公布了《銀聯(lián)閃付餐飲類智能POS改造機(jī)型名單》,擬對(duì)餐飲行業(yè)重點(diǎn)鋪設(shè)智能POS,10家POS廠商的10款智能POS入圍。
據(jù)稱,為推動(dòng)云閃付的落地,銀聯(lián)即將啟動(dòng)大規(guī)模智能POS補(bǔ)貼,在選定商戶中鋪設(shè)智能POS,對(duì)收單機(jī)構(gòu)可以獲得最高每臺(tái)400元的補(bǔ)貼,這對(duì)于智能POS的發(fā)展將有重大影響,影響到將來(lái)智能POS的產(chǎn)業(yè)格局。此外,從目前已推動(dòng)的項(xiàng)目情況來(lái)說(shuō),銀聯(lián)對(duì)云閃付的推動(dòng),重點(diǎn)在吃和行兩個(gè)領(lǐng)域。
本次銀聯(lián)新政策的主要措施包括:
對(duì)收單機(jī)構(gòu)進(jìn)行400元/臺(tái)的費(fèi)用進(jìn)行激勵(lì),補(bǔ)貼根據(jù)云閃付月交易筆數(shù)判定。
智能POS需要銀聯(lián)指定,最終會(huì)有6款智能POS入選。
值得一提的是,銀聯(lián)發(fā)布的兩份文件對(duì)400元補(bǔ)貼的形容不一樣,相關(guān)人士明確表示為每臺(tái)智能POS補(bǔ)貼400元,而不是智能POS價(jià)格400元,高出部分補(bǔ)貼。
Top10:POS攻擊
某款智能POS終端漏洞攻擊事件
在10月24日上海舉辦的GeekPwn2017國(guó)際安全極客大賽上,來(lái)自盤古實(shí)驗(yàn)室的兩名選手在極短的時(shí)間內(nèi)就攻破了某第三方支付機(jī)構(gòu)的一款智能POS機(jī),并成功復(fù)制銀行卡進(jìn)行消費(fèi)。事后該公司、生產(chǎn)產(chǎn)商、銀聯(lián)以及檢測(cè)中心都對(duì)此事進(jìn)行了回復(fù)。
此次智能POS漏洞事件從某種意義上來(lái)說(shuō)絕對(duì)是行業(yè)喜事,在沒(méi)有實(shí)際風(fēng)險(xiǎn)發(fā)生的情況下,進(jìn)行了一次危機(jī)事件的預(yù)演,給整個(gè)終端行業(yè),尤其是終端廠商、第三方機(jī)構(gòu)和廣大消費(fèi)者一些警示,畢竟財(cái)產(chǎn)風(fēng)險(xiǎn)事干重大,決不能掉以輕心。
POS終端一直是支付行業(yè)很重要的一環(huán),針對(duì)POS改裝用來(lái)違法犯罪的例子比比皆是,智能POS相比原來(lái)的傳統(tǒng)POS增加了很多功能,更方便客戶使用,但同時(shí)因?yàn)榇钶d智能平臺(tái),犯罪分子可利用的漏洞也越多。這也并不意味著傳統(tǒng)POS就一定比智能POS安全,因?yàn)榘踩偸且粋€(gè)相對(duì)的話題,它包含兩個(gè)層面的理解:第一,從理論上來(lái)講,只要給攻擊者足夠的時(shí)間和支持,沒(méi)有任何設(shè)備是攻不破的,這就是俗話說(shuō)的沒(méi)有絕對(duì)的安全;第二,所謂道高一尺魔高一丈,攻擊者水平在不斷提升的同時(shí),設(shè)備的安全性也需要不斷地提高,包括技術(shù)方面的改進(jìn)和管理制度的更優(yōu)化,只要在特定的范圍內(nèi)保證攻擊者憑借有限的技術(shù)和設(shè)備無(wú)法攻破,就能算作是安全,任何安全方案都是攻擊成本和收益的權(quán)衡。
此外,本次被破解的是智能POS的操作系統(tǒng),任何開(kāi)放的系統(tǒng)都擁有一定的漏洞,雖然操作系統(tǒng)層面的漏洞,由于攻擊環(huán)境復(fù)雜、技術(shù)難度高等原因?qū)е虏⒉皇呛苋菀妆焕?,但是絕對(duì)不能忽視。銀聯(lián)隨后在今年的12月又發(fā)文規(guī)定,對(duì)智能POS安全認(rèn)證新增一項(xiàng)關(guān)于操作系統(tǒng)系統(tǒng)的認(rèn)證,最大化的保證智能POS的安全。