近期,福建联迪商用设备有限公司的APOS A7智能终端通过了银行卡检测中心的PCI PTS终端安全检测并顺利获得认证,开创了我国本土实验室过检终端取得PTS认证的先河。银行卡检测中心于2017年获得PCI组织授权,成为我国本土首家PTS检测实验室,标志着我国支付安全检测技术已达到国际先进水平。本土PTS实验室的建成,为国内受理终端企业提供了更加便捷、更为高效、更低成本的检测服务,使国产终端在国际市场中具备更强的竞争力。
那么,PCI认证与国内支付行业通行的银联认证有何差异?作为本土首家授权实验室,银行卡检测中心在支付安全风险防范领域有哪些经验与产业各界分享?借此机会,移动支付网对银行卡检测中心总经理渠韶光进行了专访。
PCI PTS认证与银联认证的差异
作为全球性的认证管理机构,PCI认证与银联认证不同,该委员会由Visa、Mastercard、American Express、Discover和JCB等各大国际卡组织共同主导成立,建立并维护了一套完整的检测认证体系,其认证适用范围广泛,国际市场普遍将PCI PTS认证作为终端安全性的重要标识。
在安全要求上,PCI认证主要以模块形式划分,分为核心安全、开放协议、集成安全、账户数据保护、设备生产管理和运输5大模块,以通用性标准要求传统POS、智能POS、mPOS、个人支付终端等不同形态的终端产品;银联认证在模块划分的基础上对不同产品形态的安全标准进行细化,根据不同产品的技术特征针对性的提出基线要求。
渠总介绍说,近些年很多国内企业在国际认证上投入大量的人力财力,一方面是为满足企业开拓国际市场的需要,作为国际卡组织产品入网的强制性要求,国内企业必须通过相关国际认证才能为其产品打入国际市场开辟通道;另一方面随着中国支付清算市场的开放,企业为满足Visa、Mastercard等国际支付组织的接入要求,对国际认证的需求也日益迫切。
移动支付的安全与检测
随着移动支付市场的迅猛发展,支付主体多元化、支付手段多样化的趋势十分明显,安全问题也随之而来。渠总指出,随着第三方支付市场的放开,支付业务参与方的背景和业务形态多样,风险控制和承受能力差异巨大,形成了创新支付手段和支付业务规模的快速发展,与风险控制能力不匹配的矛盾。
例如手机APP的安全与风险,之前国内的移动支付更多的是把手机当卡片用,二维码、指纹等其他新兴支付方式兴起后,各大银行以及支付机构都通过APP作为支付窗口,后台的风险控制和防御能力的不匹配,成为移动支付安全的最大隐患。尤其是基于开放操作系统的安卓用户,如果一旦把手机ROOT后,相当于把所有接口开放,不仅是移动支付APP,整个手机都置于危险中。
国家和监管机构针对移动支付推出了多项政策法规约束和规范市场,银行卡检测中心也适时提供了一站式的测评服务,帮助支付机构从技术、业务、管理等角度做到安全合规。如对于二维码支付,目前检测中心可依据中国银联发布的《中国银联二维码支付安全规范》对具有二维码支付功能的APP、受理终端提供相关的安全检测服务,以保证通过检测的产品符合规范的要求。
智能POS的发展及建议
与智能手机所面临的风险有些类似,智能POS的安全问题也是时下产业关注的焦点。智能POS在这短短的两三年得到迅速发展,犹现当年“手刷”市场的风靡景象。然而截至去年年底,全国通过银联安全认证的智能POS仅39款,相关的终端厂商已将近两百家。在市场的推动和利益的驱使下,会不会导致智能POS最终的发展也像手刷一样出现乱象呢?
渠总从支付受理终端的检测情况,也道出了当前我国智能POS的发展现状。他介绍说,智能POS属于商用受理设备,属性与定义为个人支付类终端的手刷不同,其发展可以借鉴传统POS的发展经验。从目前新送检的终端来看,智能POS已占5成以上,POS行业智能化发展已是大势所趋。不过由于大部分智能POS搭载的是安卓智能的操作系统,存在很多潜在的漏洞,因此需要对系统做很多的裁剪和配置,厂商在提交产品认证的时候,要确保系统屏蔽了目前已知的漏洞。
另外,由于存在的防入侵检测机制失效、安全芯片缺失等问题,去年银联业管委取消了20款终端的安全认证资质,渠总指出,产生这些问题的原因主要有两点:第一,目前终端市场竞争激烈,招投标双方过分关注产品的价格,而对产品的质量、安全性等方面把控不严。在终端布放后也很少对已布放的产品进行检查,导致部分厂商存在鱼目混珠的现象。第二,个别终端厂商由于经验不足,在送检时不惜成本的堆积安全机制,生产时发现可靠性差或者成本过高,而对终端安全机制进行裁减,导致过检产品与销售的产品存在较大差异。对此银行卡检测中心也在积极配合有关部门完善标准和规范,加速后续检测认证的全面落地。渠总认为,保障金融安全对于潜在的攻击和风险而言,是一场没有终点的赛跑;因此周期性地升级标准规范、提升安全要求就显得尤为重要。
同时,渠总也提出三点发展建议,以避免智能POS陷入或再出现类似问题:
1、采购方在招标时和布放后增加技术审查环节,从采购环节将不合格产品排除在外,检测中心将配合提供一致性校验服务。
2、监管部门加大监督力度,对已经出过问题型号的终端着重进行检查。
3、终端厂商不断提升自身技术水平,要在满足安全要求的前提下控制生产成本,而不是靠削减安全机制来降低价格。
推动改革创新,提升专业服务能力
在谈及国内支付环境从银行卡转向移动支付时,渠总在最后也介绍了银行卡检测中心的企业创新与改革。他指出,银行卡检测中心目前正在从内部管理架构以及业务拓展方面进行调整,积极策应中国银联“二次创业”市场化、国际化转型发展战略,在坚持国有企业优秀传统和品质的基础上,本着“市场第一,客户第一,服务第一”的经营理念,在专业服务和业务模式上向国际化的第三方综合检测服务机构转型,改变外界的固有印象。具体改革措施包括:
1、强化内部综合管理、优化关键业务流程,全面提升检测业务质量。包括研发自动化检测技术、为应急招标检测项目开绿色通道、定期开展相关培训、提供安全防护咨询建议等。
2、把握技术趋势,持续开拓创新业务领域。包括大力推进国际资质建设、获取更多国内检测资质、提供更为丰富的检测项目等,当好国外检测技术“引进来”和国内检测标准“走出去”的桥梁与纽带。
渠总介绍说,银行卡检测中心作为行业标准制修订的参与方,对标准的研制思路、重点要求、实施方案等具有较深入的理解和认识,目前已为产业相关方提供标准培训和安全防护咨询,不仅使企业少走弯路,也降低了企业研发成本。
据悉,银行卡检测中心深圳分公司作为总部试点改革的窗口,正在积极申请更多的国际检测认证资质,包括EMV、PCI等,以解决广东及福建地区智能终端厂商的检测需求。渠总还透露,深圳分公司将很快配备自动化检测工具,以提高检测效率,尽可能的在每一个环节为企业降低检测费用。