银行卡支付风险管理对策研究
来源:用户上传
作者: 谭荣华 刘志刚
摘要:我国银行卡产业发展迅速,银行卡支付在社会商品流通领域所占比例稳步上升,银行卡已成为人民群众日常生活中不可缺少的一部分,可银行卡犯罪也如影随行地来到我们身边。本文就我国银行卡犯罪的主要特征和行为进行分析,并提出相应的解决措施和建议。
关键词:银行卡;支付风险防范;交易安全
中图分类号:F830.46文献标识码:B文章编号:1006-1428(2007)06-0080-03
近几年来,随着银行卡联网联合工作的深入开展,各商业银行进一步加大了对银行卡业务的投入,加之中国银联股份有限公司这种专业化机构的推动,我国银行卡产业取得了飞跃性的发展,发卡量和交易金额均迅速增长。银行卡方便、快捷的服务方式,逐渐改变着人们的支付方式。截至2006年底,我国银行卡的发卡量达11.75亿张,同比增长23%,2006年总交易金额预计超过60万亿元,其中消费交易额为1.6万亿元,同比增长70%以上。国内银行卡特约商户52万家,销售点终端(POS)81万台,自动柜员机(ATM)9.8万台,同比分别增长32%、34%和19%。
在银行卡业务蓬勃发展的同时,银行卡产生的负面影响也在不断扩大,其中最主要的问题之一就是银行卡风险欺诈,它给发卡银行、收单机构、信息转接等机构和持卡人带来越来越大的损失。银行卡犯罪案件也逐年攀升,案件数量和损失金额快速增长。从近几年国际、国内银行卡犯罪的方法来看,主要是针对银行磁条卡和受理机具,目的是盗取持卡人的密码和银行卡磁道数据内容。因此,银行卡交易的各参与方和监管部门应对这类问题予以关注并寻找相应的解决办法,以防止支付风险的出现。
银行卡风险欺诈情况
1、全球状况。
2006年全球银行卡欺诈金额一直稳步攀升,据某国际银行卡组织最新数据显示:2006年第一、二、三季度全球银行卡欺诈金额分别为3.16亿美元、3.73亿美元与4.19亿美元,呈持续上升态势。其中,2006年前三季度全球非面对面交易欺诈损失金额为4.64亿美元,伪卡欺诈损失为4.95亿美元,且第3季度中非面对面交易欺诈损失已经超过伪卡欺诈损失,其他欺诈损失较大的类型依次为失窃卡、丢失卡、虚假申请、未达卡和账户冒用。相比较国际其他地区的情况,亚太地区的银行卡欺诈率(BP),还处于相对较低的水平。2006年第一季度至2006年第三季度全球和亚太地区欺诈率情况如下:
2、国内状况。
据不完全统计,2006年全国银行卡欺诈金额总数为1.84亿元人民币,国内银行卡欺诈率为0.94BP,比2005年底的0.67BP增长40.3%。特别是目前借记卡涉及欺诈金额增幅明显,由于手机短信欺诈的大范围出现,2006年第2季度的借记卡涉及欺诈金额为404.74万元,到了第3季度和第4季度分别增至1363.17万元和1442.7万元。2006年全国共发生账户信息泄漏事件433起,涉案金额达到3491万元,相比2005年全年发生的117起和274万元,涉案数量和金额分别增长了370%和12.7倍。
国际银行卡组织安全措施
为防范银行卡产业的风险,保障银行卡和受理机具(包括ATM和POS机)的安全,JCB、MasterCard和Visa银行卡组织联合组成了“支付卡产业联盟”(Payment Card Industry,简称PCI),针对银行卡和终端产品建立了一套严格的标准和规范,涵盖了银行卡卡片、银行卡终端机具等产品和受理商户处理系统,详列了敏感数据的储存、处理、传输及会员银行、商品(或服务)提供者等各方的安全要求。国际银行卡组织和一些西方国家已将金融支付产品的安全性列入其支付环境建设的管理范畴中,并将产品的安全性指标作为衡量该产品能否在其网络或国内使用的主要依据之一。目前,JCB、MasterCard和Visa国际组织已要求会员银行在采购和使用的银行卡产品时必须遵循和符合PCI安全标准,保证银行卡支付安全,并委托国际银行卡组织自己的实验室或第三方实验室对银行卡产品进行安全检测与评估。
1、卡片安全措施。
国际银行卡组织对银行卡生产企业采用授权生产的原则,对生产过程实行严格的数字化管理,防止非法卡片从指定的生产企业流出。由于磁条卡自身存储方式的制约,无法对磁条的安全性做出进一步要求,仅能采用在银行卡正面加贴全息防伪标志和印刷微缩文字等简单办法提高银行卡的防伪特性。但对于金融集成电路(IC)卡,除上述要求之外,还增加了对IC芯片硬件安全评估和IC卡操作系统风险测试的要求。芯片硬件安全评估是对芯片自身的安全性(包括物理防护、数据存储和环境保护等安全机制)进行测试和评估,采用操控、观测、半入侵的方式,利用激光、扫描电镜、化学腐蚀、微探针、功耗分析和毛刺发生器等设备和手段,对卡片中存储的密钥、计数器、只读代码等对象开展安全性攻击测试。银行卡组织要求金融IC卡所使用的芯片必须通过“Common Criteria”评估标准(参照IS0/IEC 15408标准)EAL4+以上的安全级别;风险测试是针对IC卡产品的COS进行的安全风险评估,确保卡片的COS调用了IC芯片硬件所提供的安全特征,并得到合理、有效的运用。
2、受理设备安全措施。
国际银行卡组织对受理机具的生产企业不采用授权生产的原则,仅要求受理机具的安全性符合PCI组织的安全规范并通过指定实验室的检测和评估。终端安全性检测主要针对PIN输入设备和密钥存储区域,设备的安全可分为物理安全性和逻辑安全性二部分。物理安全性是检测银行卡受理机具在物理构造上是否具备防攻击性和反攻击性机制,以及不同防攻击性和反攻击性之间的关联性。这些攻击手段包括钻孔、激光、化学溶剂、外壳和通风口探查,以及音频、电磁波、电压监测等;逻辑安全性是检测银行卡受理机具在软件设计上是否具备防攻击性和反攻击性的机制,例如终端是否具备自检功能,敏感信息使用次数和时间控制,异常数据反应,随机数发生器特性,嵌入式软件更新控制,加密消息鉴别和加密方法是否达到相应的安全要求等。
国内的欺诈方式及防范措施
我国目前使用的银行卡绝大多数(超过98%以上)为磁条卡,银行卡欺诈主要是通过伪造卡片或交易信息获取非法收益,这些信息可通过盗取卡片,监控用户密码输入,攻击银行后台数据库和终端机具等方式实现。
从国内银行卡犯罪的方法来看,其主要方式是盗取银行磁条卡上的数据信息和持卡人密码(PIN)。作为银行卡监管机构、发卡机构和收单机构应从以下几个方面采取措施预防欺诈风险的发生。
1、监管机构措施。
银行卡卡片和受理设备的安全管理是银行卡安全环境建设的重要环节之一,监管机构应制定、颁布银行卡卡片和受理设备的安全标准,成立相应的银行卡产品检测认证机构,指定专门实验室进行银行卡产品安全检测,通过检测和认证使之安全性达到相应标准,防止犯罪分子通过攻击终端机具获取持卡人密码、磁道信息或终端机具的密钥,有效降低银行卡交易风险。特别是加强对受理设备的检测,严格规范受理设备的交易流程、数据存储和加密、密钥下装等环节,减少欺诈案件的发生。
监管机构应建立银行卡风险欺诈信息沟通机制,建立监管机构、发卡机构、收单机构、信息转接机构(中国银联)、公安部门和其他相关部门间长期、有效的沟通渠道,通过各方面的力量化解风险事件,定期通报国内外银行卡风险管理动态、银行卡犯罪趋势分析以及其他银行发生的经验教训等。加快建立健全相关的法律、法规,依法打击银行卡风险欺诈的犯罪活动,遏制银行卡犯罪活动的发生。
2、发卡机构措施。
为降低发卡风险,发卡机构应建立健全风险管理体制,加强制度规章建设,提高风险管理的技术手段,加大风险管理的组织保障力度。如针对银行卡业务开展的各个环节,详细列举业务开展过程中可能出现的风险点,并针对各风险点的情况提出具体的防范及控制措施;在后台处理系统中加装银行卡风险预警监控系统。
加强对银行卡磁道数据信息的保护。磁道数据被窃取通常有二种途径:一是直接读取卡片数据;二是通过卡号推算磁道数据内容。对于第一种窃取方式只能采取加强宣传力度的方式,教育持卡人提高风险防范意识,注意卡片的使用和管理;对于第二种窃取方式,各发卡机构应严格按照国标GB/T 19584规范的要求,在卡片中增加可变的CVN编码,防止通过卡号推算出磁道信息的全部内容并批量制作伪卡。此外,发卡机构还可在第三磁道内增加其他的可变数据,进一步增加银行卡的伪造难度。同时,可以考虑在适当时机开展银行磁条卡向IC卡的迁移工作,以彻底解决磁条卡安全性不高的问题。
3、收单机构措施。
收单机构为规避风险应当制定相应的风险策略和收单政策,规范商户的选择、评估和签约等作业程序,明确风险管理部门的责任,与公安部门合作开展对欺诈交易的监控和侦测等。通过汇集、分析商户交易数据并产生相关风险评估报告,比如对过多退单或销售额非正常波动的商户行为进行风险预警。
除使用已通过相关安全检测的终端产品外,收单机构还要加强对设备和设备所处环境的管理和监控,全面推广ATM监控系统,防止犯罪嫌疑人通过非法安装摄像头、磁条阅读器、录音装置等方法窃取持卡人密码和磁道数据信息。此外,还可定期组织风险管理知识培训,使收银员等银行卡从业人员及时了解银行卡风险发展的最新现状、欺诈案件类型及防范措施等,防范收单风险的发生。
参考文献:
[1]E-Money Consultation Financial Services RE-goldulation Team, IMPLEMENTATION OF THE ELECTRONIC MONEY DIRECTIVE, HM Treasury, UK, 2001
[2]European Central Bank, E-PAYMENTS IN EUROPE-THE EUROSYSTEM’S PERSPECTIVE, 2002
[3]European Central Bank, ELECTRONIC MONEY SYSTEM SECURITY OBJECTIVES, 2003
[4]Hanna Jyrkonen, Less cash on the counter-forecasting finish payment preferences, Bank of Finland Discussion Papers, 2004
[5]Nathalie Janson1, The Development of Electronic Money: Toward the Emergence of Free-Banking, San Jose State University (CA), 2003
[6]Nederlandsche Bank, THE COSTS OF PAYMENTS SURVEY ON THE COSTS INVOLVED IN POS PAYMENT PRODUCTS, 2004
[7]戴维・S・埃文斯.银行卡时代[M].中国金融出版社,2006
[8]中国人民银行.银行计箱机信息系统安全技术规范[M].电子工业出版社,2002
[9]中国银联股份有限公司.中国银行卡产业发展报告(2006)[M].上海远东出版社,2006
(责任编辑:周智立)
转载注明来源:https://www.xzbu.com/3/view-1418893.htm