作為電話和POS支付相結(jié)合的創(chuàng)新支付產(chǎn)品，電話POS經(jīng)過幾年的發(fā)展，已然成為和傳統(tǒng)POS、ATM并駕齊驅(qū)的主流電子支付渠道之一。不過，隨著電話POS的快速布放，終端機具安全、信用卡套現(xiàn)、終端移機使用等事件時有發(fā)生，有些涉案金額還特別巨大。電話POS交易的安全性到底如何呢？ “目前，電話POS支付雖然在終端機具、平臺系統(tǒng)、應(yīng)用模式、市場培育、客戶接受程度等方面已相當(dāng)成熟，但仍存在漏洞，給犯罪分子有了可乘之機。要營造放心的支付環(huán)境，就必須建立健全安全機制。”一位資深電子支付專家指出，“隨著銀行卡換‘芯’加速，對終端機具安全也有了新的要求，電話POS必須未雨綢繆，順勢而為，否則會陷入比較尷尬的生存境地。” 安全拷問電話支付 廠商支招防風(fēng)險 安全是電子支付的第一要義。目前電話POS市場應(yīng)用過程中主要存在三個問題：一是普通電話POS可能出現(xiàn)信用卡套現(xiàn)等風(fēng)險；二是電話POS布放審核手續(xù)比較簡單，個別商戶為了低扣率，套用MCC，進行移機使用；三是敏感信息被泄漏或篡改。 為了化解這些問題，惠爾豐、聯(lián)迪商用等主流金融POS廠商的做法是：將每種交易是否允許使用信用卡作為一個配置參數(shù)，該參數(shù)由各銀行統(tǒng)一控制，這樣就有效防范了信用卡套現(xiàn)風(fēng)險。針對移機使用風(fēng)險，則將電話POS終端的接入電話號碼與終端硬件序列號進行綁定，保證該終端只能在銀行指定的固定場所、固定線路上進行交易，而無法隨意更換和移動。 對交易報文中的敏感數(shù)據(jù)進行加密，終端上也不保存任何敏感數(shù)據(jù)。附加報文鑒別碼MAC，傳輸過程中非法篡改任意數(shù)據(jù)，都能被系統(tǒng)偵測到。系統(tǒng)則是構(gòu)建三層密鑰管理體系——傳輸加密密鑰采用多個主管分別輸入密鑰分量的方式管理，防止內(nèi)部作案；終端主密鑰是一機一密；工作密鑰采用簽到動態(tài)更新方式管理，防止密鑰的泄密，提高系統(tǒng)安全性。 銀行卡換“芯”加速 電話POS未雨綢繆 安全已成為電子支付發(fā)展的“命脈”，中國人民銀行也加快了銀行卡產(chǎn)業(yè)的升級——金融IC卡進入了快速、規(guī)?；陌l(fā)展階段。與磁條卡相比，金融IC卡更為安全、方便、快捷。當(dāng)前國內(nèi)銀行正按照PBOC2.0的統(tǒng)一標(biāo)準(zhǔn)，采取磁條卡與IC卡并存過渡，逐步由IC卡取代磁條卡的分步推進方法，對銀行卡進行換“芯”，同時加強對金融IC卡的受理環(huán)境建設(shè)，對存量POS終端進行IC卡讀卡器的升級改造，新增POS終端則強制采用支持IC卡標(biāo)準(zhǔn)的系統(tǒng)，對于不符合IC卡標(biāo)準(zhǔn)的終端機進行逐步淘汰，并對收單系統(tǒng)與發(fā)卡等系統(tǒng)進行IC卡升級改造，以實現(xiàn)從磁條卡向IC卡的遷移。 另一方面，隨著國際交流增加，中國加速融入國際經(jīng)濟體系，終端機具必須考慮受理EMV卡。這對電話POS來說，是個不小的難題，因為目前市場上大多數(shù)電話POS終端不具備符合PBOC2.0和EMV2000規(guī)范的IC卡讀卡器。該專家不無憂慮地指出，“雖然通過銀聯(lián)II型規(guī)范檢測認(rèn)證的有20多個不同型號的終端，但同時通過PBOC2.0和EMV2000 L1&L2認(rèn)證的很少，僅是幾個主流金融POS廠商。”隨著銀行卡換“芯”進程加速，以及中國經(jīng)濟的日益全球化，電話POS必須未雨綢繆，否則前景堪憂。 “芯”時代 “整機”安全成關(guān)注重點 面對嚴(yán)峻的安全形勢，各大銀行紛紛提高電話POS的技術(shù)準(zhǔn)入門檻——銀聯(lián)電話支付終端II型規(guī)范成為電話POS“商用”市場的重要標(biāo)準(zhǔn)。不過，專家指出，僅是制定II型規(guī)范還不能徹底扭轉(zhuǎn)安全形勢。某些廠商的POS終端雖然通過了銀聯(lián)II型檢測，但他們只是將已有的終端外接密碼鍵盤，取得了相關(guān)認(rèn)證，其本身并不具備生產(chǎn)安全密碼鍵盤的能力。 就終端安全而言，除了公眾熟知的密碼鍵盤外，凡是涉及到敏感信息的存儲、處理與傳輸?shù)母鱾€環(huán)節(jié)，都應(yīng)是安全模塊。尤其是磁條卡、IC卡讀卡器，由于模塊與交易的運算處理是在終端主機上，“整機”安全更應(yīng)得到高度重視。目前，各大銀行都要求金融POS主機通過PCI認(rèn)證，從整體上有效保證終端安全。 電話支付從最初的規(guī)范缺失，到銀聯(lián)II型規(guī)范作為技術(shù)準(zhǔn)入門檻，再到終端主機通過PCI認(rèn)證，正日趨走上了良性發(fā)展的道路?？梢灶A(yù)見，隨著電話POS的技術(shù)標(biāo)準(zhǔn)不斷統(tǒng)一完善，在金融機構(gòu)、監(jiān)管部門及終端廠商的攜手努力下，電話POS將邁進“芯”時代！