上周五快下班,央妈妈发布了《非银行支付机构网络支付业务管理办法》。本来想低调,但是互联网没有节假日,首先是媒体误解,后有发布会的解释说明,最后就是广大用户和产品经理的吐槽:杰尼玛就是倒推啊。
但是从我们电子认证的角度看,央妈妈扫射一圈后,结果可能第三方支付重新洗牌,P2P会逐渐使用银行渠道的第三方资金存管,银行的业务量和数据量会猛增,电子认证业务和产品也会随之增加,
且看如下解读:
意见稿第二十七条提到的支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的支付指令进行验证,其中第二个要素仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
意见稿第二十八条提到的数字证书、电子签名在内的两类(含)以上要素,单日累计限额由支付机构与客户通过协议自主约定;
意见稿第二十九条提到支付机构采用数字证书、电子签名作为验证要素的,应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护。
从安全和风控分析:
1、着重强调了数字证书和电子签名要素对客户身份的确认、支付指令验证以及拥有这些要素后对支付权限提升的重要作用。央妈妈认为这种方式相对其它保护手段来说是更安全的。
2、符合相关技术安全标准是指国家密码管理局一直在推广的国产密码算法SM系列,其已经在最新的银行芯片卡上得到了应用,估计不久也会在其它行业内铺开,这个意见稿已经看到了一些影子。国产密码算法是在由国家密码管理局编制的一种商用密码分组标准算法,包括对称、非对称、杂凑等一系列算法,能够进行加密、解密、认证、数字签名等系列应用。目前主要应用在银行和电子政务上。
3、具有数据安全存储和运算能力的硬件载体,这个有两类产品,一类是服务端有国密资质的加密设备、签名验签服务器、SSLVPN网关等;一类是终端用户使用的有国密资质的USBkey(U盾、支付盾等)、芯片卡、安全TF卡等外设。目前使用最广泛的是在PC上,在手机上没有一个很好的方案能让用户体验和安全性达到平衡。
假如意见稿正式生效,对于我们相关从业者的利好如下:
产品及解决方案如下:
1、国产密码算法在第三方支付的应用和推广,产品:CA产品,签名验签服务器、证据保全或者日志系统、相关接口,USBkey
2、银行CA的产品更新或替换,产品:CA产品、签名验签服务器、相关接口、USBkey
3、P2P使用第三方支付产品的升级和更新,产品:CA产品、签名验签服务器、相关接口、证据保全或日志系统、USBkey
呵呵,虽然这些会降低用户体验太多,但是系统性风险也会逐渐下降,对于互联网金融未来的发展还是利好的。说一千道一万对于电子认证行业来说:保驾护航的作用会越来越强。
作者:李兆森,电子认证行业从业多年,个人微信号:xjhmlzs。欢迎大家一起交流未来的趋势、新产品方向。
