日前,人民銀行發布《條碼支付安全技術規范(試行)》(銀辦發〔2017〕242號),以下簡稱242號文,從技術規范、風險防范、額度等方面多角度的做出了規定。規范實行后若交易時使用掃碼支付,同一客戶銀行或支付單日、月累計交易額,根據“風險防范分級”進行限額。該規范從今年4月1日已開始正式實行。
過去,二維碼支付額度沒有根據“風險防范分級”進行限制,當交易額度較高時,交易賬戶安全性難以保障,包括但不限于:業務開展過程中用戶或實體身份的真實性、交易數據的機密性和完整性、以及用戶支付行為的不可否認性等。
銀行、支付機構應根據242號文中關于風險防范能力的分級,對個人客戶的條碼支付業務進行限額管理,其中規定根據風險和支付額度,分成A、B、C、D四個等級,具體規定如下:
●風險防范能力達到A級,即采用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協議自主約定單日累計限額;
●風險防范能力達到B級,即采用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元;
●險防范能力達到C級,即采用不足兩類要素對交易進行驗證的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元;
●風險防范能力達到D級,即使用靜態條碼的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。
其中,風險防范能力最高為到A級,需要采用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證,銀行或者支付機構可與客戶通過協議自主約定單日累計限額。目前,各大銀行和各個支付機構均有二維碼支付業務,為保證業務合規開展,引入數字證書或者電子簽名技術是必要的。
數字證書和電子簽名能夠保證二維碼掃碼支付的安全
二維碼支付交易驗證采用數字證書和電子簽名技術,該技術是基于密碼學和PKI技術實現,通過利用成熟的密碼算法保證支付安全。電子簽名技術及方案較為成熟,目前在各行各業廣泛應用,特別是銀行業務中已經應用多年,此次242號文中將基于數字證書和電子簽名應用列為最高安全等級,也是從大額轉賬時的賬戶安全考慮。
數字認證二維碼安全解決方案
北京數字認證股份有限公司(簡稱:數字認證,股票代碼:300579)是工信部認可的第三方電子認證服務機構,為二維碼支付相關方提供身份識別、數字證書、電子簽名等可信服務。
公司基于滿足《電子簽名法》的可靠電子簽名技術,提供的二維碼支付安全解決方案,方案如下:

利用數字認證的電子簽名服務,為二維碼支付時的客戶實體頒發數字證書,在進行二維碼掃碼交易時,調取數字證書完成用戶的身份驗證。同時,利用電子簽名技術可以保證交易主體的強身份驗證,同時也可對交易金額等關鍵數據進行電子簽名,保證操作的可追溯和防抵賴。
應用流程舉例:

其實現過程為:掃碼支付時,商家掃描客戶二維碼成功后,需要確認用戶身份,在確認用戶身份環節,調用客戶端的數字證書進行身份認證,要求用戶輸入數字證書保護口令或者指紋,驗證成功后,完成后續的交易過程。
作為權威第三方電子認證服務機構,數字認證憑借對銀行業務發展的深刻認識以及大量服務經驗積累,完全滿足242號文要求,降低業務風險,合法全規。支持多種數字證書形態,滿足用戶、商戶、第三方機構的實體屬性要求。支持Android、IOS、H5等業務平臺,操作簡單便捷,用戶體驗極佳,符合應用場景要求。
轉自:北國網
版權及免責聲明:凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀

版權所有:中國產業經濟信息網京ICP備11041399號-2京公網安備11010502003583