财新传媒 财新传媒

阅读:0
听报道

注:多对具体问题定点打击,慎对整个行业全方位轰炸。安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中,具有本质的不同,治理手段也不同。携程事件中,出问题的是携程,而不是信用卡支付或CVV2(或CVC2)验证本身。

 
作者微信公众号信海光微天下

 
携程网漏洞泄露用户支付消息,本来是个互联网公司的技术与安全事件,但却被认为很可能会给目前的互联网金融监管之争雪上加霜。之所以这么说,是因为现在确实流行一种看法,把某个支付事件的不安全,意会为整个支付方式乃至整个互联网金融的不安全。
 
但正确的逻辑不是这样的。仔细看这次携程网泄密门事件,其实是发生在信用卡支付过程中,这种信用卡支付方式是符合国际惯例的,也就是说全世界发达国家都在使用携程正在用的信用卡支付方式。而携程之所以出现问题,是因为它在技术上出了漏洞,更关键的是,在对待用户信息上,携程网操作不规范,它不但存储了CVV2码等按照国际惯例不该存储的信息,而且没有加密。
 
这说明什么呢?说明携程采用的支付方式在国际上是安全的,但是由于网站的行为不规和疏忽,导致这种安全的支付方式也变得不安全;说明这世界上没有绝对安全的支付方式,泄密问题的关键不在于某种支付方式有原罪般的不安全缺陷,而在于操作者是否规范,相关的保障制度是否健全,不能因为个别互联网企业个案,来论证某种支付方式乃至互联网金融的不安全,按照这种逻辑,可被叫停的各种网上支付方式就太多了。
 
这又令人想起目前四大行分别调低快捷支付额度、之前央行公布的《支付机构网络支付业务管理办法》、《手机支付业务发展指导意见》(征求意见稿)等文件,以及央行对虚拟信用卡和二维码支付的叫停来,其主要理由也是因为安全问题。
 
但基于手机支付的互联网金融的安全问题与降低限额以及叫停二维码之类真有什么必然联系吗?从这次携程泄密门可以看出,泄密门虽然暴露了携程在安全管理上的缺陷,但归根究底,这只是携程网站的问题,是人和企业的疏忽,而不是制度上与技术上固有的问题,就像之前叫停的二维码支付方式有风险,但其实是二维码扫描过程中会遇到钓鱼、非法信息而导致,并非二维码支付方式本身有风险。如果以安全理由叫停二维码支付,现在携程网上信用卡支付也出现问题了,央行是否考虑也叫停信用卡的CVV支付方式呢?
 
所以,限制与叫停不应该是保障互联网金融安全的主要方式,监管部门更多的精力应该放在如何在信用支付使用中保障安全上。
 
比如强制相关网站必须通过PCI-DSS安全认证这样国际性的在线交易数据安全标准,并定期核查。PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成的一次彻底的在线支付系统安全审查,其中有近200项审查内容。其基本安全措施包括:不允许商家存储任何信用卡的三位或者四位确认码;不允许商家无必要的显示信用卡的所有位数;在实现网上交易时,传递信用卡的信息时必须使用加密;密码设置至少要有7位,必须有数字和字母;修改密码时不能提供和前四次相同的密码,试密码不能超过6次。
 
此外,还有诸如要求商家内部网络安装防火墙,监测重要数据的使用记录,等等重要措施来保护信用卡数据安全,等等。
 
再比如,强制“宝宝军团”为用户购买保险,提供赔付服务。现在理财通以及余额宝都由保险公司全额承保。一旦发生资金被盗,都会由保险公司最终买单。
 
不要动辄拿支付方式说安全了,安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中,具有本质的不同,治理手段也应不同。至少在现阶段,对待互联网金融这类新生事物,手段上的安全保障与监管,比制度上的变动更为妥当,与其动辄否定暂停叫停某种支付方式,不如在手段上敦促和帮助其完善安全细节,当然,前者更省事,后者可能更劳神。
 
话题:



0

推荐

信海光

信海光

503篇文章 5年前更新

专栏作者,媒体评论员,社论撰稿人,一个深爱中国的媒体人,时事、财经,专栏及作品见《新京报》、《21世纪经济报道》、《经观》、《晶报》、英国金融时报FT中文网、美国时代周刊网、《globaltimes》等......联系、稿件等事请电子邮件:gooooo@gmail.com(常用邮箱)

文章