万事达卡诸景瑜:保障支付安全,强化数字信任
万事达卡中国区安全解决方案拓展副总经理诸景瑜
中国的数字经济高速发展并步入黄金期,成为带动经济增长的核心动力。截至2017年底,中国数字经济规模已达27.2万亿元,占GDP的比重达到将近33%。此外,根据万事达卡财新BBD中国新经济指数,新经济投入在2018年8月占整体经济投入的29.1%。在数字经济蓬勃发展的背后,我们看到了两个正在发挥基石作用的关键因素,那就是信任与安全。
“一旦失去公众的信任,数字经济的繁荣也就无从谈起。”这是万事达卡在2017年中国发展高层论坛期间发表的白皮书《数字时代——保障安全,促进发展》中着重提出的一个观点。值得欣慰的是,自2017年以来,数字信任、数据保护与支付安全等话题受到了前所未有的关注。
在中国,《网络安全法》已自2017年6月1日起施行,在鼓励网络技术创新和应用的同时,尤其强调了对个人信息的保护。这对于数据保护、支付安全乃至中国数字经济的健康发展都具有里程碑式的意义。此外,欧盟《通用数据保护条例》目前也已生效,其影响远远超越地理疆域,覆盖数据流通的全球网络空间。
一、安全第一
万事达卡注意到,数字经济的发展带来了消费方式的巨大变化。如今,更多交易通过无卡方式完成,而且交易渠道不仅局限于商户网站、手机App等互联网交易渠道,众多的物联网设备也越来越多地在日常生活中承担了支付终端的角色。这些可用于支付的终端数量增长非常惊人。截至2017年底,全球POS终端总数达到1.09亿台。而业界对物联网的预期是,在未来的3年内,即到2020年,全球可用于支付的物联网终端将超过200亿台。
伴随着这样惊人的增长速度,我们看到了构建信任与安全所面临的新一轮挑战。无论是现在还是过去,安全问题冲击的都是信任的根基。十多年前,信用卡消费主要通过磁条卡刷卡完成,不法分子窃取支付信息的手段相对有限,主要是通过磁条信息侧录。而如今,不法分子利用各类技术手段,不断攻击支付终端以及数字钱包和绑卡支付等创新支付方式的安全薄弱环节,采用钓鱼、木马病毒、黑客技术和撞库等方式大规模地窃取客户信息。
以信用卡为例,无论消费者来自世界哪个地方,安全其实都是其首要关心的问题。埃森哲最新发布的《全球消费者动态调研》报告就明确指出,如果个人数据安全得不到保障,消费者宁愿放弃获得更好体验的机会。
万事达卡2018 Money 20/20 Asia展台
二、三方面发力智能风控
若想构建一个安全的支付体系,增强公众对数字经济的信心,全面的安全策略非常有必要。因为支付体系安全策略的有效性是由防范最薄弱的环节,也就是木桶原理中的短板所决定的。从万事达卡的全球实践出发,我们认为应当从以下三个方面发力智能风控,组成一套全面的安全策略。
1.账户真实性
确保交易账户的真实性是构建安全支付体系的第一步。围绕这一点,万事达卡正在与行业伙伴在全球范围内积极推行EMV标准,推动发卡行将磁条卡向EMV标准的芯片卡迁移。同时,万事达卡也在努力推动收单行的机具改造和芯片受理以及芯片的非接交易受理。
作为交易风险防范的应用基础,芯片卡从技术角度杜绝了复制卡片信息的问题,最大限度地确保交易账户的真实性,进而减少欺诈行为。2017年,万事达卡与国际芯片卡及支付技术标准组织EMVCo一起建立了基于EMV标准的全球统一的二维码支付规范,并推出EMV QR产品规范,为二维码支付在全球的持续健康发展奠定了坚实的基础。
为从源头切实防范支付风险,2016年,人民银行下发《中国金融移动支付支付标记化技术规范》,强调自2016年12月1日起全面应用支付标记化技术。实际上,万事达卡早在2014年就已经将该技术引入数字支付服务中,推出了万事达卡的数字支付服务(Mastercard Digital Enablement Service,MDES)。
万事达卡数字支付服务提供网络级的支付标记化服务平台,帮助发卡行将账号标记化,生成一个独特的标记,并在整个交易环节对标记进行管理。在无卡交易中,标记替代真实的个人账号进行信息传递。持卡人银行卡卡号、有效期等敏感信息并不会储存在移动设备终端或支持绑卡交易的商户数据库里,即使移动设备丢失或商户数据库受到攻击,真正的银行账号信息也不会被泄露。
2.强化交易验证
越来越多的物联网设备正成为支付终端,这使得无卡交易场景变得越来越普遍。因而,准确地判断交易背后是否确实是持卡人本人,对于保障支付安全变得愈发关键。
无卡支付普遍采用的验证方式是查验卡号、有效期和卡片背面的安全码CVC2。为了更有效地解决卡片信息被冒用的问题,万事达卡在十多年前推出了通过应用3DS协议的SecureCode验证服务,即商户收到持卡人的支付请求后,通过万事达卡网络联系发卡行,由发卡行与持卡人通过短信验证码或预留网上支付密码来进行验证,核实当前交易的真实性,防止卡片冒用交易的发生。目前,全球已有122个地区的100多万个网上商户支持SecureCode。
随着移动互联网在人们生活中的深入渗透,基于浏览器的3DS技术规范已经难以适应移动终端上的在线交易需求,2016年,万事达卡与业界伙伴合作制定了EMV 3DS技术规范,也称3DS 2.0技术规范。相对于1.0的技术规范,新规范的主要改变体现在以下几个方面。
第一,3DS的验证范围有所扩大,不仅可支持浏览器,还可支持手机浏览器及手机App。在支持付款验证的同时,也支持卡片验证。
第二,要求商户为发卡行提供更多的信息,如持卡人在商户端的交易环境信息、在商户的消费历史是否良好等。
第三,支持发卡行根据商户提供的信息做出风险评估(Risk based authentication,RBA),并基于风险评估的结果决定采取何种验证流程。当商户信息评估结果为低风险交易时,直接判定为验证通过,这一操作在EMV规范中明确定义为“frictionless流程”;当商户信息评估结果为中风险或高风险时,系统会要求进一步与持卡人进行核实,如输入短信验证码等,也就是EMV规范中的“challenge流程”。
第四,发卡行与持卡人的验证方式可采用不同形式,更贴近移动设备的用户体验。
第五,商户、交易网络、发卡行之间的验证信息交互流程更加优化,减少了数据传输对验证结果的干扰。
EMV 3DS不仅着眼于提升网上交易的安全性,还更注重在移动互联趋势下为持卡人提供良好的客户体验。
目前,万事达卡积极地在全球推进这一规范的应用,在中国市场也从2018年开始全力推广这一新的安全技术规范。考虑到新规范在全面推向市场的过程中不同参与者的进度难以保持一致,万事达卡还将于2018年10月推出网络级代评估(Stand-in RBA)服务,当发卡行和商户的EMV 3DS规范实施进度出现不同步时,为低风险的交易提供体验良好的验证服务。
内部带有支付芯片的智能指环
3.交易本身的真实性
数字经济的发展以及社会信息的增加使数据数量爆炸式增长,各行各业均在积极地挖掘数据的潜力。随着数据分析的作用逐渐凸显,无论是数字化还是非数字化的交易,其关键支付安全环节——对交易本身真实性的判断已经进入一个新的发展阶段。
自2012年起,万事达卡就观察到全球范围内针对发卡行的欺诈攻击案件有持续增长的趋势。随着磁条卡的EMV迁移工作在全球推进,以往不法分子通过侧录磁条制作假卡的作案方式逐渐转向网上无卡交易的欺诈;欺诈攻击也从ATM取现发展到利用BIN段攻击、撞库袭击等,干扰发卡行正常的授权处理及内部控制机制。在发生于2015年的一起案件中,我们看到有30个国家的近100家金融机构同时遭受到来自300多个IP地址发起的攻击。
万事达卡在2017年新加坡金融科技节上进行“智慧城市模型”展示
三、全面的安全策略
通过充分利用交易网络的大数据资源,万事达卡安全网(Mastercard Safety Net)为万事达卡的全球交易提供了网络级监测,可识别发卡行或交易处理商系统遭到的网络攻击,并有针对性地采取措施。目前,万事达卡安全网服务已覆盖全球。在交易转接过程中,万事达卡安全网对疑似有欺诈攻击特征的交易进行实时预警或拦截。同时,万事达卡安全网还将通知发卡行、收单行采取不同级别的响应措施,提供独立于发卡行或交易处理商系统的外部防御层,防范在短时间内多个地点并发的欺诈风险。2017年,万事达卡安全网服务在全球成功阻止的来自面对面交易、网上交易和ATM渠道的欺诈攻击金额超过460亿美元。
一直以来,交易反欺诈都是发卡行处理交易授权时关注的焦点。通过充分利用全球网络的交易授权、清算以及欺诈上报数据,万事达卡在十多年前就利用神经网络技术构建了网络级实时交易评分模型(Expert Monitoring System,EMS),针对不同交易渠道为发卡行提供实时的交易欺诈风险评估。在此基础上,万事达卡于2016年首次引入人工智能技术,推出了智能决策解决方案(Decision Intelligence,DI)。在交易转接的过程中,万事达卡智能决策解决方案可结合客户价值细分、风险分析、交易时间、交易类型、非面对面交易的商户和使用设备等信息,为发卡行提供实时的交易级综合评估,判断交易是否符合持卡人的行为特征,帮助发卡行提升交易授权的准确性,减少因误判而拒绝交易的情况的发生。
万事达卡创新实验室工作人员演示自动贩卖机的支付功能
数字生态下信任机制的建设,需要我们以全新视角去理解安全问题。围绕支付安全的创新是万事达卡的首要任务之一,支付领域前所未有的变革正推动着万事达卡安全创新路线图的进一步升级。
通过投资和创新长期引领行业发展,万事达卡建立了多层次的安全支付体系。比如最近收购了生物识别行为分析厂商NuDataSecurity和美国AI领域的领军企业Brighterion,这两家高科技公司的先进技术已经被充分融合到万事达卡提供的安全解决方案之中。
未来,万事达卡将继续贯彻创新与合作战略,充分利用智能风控手段为消费者、商家、金融机构和各界合作伙伴的支付安全提供保障,针对不同的支付场景打造更安全、便捷和智能的支付体验,助力数字信任机制的构建。