金融支付产品安全吗?信息安全认证来解!

字号:

  当前金融支付发展迅猛,手机支付、银联卡支付已逐步渗透到我们生活的方方面面。移动应用数据公司 App Annie 发布的 《2017-2022 年应用(App)经济预测报告》中,预测到 2022 年,全球 App 年度下载量将超过 2500 亿次,收入达到 1565 亿美元,中国市场在此增长中将继续发挥主导作用。

  中国银联发布的《中国银行卡产业发展报告(2019)》中指出,银联卡全球发行累计超过75.9亿张,银联卡全球受理网络已延伸到174个国家和地区,覆盖超过5370万家商户和286万台ATM。

  面对日益快速增长的庞大用户和资金,用户敏感信息泄露、资金被盗刷、APP被攻击之类的信息安全事件时有发生,形势十分严峻。因此开展信息安全测试至关重要,手机支付应用软件首当其冲,只有保障手机支付APP的安全,才能保护支付业务与用户隐私数据安全。

  为持续提供便捷安全优质的支付服务,中国银联建立了银联认证体系,确保银联卡产品、直接接入中国银联网络的终端产品和银联卡支付应用软件产品执行统一的技术标准,对金融支付相关产品及其生产、开发企业开展认证工作,向成员机构和合作伙伴提供统一、标准、高安全、高质量的产品,确保持卡人交易安全及体验一致性。

  其中银联卡支付应用软件安全检测,是对于接入银联网络的储存、处理、传输持卡人敏感信息和授权结算数据的支付应用软件产品进行检测认证。作为一项权威的支付安全资质,行业众多金融类APP开发商,包括银行、第三方支付机构以及其它具有支付功能的APP开发商均已开展此项检测认证。

  除手机支付应用软件外,银联卡作为个人资产的载体,也面临着诸多风险:卡内诸如余额、个人密钥等敏感信息可能会被泄露,或者通过侵入式、非侵入式和半侵入式等多种手段非法获取,从而导致银联卡被复制或安全机制被绕过。银联卡一旦发行后,其无法进行升级,可在任何场景下在任何区域使用,这进一步加大了这种风险的威胁,因此开展银联卡芯片安全认证亦不可或缺。

  银联已授权业内权威机构进行银联卡芯片安全认证,包括现场测评和飞行检查。其中现场测评主要从企业管理角度加强产品安全,包括人员组织的安全、资产分类和管理、物理和环境的安全、数据管理、访问控制管理制度来维护产品安全。针对银联卡芯片集成电路设计企业、芯片集成电路加工企业以及芯片嵌入式研发企业等行业客户进行测评。

  银联卡芯片安全认证飞行检查是指银联对银联卡芯片企业在认证证书有效期内,对获证产品及其企业进行监督。是在未通知厂商的前提下,抽查厂商人员组织的安全、资产分类和管理、物理和环境的安全、数据管理、访问控制安全,确保厂商在整个认证证书有效期内,持续实行高安全的管理制度,保障银联卡产品的安全。

  CFCA信息安全实验室

  目前,中国银联已与中国金融认证中心(CFCA)正式签署《银联认证检测实验室授权合作协议》,授权CFCA信息安全实验室进行银联卡支付应用软件安全检测、银联卡芯片安全认证现场测评和飞行检查资质。CFCA具备专业权威的检测能力,将持续提供值得信赖的检测服务,为金融科技产品的信息安全加码。

  作者:高峰 许中奇