文档介绍:论第三方支付平台的安全性
随着网络信息、通信技术的快速发展和支付服务的不断分工细化,越来越多的非金融机构借 助互联网、手机等信息技术广泛参与支付业务。非金融机构提供支付服务、与银行业既合作 又竞争,已经成为一支重要的力量。非金融机构支付服系,没有建立总体方针,安全管理制度和操作规程缺失,安全策 略不完整等。已有的安全管理制度也不完善,易使工作上出现漏洞,操作上出现失误,引发 安全事故,造成损失。
安全技术防护能力薄弱
在第三方支付平台建设中,没有充分重视安全技术防护能力的建设,安全技术防护能力薄弱, 如,有些支付系统没有部署防火墙和入侵检测设备,没有划分安全域;没有安全事件监控、 统一防病毒等防护措施;重要数据的传输和存储存在安全隐患;重要网络设备没有进行安全 策略配置,致使非法访问网络系统、假冒网络终端/操作员、截获和篡改传输数据的安全事 件发生;应急处理方案不完备,应对和处理危机的能力还比较弱。
应用程序中存在安全漏洞
系统上线前,没有对应用程序进行全面的测评,致使生产系统存在功能、安全性及性能方面 的问题。通过对第三方支付系统应用程序的检测,发现了大量的安全隐患,如SQL注入、 跨站脚本、网络钓鱼以及登录方式不安全等,这些漏安全隐患可以被不法分子利用,可以对
数据进行窃取,或对用户的敏感信息进行非法获取,给第三方支付机构和用户造成损失。
个人信息不能得到保护
一些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个 别网站在设计上存在问题,致使这些信息很容易泄露。第三方支付平台隐私政策不合理,免 责条款过多,用户为了使用其服务只能同意该条款,导致发生问题时维权艰难。第三方支付 机构除了应采用技术手段进行保护之外,还应该以文件、政策或公告的方式在网站上公开对 用户信息进行安全承诺。
二、 国家对第三方支付的监督管理
我国电子商务自20世纪90年代起步以来,很快进入快速发展期,交易额以年均40%的速度 增长。2009年,,电子商务已渗透到经济和社会各个层面。与此同 时,有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题,需要高度关注。 如何促进非金融机构支付服务市场的健康发展,关系到电子商务的成败,关系到中国支付网 络体系的安全与效率。
2009年4月,人民银行发布公告,对从事支付业务的非金融机构进行登记。2010年6月14 日,人民银行发布《非金融机构支付服务管理办法》(以下简称《管理办法》),对非金融机 构支付业务实施行政许可。2010年12月,发布《非金融支付服务管理办法实施细则》(以 下简称《实施细则》)。《管理办法》和《实施细则》的发布,意味着我国非金融机构支付市 场监管的基本原则已经确立。
《管理办法》中规定对于《支付业务许可证》的申请人必须具备有符合要求的支付业务设施, 而且在向中国人民银行申请许可证是必须符合中国人民银行规定的非金融机构支付服务系 统技术和安全标准,提交《技术安全检测认证证明》。可见央行对非金融机构支付的技术和 安全性的高度重视,技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环 节。
三、 提高第三方支付平台安全性的建议
政府应加强监管力度
通过《管理办法》和《实施细则》的发布和实施,一些具备良好资信水平、较强盈利