第三方支付机构存在的问题与建议

　　随着新兴技术的广泛应用，越来越多信息技术服务公司提供非金融机构支付服务业务，申请支付牌照，成为第三方支付机构。非金融机构支付服务是指非金融机构在收付款人之间作为中介机构提供部分或全部货币资金转移服务，主要包括网络支付、预付卡的发行与受理，以及银行卡收单。第三方支付机构作为提供支付服务的非金融机构，其在技术管理方面与金融机构相比，技术力量比较弱，在技术人员配备、机房、信息系统、网络等各方面都存在一些问题。本文在对部分第三方支付机构进行相关调查和分析的基础上，提出相关建议。
　　
　　一、基本情况。
　　
　　（一）机房情况。
　　
　　经调查，第三方支付机构部署支付系统和网络的机房主要采用自建机房、租用运营商物理机房，或者采用前两者相结合的方式，并配备了生产机房和灾备机房。大部分被调查的第三方支付机构机房配备数量为2个，少部分第三方支付机构配备了3个机房，即除了配备同城灾备机房外，还配备了异地灾备机房。第三方支付机构的机房所在地主要集中在省会城市，个别第三方支付机构总部与机房所在地分别在不同省市，例如总部在广州的支付机构，其机房却部署在北京或上海。
　　
　　（二）Internet线路接入情况。
　　
　　参与调查的第三方支付机构中，大部分支付机构的支付系统具有专用线路接入Internet;个别机构由于只做银行卡收单业务，因此其支付系统没有接入Internet.
　　
　　对于接入Internet的第三方支付机构，其都具备2条以上专用线路，线路以电信、联通或移动的线路为主，接入线路峰值总带宽占用率为10%至60%,都能满足业务的需要。
　　
　　（三）主备机房互联线路情况。
　　
　　在参与调查的第三方支付机构中，各第三方支付机构主备机房之间互联的线路总带宽在2 M至120 M之间，其中大部分机构租用10 M至40 M的总带宽；大部分机构的主备机房之间互联的线路租用2条以上，所租用的线路有裸光纤、SDH和SMTP等类型，所租用裸光纤的运营商为电信、联通或移动；仅个别第三方支付机构主备机房网络互联只租用单条MSTP线路，存在一定主备机房网络互联的风险。
　　
　　（四）风险自评估情况。
　　
　　经调查，各第三方支付机构均开展了内部相关风险评估，在关键网络冗余架构设计、线路带宽利用率、线路连通性监控等方面都能满足业务连续性的保障需求；都具有网络线路管理相关的制度和应急预案；能够每年开展应急演练，并记录网络线路切换所需的时间，但仍有个别支付机构没有对所有关键线路进行“线路中断”的应急演练；能够结合自身网络架构设计向运营商提出线路物理管道双路由或多路由的要求，但仍有个别支付机构的线路在楼宇、机房园区内或机房园区外存在集中在一条物理管道的情况；参与调查的各第三方支付机构负责网络线路管理和运维保障人数都在2人以上，并能够在5~30分钟到达网络故障现场并开展应急处置。
　　
　　（五）开展技术检测认证情况。
　　
　　经调查，大部分第三方支付机构能够根据监管机构的要求开展信息技术检测认证工作，所聘请的检测机构包括中金金融认证有限公司、银行卡检测中心、中电科技（北京）有限公司、北京软件产品质量检测检验中心、中国软件评测中心等，开展认证工作的机构是北京中金国盛认证有限公司。对于检测认证机构发现的问题，部分第三方支付机构还未全部完成整改。
　　
　　二、存在问题。
　　
　　在本次调查过程中，参与调查的第三方支付机构信息技术保障基本能满足业务的需求，但也存在一些问题，主要包括以下几个方面。
　　
　　（一）网络没有配备备用线路。
　　
　　个别第三方支付机构主备机房互联网络线路只租用了单个运营商的单条线路，存在主备机房之间互联线路断开的隐患。
　　
　　（二）网络线路集中在同一管道布线。
　　
　　部分第三方支付机构存在将所有功能相同的线路集中部署在一个管道竖井的情况，如果该管道受到破坏，可能会导致网络中断，出现该机构支付系统无法对外提供服务的情况。
　　
　　（三）没有实时监控网络的手段。
　　
　　个别第三方支付机构目前没有建设对网络线路流量情况进行实时监控和告警的网络监控系统，在网络线路异常时可能无法及时发现和处置。
　　
　　（四）开展的应急工作不完善。
　　
　　个别第三方支付机构虽然开展了应急演练，但没有对所有关键线路进行“线路中断”的应急演练。
　　
　　（五）机房问题短期难以整改。
　　
　　由于大部分第三方支付机构的机房是租用运营商的机房，且发现的机房风险都与园区、大楼等建筑物相关，涉及多个单位或部门，因此难以短期完成机房的整改。
　　
　　（六）检测认证发现的问题未完成整改。
　　
　　虽然第三方支付机构能够按规定开展系统检测和认证，但有部分支付机构对于检测认证机构发现的风险还没有全部完成整改。
　　
　　三、分析和建议。
　　
　　经过对第三方支付机构在调查中发现的问题进行分析和整理，发现出现上述问题有以下方面的原因。一是目前第三方支付机构技术力量差距较大，部分机构过于依赖外包服务商，内部技术力量薄弱，可能仅配备几个技术人员开展日常信息系统的维护工作，出现问题主要依赖于外包服务商来处理和解决；二是部分第三方支付机构的风险意识不强，不能及时发现风险隐患，或者对于存在的隐患没有重视；三是大部分第三方支付机构机房以租用运营商的方式为主，难以自身对机房进行整改。
　　
　　经过对第三方支付机构存在问题的分析，可以采取以下一些建议来减少风险隐患。一是建议相关部门对第三方支付机构加强监督管理，督促第三方支付机构严格按照相关规定开展信息系统、机房和网络的建设和管理；二是第三方支付机构应该加强风险管理，尽快制定整改计划，落实问题的整改；三是第三方支付机构应加大技术力量的投入，保障信息系统的安全稳定运行，提高稳定、连续的业务服务能力；四是第三方支付机构应与运营商或外部服务商加强沟通，对于短期无法实现整改的风险应采取替代措施，将风险降至最低程度。