商业银行如何安全接入快捷支付

　　近年来，随着人们对于支付便捷化需求的不断提升，在传统网上银行支付业务之外，出现了另一种支付方式，那就是快捷支付.第三方快捷支付弥补了以银行为主体的传统支付结算服务的不足，其作为流通领域的重要营销工具，日益得到市场的认可和需求.
　　
　　据中国电子商务研究中心 （100EC.CN） 监测数据显示，2016 年第一季度，第三方支付交易规模达 62011 亿元，同比增加 2 倍；2016 年第二季度交易规模达 93400 亿元，环比增长率高达 51%.
　　
　　2016 年第一季度，在移动支付交易市场，支付宝、财付通分别占比为 51.8% 和 38.30%,位居首位及第二。据此，中小型商业银行面对如此强大的新生力量，如何借力发展，如何依靠互联网新兴支付方式去激发传统银行卡消费交易指标及发卡量，如何在保证银行零容错水准的基础上实现快捷支付的搭载，是摆在中小商业银行面前迫切需要解决的问题.
　　
　　一、平台化管理。
　　
　　为了兼容更多的第三方快捷支付业务，商业银行不得不去接入越来越多的快捷支付到行内，采用的模式也是来一个接入一个，一般来说商业银行每接入一个第三方快捷支付业务将需要付出将近 1人 / 月工作量，如果是首次开发快捷支付的情况，将会在原平均工作量基础上增加至少 3 人 / 月工作量。随着更多的快捷支付需要接入，因为是直接接入行内核心的模式，为了配合此类业务日常交易，造成了商业银行核心资源的部分占用，形成系统的负担。快捷支付是不同于商业银行已有的其他传统支付业务，风险管理方面也在逐渐完善和健全，但已接入行内的各个第三方快捷支付程分散形式存在，对于快捷支付涉及工作内容细化可分为业务、PM、财务核对、风险退单、技术支持和网工等，对各个工作环节实施有效的风险把控增加了难度。对于将快捷支付做平台化管理会是解决以上所述问题的可选方案。
　　
　　快捷支付平台大都是基于 SOA 架构理念设计，通过商业银行服务总线系统实现与核心、综合前端、网银、总账等系统的集成，实现松耦合的 SOA 架构体系。将核心系统中标准接口接入快捷支付平台，在这个平台上实现个性化产品的组装和对接。首先，基于平台清晰的整体架构将商业银行内已接入的第三方快捷支付类业务进行迁移，剥离银行核心系统，以前置性质外挂于核心的形式来实现对外屏蔽差异性，对内保持一致性的目的；其次，平台为未来即将接入的第三方快捷支付提供高效的接入方式，支持各类主流报文接口如：http、xml、ISO8583 等，实现报文转换的可配置化，有效提升接入的质量和速度，减少接入成本；再次，对已接入本平台的快捷支付业务可以实现在功能模块、单一支付、整体平台多级别维度下对快捷支付的管理和控制，与此同时配合行内相应的风控政策，可明显提高快捷支付业务的风险防控水平。
　　
　　二、限额控制。
　　
　　我们首先回顾一下快捷支付的业务，快捷支付产生之初是为了向有小额、高频需求的网购客户提供快捷的支付服务，无需开通网银或手机银行，只要在首次提供银户名、行卡卡号、手机号码、验证码等信息完成银行卡绑定，之后如果用户选择保存卡信息，则用户在此后的支付中，只需输入第三方支付的支付密码或者是支付密码及手机动态口令即可从银行账户中划出资金实现支付行为。
　　
　　从还原的快捷支付整体交易流程来看，快捷支付的支付环节中对手机的依赖性过高，当手机一旦中病毒、丢失或被盗等情况发生，持卡人个人信息、资金都会有存在巨大的风险隐患。不得不承认快捷支付是在牺牲了部分交易安全性的同时换取了支付的便捷性，此模式下客户信息一旦从某个风险环节被泄露，客户账户中大额资金有可能受到损失。
　　
　　2011 年快捷支付逐渐兴起后，已发生多起客户银行账户资金通过快捷支付被盗刷的案件，随着该业务使用人数的逐渐递增，案发数量、涉案人数和金额也是逐年激增。
　　
　　有数据显示，2014 年 61.3% 的个人客户使用支付账户余额进行消费、转账、购买投资理财产品等全年累计付款金额不超过1,000 元，80.12% 的个人客户不超过 5,000 元，98.5% 的个人客户不超过 20 万元.因此，限额设置过高有时是在给风险事件留下更多可能性。
　　
　　某大型商业银行已率先于 2014 年一季度进行某第三方快捷支付额度的下调，由原先的单笔 5 万元下调为 5000 元，每月限额则从 20 万元降为 5 万元。随后国内其他大型商业银行纷纷调低了自己快捷支付的限额标准.
　　
　　第三方支付机构能否很好的账户客户资金安全，如果第三方支付金额过大，那么对客户的资金安全必然会有影响。商业银行在控制此类交易的资金风险时，可以根据自身情况，适度调减系统默认的单笔交易限额和日累计交易限额。根据各商业银行快捷支付限额调整后支付额度作为参考，单笔最高限额均未超过 1 万元，日累计均未超过 5 万元，建议可在此金额下限进行确定。同时，要向客户提供限额修改的渠道，比如：柜面、手机银行、网上银行、电话银行等，但修改也仅限于默认额度以下的变更，形成一套成熟的限额管理方案，切实做到对行内接入的快捷支付的限额管控。
　　
　　三、提供签约 / 解约功能。
　　
　　在快捷支付发展初期，商业银行在完成某个第三方快捷支付后，持卡人是可以直接通过绑定个人的银行卡后即可进行支付的。
　　
　　持卡人并没有通过银行提供的任何渠道进行签约动作，注册开通环节的缺失，形成商业银行与持卡人在无契约状况下完成快捷支付的交易，交易一旦发生资金风险，银行势必在法律层面成为弱势一方非常被动。2011 年 8 月份银监会出台的《关于加强电子银行信息管理工作的通知》（ 银监发 [2011]86 号文 ），明确规定，对于由第三方机构完成安全认证的电子资金转移与支付业务，应至少在首笔业务前有账户所在银行通过物理网点、电子渠道或其他有效方式直接验证客户身份，并与客户约定双方权利与义务。
　　
　　所以，不论是从交易实际还是从监管角度出发，首先做的是，在向持卡人提供首笔快捷支付前，要与持卡人签订约定双方权利和义务的协议，以此使后续交易有可靠保障。其次，持卡人根据自己个人意愿和风险承受能力等因素向持卡人提供可自主选择是否开通或关闭某个快捷支付业务的渠道，以保障持卡人在没有某个第三方快捷支付业务需求时截断该种渠道可能造成的风险损失。第三，尽可能向持卡人提供除柜面以外更多的渠道选择供其去办理签约、解约业务，如手机银行、微信银行、电话银行、网上银行等。这样，商业银行在向持卡人提供了更人性化服务的同时，也切实保护了自身的权益。
　　
　　四、行内严控准入。
　　
　　商业银行在接入第三方快捷支付时，再决定是否接入前要考虑以下几个问题。
　　
　　首先，要切实审核其是否是获得人民银行许可的支付机构开展的快捷支付业务，也是就是其手中是否有一张第三方支付牌照；其次，横向参考同等规模及较自身规模稍大的商业银行是否也接入了该第三方支付机构提供的快捷支付业务，就是考量其他商业银行选择接入该快捷支付的数量及对应商业银行的规模如何；再次，考察已接入该第三方支付机构快捷支付业务是否曾出现信息、资金等风险事件，如已出现其频次、规模、恶劣影响波及范围等尽量做到更为详尽的了解，对相关舆情整理汇总作为参考。根据以上调查信息，综合研判商业银行是否选择接入该第三方支付机构所提供的快捷支付业务。
　　
　　银行信用在客户心中是最有保障的信用，为提供持卡人更为安全、高效、便捷的支付服务，是商业银行永恒追求的目标。