Visa应对风险在中国和全球的实施策略

　　支付环境不断演变，Visa采取的风险管理策略是以不变应万变，确保支付系统安全、便捷、可靠。Visa 的风险管理策略主要包含五个方面 :一是防范，在欺诈活动发生前采取措施，防范欺诈并将其控制在最小范围内 ;二是保护，在支付系统中存储、处理或传输卡内数据时，保护容易被盗的卡片数据 ;三是响应，即监控并管理欺诈，有效处理并响应各类问题，将负面影响控制在最小范围内 ;四是推进，推进风险防控策略的制定，为创新产品和实体研发提供更恰当的风险防控策略 ;五是培育，积极培育、营造促进客户和支付系统参与者协作的环境，以此促进信任与合作。

　　针对支付系统风险三大趋势，Visa采取了如下相应策略。

　　1. 运用适当工具，防止欺诈者借全球电子商务的快速发展图谋不轨。

　　技术运用得当可以使消费者和商户之间建立互信，促进商业增长。Visa 致力于开发工具，以便发卡行、收单行和商家更好地做出授权决定。随着欺诈者的欺诈手段日益多样化，我们开发的工具也日趋完善。

　　（1）Visa 高级授权和 Visa风险管理工具（Visa AdvancedAuthorization and Visa RiskManager）。这两种工具可以帮助银行从市场、渠道、产品类型和欺诈类型等角度审查欺诈，审查模型由 2005 年的 2 个增加到如今的 16 个，能够分析的数据元素也从 2005 年的 40 个增加到今天的 500 个。

　　（2）Visa 验证服务（Verifiedby Visa），支持持卡人实时验证，目前也在中国的银行业推广使用。事实上，多家银行已对该平台进行了灵活部署。

　　Visa 验证服务旨在为发卡行、收单行和商户处理网上购物交易时多提供一层安全保护。

　　（3）Visa 商 户 追 踪 系统（Visa Merchant TraceSystem），该系统是一款尽职调查工具，提供商户或商户类别信息，方便对商户进行识别。

　　目前，一些中国的收单行和有资质的服务提供商已采用了这项服务。

　　（4）决策管理工具 （DecisionManager），该工具是 Visa 的全资子公司 CyberSource 推出的，为了阻止电子商务欺诈行为，决策管理工具专门设计了风险评分服务。例如，CyberSource 可以通过分析持卡人是试图从靠近其账单地址的地点进行网上购物，还是从异国他乡购买，以帮助银行发现潜在的欺诈行为。

　　2. 采取多元化的方式保护支付系统，帮助支付环节的参与者处理形式多样的数据泄露事件。

　　（1）通过支付卡行业（PCI）标准，Visa 能够确保商户和处理商严格遵守各项安全标准。

　　Visa 的信息安全计划已被行业采纳，成为支付卡行业安全标准委员会（PCI SSC）的基石。

　　Visa 将和 PCI SSC 继续紧密合作，确保数据安全执行统一的标准，众所皆知的支付卡行业数据安全标准（PCI DSS）即是其一。此外，Visa 还鼓励电子商务商户使用与支付卡行业兼容的支付网关，这样就无需存储数据，欺诈者也就没有任何信息可以窃取。

　　（2）Visa 的中央处理机制和网络风险监控工具，可以用来有效监控 Visa 网络中可疑的ATM 交易。当 ATM 交易额因取款次数过多或一次性取款额巨大而达到最高限额时，系统会自动拒绝交易。这种人工智能工具也是“以科技对抗科技”的重要例证。

　　（3）Visa 的点对点加密解决方案，使得犯罪分子无法窃取被盗的持卡人数据，极大降低了数据泄露的风险和影响，使商户可以简化安全协议。加密技术使用特定算法，将持卡人数据等明文转换成非可读形式（密文）。只有运用“密匙”才能将密文再次转换成明文。

　　（4）EMV 是处理假卡问题唯一经过验证且广泛部署的可扩展解决方案，下一步，Visa仍致力于将 EMV 芯片技术作为有效的安全层，在全球范围内打击假卡欺诈行为。

　　（5）Visa 提倡采用标记化技术 （Tokenization），尤其是和数据字段加密一起使用，作为全面数据安全计划的组成部分，通过减少系统内的卡片敏感数据来提高商户安全性。在支付卡行业，令牌是持卡人 16 位账号的替代值，并连接到基本账户。标记化技术通过减少系统中易受攻击的敏感账户数据来保护账户信息。EMV 组织是促进全球范围内安全支付交易的互操作性和受理范围的行业组织。目前 Visa 正与 EMV 组织合作，来规范标记化技术。

　　3. 开发一系列解决方案，控制新参与者和新服务给支付系统带来的新风险。

　　Visa 意识到第三方代理机构是维护并增强支付系统安全的关键伙伴之一，因而推出了一系列计划，包括与第三方代理机构直接对接，帮助他们处理数据安全和欺诈问题并以此来扩大业务 ;提高第三方代理机构对威胁、欺诈的防范意识和践行最佳安全实践的意识 ;提高第三方代理机构的客户管理意识等。

　　（1）为了增加透明度，更好地了解第三方代理机构的风险状况，Visa 创建了服务提供商注册平台 （Registry ofService Providers）。在该平台上，第三方代理机构可以声明自己遵守 Visa Inc. 准则和行业安全标准，并向全球潜在客户推广自己的服务。

　　（2）合作是应对新支付技术带来的风险的另一个关键策 略。Visa 伙 伴 计 划（VisaReady Partner Program）为非传统支付伙伴铺平了道路，这类伙伴包括移动设备制造商、技术伙伴、钱包提供商和移动网络运营商等。借助 Visa,它们可以轻松应对复杂的支付生态系统。Visa 伙伴计划不但可以帮助创新者获得设备、软件和解决方案认证，以此来启动或受理 Visa 支付业务，还可以为他们进入强大的 Visa 网络提供指导和最佳实践。

　　（3）Visa 还 推 出 了 全 球品牌保护计划（Global BrandProtection Program）和合格服务提供商计划（QualifiedService Provider Program），处理有问题的实体，同时支持负责任的创新。

　　（4）在中国电子商务市场蓬勃发展的背景下，Visa 致力于促进网上支付安全、推广风险控制最佳实践。2013 年 8 月，Visa 在中国市场推出了合格服务提供商（QSP）计划，旨在帮助中国商户、支付服务提供商（PSPs）和收单行吸引全球客户，扩展业务。合格服务提供商计划可以确保在中国经营的支付服务提供商拥有必要的专业知识和技能，一方面支持中国电子商务的可持续发展，另一方面保障在中国的长期竞争力。参与到该计划的支付服务提供商更容易学习到数据保护、欺诈防范和网络安全等国际最佳实践。在该计划框架内，中国的收单行只能使用经 Visa批准的支付服务提供商来提供支付类服务。

　　安全是一项共同承担的责任。支付系统风险应对策略的关键就是在产业链中建立信任与伙伴关系。未来，Visa 仍将致力于支持中国支付系统持续健康的发展。