欧洲中央银行发布的《网络支付安全性建议》

　　全球大多数监管机构普遍认为：互联网支付发生欺诈的概率远高于传统支付方式。2014年2月，欧央行发布了在零售支付安全性欧洲论坛（简称“论坛”）上形成的《网络支付安全性建议》报告。这份报告不仅反映了欧盟各国监管机构的监管经验，也考虑了来自支付机构以及电子商务商、消费者等市场参与者组成的公众咨询的反馈意见。报告强调：网络支付安全的核心是完善客户认证程序、加强风险控制能力以及普及消费者安全教育，以提高网络支付安全性，保证支付数据的正确使用。
　　
　　一、《网络支付安全性建议》指导原则。
　　
　　建议报告基于以下四条指导原则：
　　
　　（一）建立风险评估机制。
　　
　　支付机构（PSP）和监管机构（GA）应建立专门针对网络支付的风险评估机制，并且随着网络安全威胁和欺诈事件的发展定期地更新。
　　
　　尽管过去也提及过网络支付安全性问题，但是随着科技的迅猛发展，网络支付新兴方式的出现，以及欺诈者越来越有组织有序且手段高明，定期地对相关风险作出评估显得尤为重要。
　　
　　（二）保护敏感支付数据。
　　
　　所谓的敏感支付数据就是指可用于欺诈的数据。这些数据包括发起支付指令的数据、用于客户身份认证的数据、发送给用户的支付工具或认证工具的数据，此外还包括参数和软件，如果修改这些参数和软件，将会对执法部门对支付交易、客户认证的调查取证产生一定影响。
　　
　　（三）完善客户认证程序。
　　
　　客户认证是一种程序，应至少使用以下两到三种认证方式--知晓的信息、所有权和内生性：（1）只有客户知道的信息，如动态密码、身份证号；（2）只有客户持有的物品，如智能卡片、移动电话；（3）客户的生理特征，如指纹；此外，各种认证方式还必须相互独立，至少有一种认证方式是一次性且不可复制的。支付机构应对交易认证、交易监测以及系统监测采取行之有效的方法，以便发现异常的消费支付模式，并阻止欺诈事件的发生。
　　
　　（四）加强对消费者的安全教育。
　　
　　支付机构和监管机构的支付计划应包含对消费者进行网络支付安全性的教育培训，最终达到使消费者能够安全有效地使用网络支付服务的目的。
　　
　　二、《网络支付安全性建议》提纲。
　　
　　建议报告由三个部分组成：
　　
　　（一）网络支付风险控制和安全环境的一般性原则。
　　
　　支付机构应评估自身应对外部、内部安全威胁时，其内在的风险控制能力。报告第一部分陈述了关于监管、风险确认和评估，风险监测和报告、风险控制和缓冲问题。
　　
　　（二）网络支付具体的风险控制和安全措施。
　　
　　报告的第二部分涵盖了整个支付交易过程中所有的步骤，从登陆网站（消费者信息，注册，认证方案）到发起支付、监测和认证、以及保护敏感支付数据。
　　
　　（三）网络支付安全教育。
　　
　　报告的第三部分主要内容是消费者保护，当遇到虚假个人安全认证请求时，消费者该怎么办？如何安全地使用网络支付服务，消费者如何核实交易已经开始并进行。
　　
　　三、提高网络支付安全性的政策建议。
　　
　　（一）实施并定期评估网络支付安全政策。
　　
　　一是支付机构和监管机构的安全政策要明确每一层级的任务和职责。针对其提供的网络支付服务，包括对敏感数据以及风险评估、控制和缓冲，应实施风险管理和报告程序。二是建立网络支付服务完善的风险评估机制并定期更新。三是是否改变当前使用的安全措施、技术以及提供的服务？如果有必要，调整的幅度有多大，需要多长时间？应采取恰当的措施尽可能减少安全风险和欺诈事件的发生。四是在支付体系基础设施发生重大变化之前，或通过风险监测发现新威胁时，要对风险和现有安全措施进行全面审查。五是每年至少开展一次常规的风险审查，并将结果提交给高级管理部门审核。
　　
　　（二）建立重大事件的监测和报告制度。
　　
　　一是保证持续地监测、处理和追踪重大安全事件，以及与网络支付安全有关的消费者投诉。支付机构和监管机构应建立向管理当局报告重大安全事件的程序。二是当发生重大支付安全事件时，应及时报告管理当局（监督、数据保护当局）。三是在处理重大支付安全事件时，要建立与相关执法机构的合作机制。四是支付机构要以合同的形式要求那些接触、储存、传递敏感数据的电子商户与支付机构和相关执法部门合作，共同解决重大支付安全事件。当电子商户不遵守合约规定时，支付机构能采取措施强制商户执行，甚至终止合约。
　　
　　（三）建立风险控制和缓冲机制。
　　
　　一是支付机构和监管机构应根据各自的安全政策，实施相关的安全措施。这些措施应包括多层级的安全防御体系，即使一条防御线路出现问题，另一条防御线路也能够立即弥补。二是要特别注意对信息技术的职责分工，并以“最小特权”原则完善客户身份识别和访问管理。三是应有恰当的安全方案来避免网站、服务器以及通信线路遭受病毒感染和攻击。四是简化服务器多余的功能，以消除或降低应用风险的漏洞。
　　
　　五是为了限制使用“钓鱼”网站，提供网络支付服务的交易网站应通过EV证书的方式加以确认。六是网络支付的安全措施应在风险管理部门的监督下进行测试，以确保其稳定性和有效性。七是应定期对支付机构的安全措施和提供的支付服务进行审计。成员应由权威而且独立的专家组成，这些专家应保持独立性，不应参与与网络支付服务经营管理有关的任何事务。
　　
　　（四）对敏感数据的保护措施。
　　
　　一是支付机构应有一套有效的方法来监测、追踪、限制这些访问：（1）敏感的支付数据；（2）逻辑和物理性的关键来源，如网络、系统、数据库、安全防御等。二是应将数字最小化作为核心功能的一个基础，即在收集、生成、加工、保存、传递敏感支付数据时，应保证在尽可能小的范围内进行。三是支付机构要以合同的形式要求接触敏感支付数据的电子商户执行安全措施，以避免这些敏感数据从他们的系统中泄漏出去。四是支付机构应提供安全工具来保护消费者界面免受非法使用或者攻击。
　　
　　（五）强调客户身份信息核实。
　　
　　应根据欧盟反洗钱法的规定，执行客户身份识别，并在授予消费者服务使用权之前，确认他们使用网络支付服务的动机。在授予消费者服务使用权之前，支付机构要履行客户尽职调查程序，客户也要提供足够的身份证明文件及相关信息。客户的身份信息包括：（1）有关客户硬件设施、软件或其他必备工具（杀毒软件，防火墙）的详细信息；（2）正确、安全地使用个人安全认证指南；（3）对客户授权支付交易的具体步骤；（4）提供给消费者使用的硬件、软件操作指南；（5）当登陆或者交易的硬件、软件以及个人安全认证遗失、泄漏时，相应的处理程序；（6）就网络支付服务方面，支付机构和消费者各自的职责、义务。
　　
　　（六）完善客户认证和交易监测机制。
　　
　　支付机构应对消费者网络支付交易执行严格的身份认证，当消费者的支付行为涉及到敏感数据时，应有较高的验证要求；如不涉及敏感数据时，应在风险评估的基础上调整认证标准。交易监测机制旨在防范、监测和阻止欺诈支付交易，一旦发现可疑或高风险的交易，应立即启动特定的筛选和评估程序。支付机构可以根据其风险策略，决定暂停存在欺诈性的支付活动，但应尽可能缩短暂停的时间。此外，应将可疑支付交易集中安排在特定时间段进行，这样既不造成业务延误也能防范安全风险问题。
　　
　　（七）提高消费者安全意识，加强安全教育。
　　
　　支付机构应向消费者提供至少一种安全使用网络支付服务的渠道并告知消费者。通过这条安全渠道，让消费者能够了解最新的网络支付安全程序，以及提醒消费者重大突发性风险。对于消费者提出关于网络支付和相关服务的疑问、投诉、要求，支付机构应给予帮助。针对消费者安全意识的教育至少包含以下几点：
　　
　　如何保护密码、安全口令和其他个人身份信息；如何保护个人设备（电脑）的安全；如何安装、更新安全工具（杀毒软件、防火墙、安全平台）；通过网络下载软件的风险；访问支付机构正规的网络支付网页。