关于第三方支付平台的安全性.doc

关于第三方支付平台的安全性
2
关于第三方支付平台的安全性
摘要：非金融机构提供支付服务，满足了电子商务企业和个人的支付需求，大大促进了电子商务的发展。随着第三方支付的广泛应用，其安全性问题也越来越突出。由于我国电了大量的安全隐患，如SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼以及登录方式不安全等，这些安全隐患可以被不法分子利用，窃取系统数据或用户的敏感信息，给第三方支付机构和用户造成严重损失。
个人信息不能得到保护
有些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号，个别网站在设计上存在问题，致使这些信息很容易被泄露。第三方支付平台隐私政策不合理，免责条款过多，用户为了使用其服务只能同意该条款，导致发生问题时维权艰难。第三方支付机构除了应采用技术手段对个人信息进行保护之外，还应该以文件、政策或公告的方式，在网站上公开对用户信息的安全进行承诺。
二、国家对第三方支付的监督管理
我国电子商务自20世纪90年代起步以来，很快进入快速发展期，交易额以年均40%的速度增长。2009年，，电子商务已渗透到经济和社会各个层面。与此同时，有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题，需要高度关注。如何促进非金融机构支付服务市场的健康发展，关系到电子商务的成败，关系到中国支付网络体系的安全与效率。
5
2009年4月，人民银行发布公告，对从事支付业务的非金融机构进行登记。2010年6月14日，人民银行发布《非金融机构支付服务管理办法》（以下简称《管理办法》），对非金融机构支付业务实施行政许可。2010年12月，发布《非金融支付服务管理办法实施细则》（以下简称《实施细则》）。《管理办法》和《实施细则》的发布，意味着我国非金融机构支付市场监管的基本原则已经确立。
《管理办法》中规定对于《支付业务许可证》的申请人必须具备符合要求的支付业务设施，在申请许可证时，支付业务设施必须符合中国人民银行规定的技术和安全标准，提交“技术安全检测认证证明”。由此可见，央行对非金融机构支付的技术和安全性的高度重视，技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环节。
三、提高第三方支付平台安全性的建议
政府应加强监管力度
通过《管理办法》和《实施细则》的发布和实施，一些具备良好资信水平、较强盈利能力和一定从业经验的非金融机构进入支付服务市场，在中国人民银行的监督管理下规范从事支付业务，切实维护了社会公众的合法权益。整个第三方支付平台的安全性有了一定的保障。但这样还不够，应进一步强管理和监控，可以考虑将第三方支付机构纳入金融机构的安全管理体系，使其遵循金融机构相关的安全管理制度和标准规范。
第三方支付机构应增强安全意识，加强信息安全体系建设
信息安全教育和培训是信息安全管理工作的重要基础，在实际工作中，大部分信息技术风险要依靠员工进行有效的控制，因此需要通过宣传、培训和教育等手段提升员工的信息安全认知（包括提高安全意识、了解安全职责、培养安全技能），发挥员工在信息安全管理中的主观能动性，以自律的方式来实现信息安全保障。
建立全面、科学的信息安全管理体系。建立人员结构合理的安全组织结构。加强信息安全队伍建设，充实信息安全管理队伍，完善激励机制。