关于第三方支付平台的安全性.doc

该【关于第三方支付平台的安全性 】是由【朱老师】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【关于第三方支付平台的安全性 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。2
关于第三方支付平台的平安性
摘要:非金融机构提供支付效劳,满足了电子商务企业和个人的支付需求,大大促进了电子商务的开展。随着第三方支付的广泛应用,其平安性问题也越来越突出。由于我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,第三方支付产品质量参差不齐,在技术和管理上存在很多平安问题,用户的交易平安和个人信息受到威胁。国家出台了相应的管理方法,对第三方支付机构进行标准,实行行政许可。本文作者参加了多家第三方平台的测评工作,对第三方平台存在的平安问题进行了归纳总结,并提出了提高第三方支付平台平安性的建议。
关键词:第三方支付信息平安互联网支付交易平安个人信息保护
随着信息技术、网络通信技术的迅速开展,以及电子商务的应用需求,越来越多的非金融机构借助互联网、手机等广泛参与支付业务。非金融机构提供支付效劳,与银行业既合作又竞争,已经成为一支重要的力量。非金融机构支付效劳,是指非金融机构在收付款人之间作为中介机构提供货币资金转移效劳,效劳包括网络支付、预付卡的发行与受理、银行卡收单及中国人民银行确定的其他支付效劳,非金融机构支付效劳可以是上述效劳的局部或全部。这些非金融机构被称作“第三方支付机构〞。
非金融机构支付效劳的多样化、个性化等特点较好地满足了电子商务企业和个人的支付需求,促进了电子商务的开展,在支持“刺激消费、扩大内需〞等宏观经济政策方面发挥了积极作用。虽然非金融机构的支付效劳主要集中在零售支付领域,其业务量与银行业金融机构提供的支付效劳量相比还很小,但其效劳对象非常多,主要是网络用户、手机用户、银行卡和预付卡持卡人等,其影响非常广泛。目前国内约有300多家第三方支付机构,其中多数从事互联网支付、手机支付、电话支付以及发行预付卡等业务。
2
一、第三方支付平台存在的平安问题
随着第三方支付的广泛应用,其平安性问题也越来越突出。由于我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,目前存在的300多家第三方支付产品质量参差不齐,机构员工平安意识薄弱,平安防护措施不够,用户的交易平安和个人信息存在很大的风险。平安问题可以归纳为几个方面:
第三方支付机构平安意识薄弱
相对于银行业金融机构,非金融支付机构平安意识还比较淡薄,还不能充分认识到信息平安面临的形势和信息平安工作的重要性,对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息平安的不重视,就会导致信息平安工作不到位和难于开展。一些员工思想上有麻痹意识,他们认为信息科技引发的案件是科技部门的事,与己无关,认为信息平安案件都是偶然发生,存在侥幸心理。从而导致平安措施执行不到位,平安制度无法贯彻的现象。正是这些平安意识上的薄弱环节,导致了平安威胁有机可乘。很多信息平安事件往往不是因为技术原因,而是由于系统运维人员的疏忽或不作为引发的。平安意识薄弱是平安问题发生的根源。
平安管理机构不健全平安管理制度不完善
多数第三方支付机构还没有形成信息平安组织结构,管理较混乱,平安管理人员配备缺乏。信息平安管理制度还不成体系,没有建立总体方针,平安管理制度和操作规程缺失,平安策略不完整等,且已有的平安管理制度也不完善。以上问题易使工作上出现较大的漏洞,操作上出现失误,引发平安事故,造成损失。
平安技术防护能力薄弱
在第三方支付平台建设中,没有充分重视平安技术防护能力的建设,平安技术防护能力薄弱。有些支付系统中没有部署防火墙和入侵检测系统,没有划分平安域,没有平安事件监控、统一防病毒等防护措施;重要数据的传输和存储存在平安隐患
4
,重要网络设备没有进行平安策略配置;应急处理方案不完备,应对和处理危机的能力还比较弱。以上问题易使非法访问网络系统、假冒网络终端/操作员、用户信息被窃取、截获和篡改传输数据等平安事件发生,而且不能及时响应和控制事件的影响。
应用程序中存在平安漏洞
系统上线前,没有对应用程序进行全面的测评,致使生产系统存在功能、平安性及性能方面的问题。通过对第三方支付系统应用程序的检测,发现了大量的平安隐患,如SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼以及登录方式不平安等,这些平安隐患可以被不法分子利用,窃取系统数据或用户的敏感信息,给第三方支付机构和用户造成严重损失。
个人信息不能得到保护
有些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个别网站在设计上存在问题,致使这些信息很容易被泄露。第三方支付平台隐私政策不合理,免责条款过多,用户为了使用其效劳只能同意该条款,导致发生问题时维权艰难。第三方支付机构除了应采用技术手段对个人信息进行保护之外,还应该以文件、政策或公告的方式,在网站上公开对用户信息的平安进行承诺。
二、国家对第三方支付的监督管理
我国电子商务自20世纪90年代起步以来,很快进入快速开展期,交易额以年均40%的速度增长。2023年,,电子商务已渗透到经济和社会各个层面。与此同时,有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题,需要高度关注。如何促进非金融机构支付效劳市场的健康开展,关系到电子商务的成败,关系到中国支付网络体系的平安与效率。
2023年4月,人民银行发布公告,对从事支付业务的非金融机构进行登记。2010年6月14日,人民银行发布?非金融机构支付效劳管理方法?〔以下简称?管理方法?〕,对非金融机构支付业务实施行政许可。2023年12月,发布?非金融支付效劳管理方法实施细那么?
5
〔以下简称?实施细那么?〕。?管理方法?和?实施细那么?的发布,意味着我国非金融机构支付市场监管的根本原那么已经确立。
?管理方法?中规定对于?支付业务许可证?的申请人必须具备符合要求的支付业务设施,在申请许可证时,支付业务设施必须符合中国人民银行规定的技术和平安标准,提交“技术平安检测认证证明〞。由此可见,央行对非金融机构支付的技术和平安性的高度重视,技术和平安检测是非金融机构申请许可证过程中最关键也是最严格的环节。
三、提高第三方支付平台平安性的建议
政府应加强监管力度
通过?管理方法?和?实施细那么?的发布和实施,一些具备良好资信水平、较强盈利能力和一定从业经验的非金融机构进入支付效劳市场,在中国人民银行的监督管理下标准从事支付业务,切实维护了社会公众的合法权益。整个第三方支付平台的平安性有了一定的保障。但这样还不够,应进一步强管理和监控,可以考虑将第三方支付机构纳入金融机构的平安管理体系,使其遵循金融机构相关的平安管理制度和标准标准。
第三方支付机构应增强平安意识,加强信息平安体系建设
信息平安教育和培训是信息平安管理工作的重要根底,在实际工作中,大局部信息技术风险要依靠员工进行有效的控制,因此需要通过宣传、培训和教育等手段提升员工的信息平安认知〔包括提高平安意识、了解平安职责、培养平安技能〕,发挥员工在信息平安管理中的主观能动性,以自律的方式来实现信息平安保障。
建立全面、科学的信息平安管理体系。建立人员结构合理的平安组织结构。加强信息平安队伍建设,充实信息平安管理队伍,完善鼓励机制。建立完整的信息平安策略,主要包括信息平安策略方针、平安规章制度、平安操作流程和设备操作指南等方面。完善信息平安应急恢复体系,推进信息平安风险评估,实行信息平安等级保护,健全信息平安标准标准和有关制度。
构建科学合理的平安技术保障体系。加大网络平安设施建设力度,加强网络边界防护
5
,实施网络平安域控制;加强软件开发控制,对软件进行平安测评和***;保障根底设施和物理环境的平安,加强检测、监控和审计措施,实施平安加固;加强备份管理,建立灾备中心,保证支付业务的连续性。
第三方支付机构应加强平安检查,及时修复平安漏洞
即时在平安方面都做了很多工作,但没有绝对的平安,要时刻监控系统的运行情况。可组建技术团队或委托专业平安效劳机构对系统进行平安测评。系统平安隐患是否能及时发现,并进行修复或制定实施相应平安防护措施,对系统的正常运行至关重要。由于系统的不断更新,操作系统和代码漏洞也不断有新的发现,因此,对系统进行定期的平安测评是非常必要的。
第三方支付机构应加强客户信息保护措施
对于客户信息的保护应采取切实有效的措施,确保支付平台没有设计漏洞,修复应用程序中存在的平安漏洞,防止客户信息被恶意窃取,并严格管理系统的运维管理,确保客户信息的存储平安。同时,还应该以公开的方式,对用户信息的平安进行承诺。
四、结束语
第三方支付平台的平安性关系到国计民生,相关政府机构和第三方支付机构应该切实履行其相关职责,保障第三方支付平台高效、平安的运行,促进第三方支付业务的健康、有序的开展。广阔用户在使用第三方支付平台进行支付的过程中,也应该注意甄别,选择有实力、信誉度高的支付平台,以保护自己的合法权限。