电子支付的安全措施范文1
关键词:网络支付 安全 网络攻击 数字签名
网络支付是指电子交易的当事人,包括消费者、厂商、和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。主要包括有电子货币类,电子信用卡类,电子支票类。和传统的支付手段相比较,网络支付具有方便、快捷、高效、经济的优势。因为因特网的开放性,网络支付也面临着黑客、病毒的攻击和威胁,存在着一定的风险。虽然网络支付的风险系数较小,但是相比较传统的支付手段,支付者缺乏必要的安全防范意识及手段,网络支付账号及密码发生泄露的情况也时有发生,给用户造成了很多不必要的损失。因此,研究网络支付安全问题,提高用户的安全防范意识,普及网络支付的安全防范手段、工具等知识,在电子商务不断深入发展的今天就显得尤为重要。
一、网络支付存在的风险种类
风险控制是一个动态的过程,在事物发展的不同阶段,风险点会发生变化。就网络支付而言,当前的主要方式是通过银行卡(包括信用卡、借记卡和支付卡等)这种支付工具。用户在进行在线支付时,首先通过浏览器输入支付认证信息,然后由发卡行对信息进行认证授权,最后完成支付。在这个过程中,存在着以下三点风险:
1.支付密码泄漏。用户通过浏览器输入的支付认证信息包括银行卡号及密码。如果攻击者通过窃听方式获得了用户的支付密码,就可以通过网络进入到持卡人的账户进行转账或消费,给持卡人带来损失。
2.支付数据被篡改。网络支付传递的是数据信息。在信息的传递过程中,如果缺乏必要的安全防范措施,攻击者可以截获并修改在互联网传输中的支付数据。譬如,攻击者可以修改支付金额、修改收款人账号等,然后将修改后的数据重新进行发送,从而达到谋利目的。
3.否认支付。否认支付其实就是解决支付凭证问题。否则,没有支付凭证,付款人可以否认资金划出操作,收款人可以否认资金划入操作。
二、网络攻击的主要方式
在以上三种风险中,支付密码泄露是网络支付案件发生的主要原因。网络攻击的主要目标就是获取用户的支付密码,所以支付者保护好自己的支付密码非常重要。网络黑客盗取用户的支付密码主要有以下几种方式:
1.骗取手段。攻击者常用的方式有“钓鱼”网站。譬如,制作一个假冒的银行网站,界面与真的银行网站非常相似,甚至于完全一样,只是网址有些细微的差别。当持卡人被诱骗到假冒的网站时,其输入的信息就会被攻击者看到,从而泄露自己的银行卡支付密码。除了假冒网站之外,短信或邮件也是骗子喜欢用的方式。
2.支付终端截取。攻击者在用户的电脑上木马软件,当用户在自己的电脑上输入支付密码时,木马软件能悄无声息地捕获用户在键盘上输入的信息并发送出去。
3.网络截获。攻击者在网络数据的传输过程中截获数据,然后通过智能识别和密钥破解手段得到用户的支付密码。
4.枚举攻击。发卡行一般采用6位数字密码方式。攻击者可以采用密码词典方式进行破解,其原理就是利用计算机,将不同的6位数字组合进行逐一试探,直到找到正确的支付密码为止。
5.其他途径获取。攻击者趁持卡人疏忽大意,在银行柜台、ATM或POS终端窥看并记下持卡人的支付密码。
三、网络支付的安全防范措施
用户在进行网络支付时,必需提高网络安全防范意识,掌握必要的网络安全防范措施,这样才能防止自己的支付账号及密码不被泄露,最大限度的减少不必要的损失。常见的网络支付安全防范措施有以下几点:
1.防范并识别假冒网站。持卡人在使用网上银行业务时,一定要识别网站域名的真伪。因此,持卡人要熟悉商业银行或支付平台的域名,在登录时认真核对,并在支付操作时细心即可。
2.识别虚假短信(电话、邮件)。目前,短信诈骗也时常发生。持卡人在收到任何与银行卡、支付相关的短信后,一定要确认发送者身份及短信内容的真实性。凡是收到涉及到要持卡人提供账号或支付密码的短信、电话或邮件,持卡人一定要提高警惕,防止被骗。
3.密码保护。密码设置不能过于简单。所谓简单,就是指密码容易被别人猜出来,如自己或亲人的生日信息、电话号码,或者类似“123456”这样的简单数字组合。同时,要注意支付终端的安全性,不要在公共网吧、机房进行网上支付,个人电脑要安装反病毒、反木马软件。另外,在输入支付密码时,要防止他人偷窥、摄像等。
4.安装网上银行的数字证书。由于人脑记忆的局限性,持卡人在设置支付密码时通常是字母、数字的简单组合,利用枚举法可以轻易破解。数字证书属于高安全强度的加密机制,不容易破解。目前,所有商业银行的网上支付系统都提供了数字证书服务,因此,持卡人在使用网上支付时最好要安装并使用数字证书,从而大大降低网上支付的安全风险。
5.防止支付数据被篡改。数字签名技术的使用可以保障数据的完整性。利用数字签名产生消息摘要,消息摘要能标明支付数据的特征值,即使支付数据有了细微的变化,也会产生内容迥异的消息摘要。因此,一旦支付数据被篡改,通过比对消息摘要,就可以轻易识别数据是否被人篡改。
6.防止支付否认。数字签名技术还可以防止支付否认。在传统的线下支付活动中,银行和客户可以通过支付回单作为交易凭证,双方互相不能否认产生的支付活动。互联网支付,数字签名记录能起到类似支付回单的作用。
电子商务的特征是在线交易,保证网络支付安全是电子商务发展必需解决的重大问题。现有的网络安全技术基本上能满足电子商务在线支付安全的需要。随着技术的不断进步,网络支付会更加安全简便,从而为电子商务的普及和发展提供了必要的保障。
参考文献:
[1]龙延军.建立公共电子支付平台[J].中国金融电脑.2006(10)
[2]顾卓.支付安全谁来保障[J].电子商务世界.2007(10)
电子支付的安全措施范文2
[关键词] 第三方支付安全加密数字证书法律道德
随着我国40多家第三方支付获得《非金融机构业务许可证》的大好时机下,有关第三方支付的问题,更多的关注到了它的盈利,竞争,合作与发展,以及业务推广方面,但是对于其作为一个新的金融从业者,我们更应该关注有关它的信息安全问题,以及基本的保障措施。从而给用户提供一个安全可靠的网络环境。
这个安全问题涉及到第三方支付系统安全,信息传输安全,法律规范问题,道德约束问题,以及内部管理制度等。
一、系统安全
系统安全可以从实体安全保障,以及系统运行安全保障两个方面来考虑。
1.实体安全保障
实体安全,是指保护计算机设备、设施(含网络),以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施过程。第三方支付联结了多个商家,用户,以及银行系统,所以,首先得保障其基本的设备安全,从而能使系统正常的运作。
(1)环境安全。实体安全中的环境,就是要对电子商务系统所在的环境实施安全保护,主要包括受灾的防护和区域的防护。受灾的防护就是系统要具有受灾报警、受灾保护和受灾恢复等功能,目的是保护电子商务系统免受水、火、有害气体、地震、雷击和静电的危害。区域防护就是要对特定区域提供某种形式的保护和隔离措施。
(2)设备安全。设备安全是指对第三方系统的设备进行安全保护,主要包括设备的防盗和防毁,防止电磁信息泄露,防止线路截获,抗电磁干扰以及电源保护。
(3)媒体安全。媒体安全是指对媒体数据和媒体本身实施安全保护。媒体数据的安全主要是要提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁,目的是为了防止被删除或者被销毁的敏感数据被他人恢复。
2.系统运行安全保障
运行安全是指保障第三方支付系统功能的安全实现,提供一套安全措施保护信息处理过程的安全。它主要由四个部分组成:(1)风险分析;(2)审计跟踪;(3)备份和恢复;(4)应急。
(1)风险分析。运行安全中的风险分析,就是要对第三方支付系统进行人工或自动的风险分析。首先要对系统进行静态的分析,旨在发现系统的潜在安全隐患;其次是要对系统进行动态的分析,即在系统运行过程中测试、跟踪并记录其活动,旨在发现系统运行期的安全漏洞;最后是系统运行后的分析,并提供相应的系统脆弱性分析报告。
(2)审计跟踪。运行安全中的审计跟踪,就是要对第三方支付系统进行人工或自动的审计跟踪、保存审计记录和维护详尽的审计日志。
(3)备份和恢复。运行安全中的备份和恢复,就是要提供对系统设备和系统数据的备份和恢复。对数据进行备份和恢复所使用的介质可以是磁介质、纸介质、光碟、缩微载体等。
(4)应急。运行安全中的应急措施,就是要提供在紧急事件或安全事故发生时,保障电子商务系统继续运行或紧急恢复所需要的策略。
二、信息安全
信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制。
1.操作系统安全
信息安全中的操作系统安全,是指要对电子商务系统的硬件和软件资源实行有效控制,为所管理的资源提供相应的安全保护。
2.数据库安全
信息安全中的数据库安全,是指对数据库系统所管理的数据和资源提供保护,一般采用多种安全机制与操作系统相结合,来实现数据库的安全保护。
3.网络安全
信息安全中的网络安全,是指提供访问网络资源年或使用网络服务的安全保护。即通过采用各种技术和管理措施,使网络正常运行,确保网络中数据的可用性、完整性和保密性。它涉及网络安全管理
4.计算机病毒防护
所谓计算机病毒,是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。信息安全中计算机病毒的防护,即通过建立系统保护机制,来预防、检测和消除病毒。
5.访问控制
所谓访问控制,是对主体访问客体的权限或能力的限制,以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。信息安全中的访问控制,是保证系统外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略。
6.加密
信息安全中的加密主要涉及数据的加密和密钥的管理。
7.鉴别
信息安全中的鉴别,主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方真实身份的鉴别。信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。
三、法律法规体系建设保障
这主要包括第三方支付的法律地位问题,第三方监管,以及第三方支付作为一个许可的金融机构对其交易所产生的纠纷的法律解决问题。
1.法律地位
法律地位一直是困惑第三方支付的一个主要问题,政府应该建立与第三方相适应的法律法规体系及产业政策体系,促进我国第三方产业链的发展。2010年6月,中国人民银行了《非金融机构支付服务管理办法》,明确规定非金融机构应当取得支付业务许可证,成为支付机构,依法接受中国人民银行的监督管理。2011年5月26日,)中国人民银行向国内27家第三方支付企业颁发了首批《支付业务许可证》,其中,财付通、支付宝、快钱等27家第三方支付公司已拿到了支付业务牌照。
2.第三方监管
用户给第三方支付支付交易资金后,由于商家送货到用户确认之间有段时间,所以这批资金是沉淀在第三方支付的账号上的,这笔资金第三方支付是否拿来做其他事情,如果没有一定的监管机制的建立,有可能回出现资金挪用,以及资金流失等情况,所以给用户会造成一定的麻烦,因此国家可以通过一定的监管机制在保证资金的安全。
3.法律纠纷
基于第三方支付的交易涉及到多方参与者:用户,商家、银行,认证中心等,在第三方进行交易的时候一旦出现一些资金交易问题,比如,用户通过第三方支付平台支付账号丢失造成资金被盗,用户在交易过程中,由于商家乏货迟缓,造成资金在规定的期限内自动付款到商家账户,但是用户恰巧遇到此商家为骗子商家,那么这笔钱款到底应该由谁来赔付?目前来将,我们国家在这方面还没有特殊的法律来保障,现有的《消费者权益保护法》、《个人隐私权保护法》、《商业秘密保护法》、《合同法》、《票据法》等法律,研究、制定、实践并完善相应网络消费者权益保护、网络个人隐私、网络企业商业秘密、电子合同、电子发票、网络市场主体管理与服务、网络市场信息管理与服务、网络信用信息管理与服务等法规或暂行管理条例。
四、道德约束的保障
网络道德规范是约定俗成或明文规定的行为标准,是网络主体进行网络活动所要遵守的。规矩”。安全的第三方支付重在网络道德规范的建设,前面的措施是建设和谐的第三方制服环境的外在措施,网络道德规范则是一种内在的防线,正如吉恩・史蒂芬斯在《计算机领域中的犯罪》中指出的那样:“展望未来,要通过技术和常规的立法程序去遏制信息空间的犯罪活动困难重重。最根本的解决办法只有一条,那就是道德与人生价值观。”
网络道德体系是包括网络礼仪、网络规范、网络道德原则在内的完整系统,网络礼仪是基本行为的格式和标准,网络规范是高层次的行为准则,网络道德原则是抽象度最高的行为标准和要求。对于网络行为的一般规范,国外已有一些成熟的东西,如美国计算机伦理协会制定的“计算机伦理十戒”就很有代表性。我们可以借鉴外国这些成熟的东西进行网络行为教育。
五、第三方支付企业内部管理制度的保障
第三方支付安全管理制度是用文字形式对各项安全要求所作的规定,它是保证企业取得成功的重要基础工作,是第三方支付企业人员安全工作的规范和准则。
1.保密制度
企业可以规定自己内部的保密制度,包括绝密级:网址、密码不在因特网上公开,只限高层管理人员掌握;机密级:只限公司中层管理人员以上使用;秘密级:在因特网上公开,供消费者浏览,但必须防止黑客侵入等。
2.网络系统的日常维护制度
为保障系统安全运行,企业应该规定日常维护制度,包括:硬件的日常管理和维护、软件的日常维护和管理、)数据备份制度,以及用户管理等方面的。
3.病毒防范制度
第三方支付企业面临的很多危险很大程度上是由于病毒,以及木马程序所造成,所以从第三方企业内部在防病毒方面应该有常规的规定,包括:给电脑安装防病毒软件,不打开陌生电子邮件、认真执行病毒定期清理制度、控制权限、)高度警惕网络陷阱等。
4.应急措施
作为内部知道,也应该具备一些突发事件的处理能力,包括硬件恢复、数据恢复、瞬时复制技术等。
参考文献:
[1]杨英梅.我国电子商务的安全问题及安全的环境构建[J].中国商贸,2010(2)
电子支付的安全措施范文3
2005年,网上支付市场的快速发展无疑是我国电子商务领域的立法者、业者和用户关注的最大焦点之一。我国网上支付用户占使用互联网用户数的比例从2004年前的17%增长到26%,第三方网上支付平台市场2001年是1.6亿元,2004年该规模增长为23亿元,预测2007年中国第三方支付平台网上支付平台市场规模将达215亿元左右。
第三方支付平台的出现,体现了支付方式的变革。作为首都电子商务工程的核心成果--首信“易支付”具有网上支付、电话支付、手机支付、短信支付、wap支付和自助终端,采用二次结算模式,可做到日清日结。2005年2月,由阿里巴巴旗下的淘宝网联合中国工商银行、建设银行等国内多家金融机构共同打造出了“支付宝”交易服务工具。4月7日,从事多元化电子支付应用及服务的通融通公司推出yeepay电子支付平台,进军国内电子商务支付市场。5月12日,云网正式推出企业级在线支付系统“支付@网”。5月20日,网银在线携手visa国际组织共同宣布在中国电子商务在线支付市场推广“visa验证服务”信用卡安全支付标准,期望提高在线支付的便捷性和安全性。7月11日,全球最大的在线支付商paypal宣布落地中国,虽然舍弃了paypal赖以成名的信用卡划账和多币种跨国交易,但这个起名“贝宝”的第三方支付平台仍然引起了同行的注视和商家的关注。10月,腾讯公司推出“财付通”,进军网上支付领域。而据有关人士粗略估计,目前我国提供网上第三方支付服务的机构已不下50家!
可以说,2005年已经成为网上支付年。而相应的网上支付的法律问题也得到了人们更多关注,焦点主要集中在支付安全的法律保障、风险责任的承担、网上支付服务的规范、电子货币的合法性、第三方支付平台的合法性等多个方面。而中国人民银行的《电子支付指引(第一号)》(中国人民银行10月26日公告[2005]第23号,以下简称“《指引》”的出台无疑使人们的关注点又一次聚焦。那么,该《指引》将怎样影响我国电子支付的发展,网上支付所面临的一系列法律与安全问题能否通过该《指引》得到解决,第三方支付服务平台该如何得到规范和发展,电子支付法律环境的建设从该《指引》开始又将怎样陆续得到完善?我们希望通过一些简要的分析来探索这一进程。
一、对《电子支付指引(第一号)》的总体印象
我国的电子支付近年来发展非常迅速,新兴电子支付工具不断出现,电子支付交易量也不断提高,已逐步成为我国零售支付体系的重要组成部分,这些都迫切要求我们就电子支付活动的业务规则、操作规范、交易认证方式、风险控制、参与各方的权利义务等进行规范。从而防范支付风险,维护电子支付交易参与者的合法权益,确保银行和客户资金的安全。总体来看,目前我国电子支付的法律环境基本处于空白阶段,电子支付的发展又呈现发展快、涉及范围广、环节多、形式多样等趋势,伴随着这些新特点的是更多新的问题,这些问题都有待我们通过电子支付的法制化建设逐步予以解决。
《指引》的对银行从事电子支付业务提出指导性要求,对规范和引导电子支付的发展提供了基础。
《指引》以银行与客户关系为主线,以规范电子支付、强化电子支付安全性为主要内容,将“以规范促发展、在规范中发展”作为基本原则,以指引相对灵活的形式全面规范电子支付行为;涉及电子支付各方权利义务、责任、安全保障、信息披露、差错处理等多个关键环节。《指引》的出台和实施,无疑有利于以下几个方面:推动电子银行业务和电子商务的健康、有序发展;明确电子支付活动参与各方的权利义务,防范支付风险;推动支付工具创新,提升支付服务质量;防范和打击洗钱及其它金融违法犯罪活动。此外,《指引》是人民银行通过规范性文件的方式来引导和规范电子支付的,在未来有可能再上升至相应的规章或法律法规。2可以说,《指引》开启了我国电子支付法制化建设的大门!
二、《指引》的适用范围
《指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同,电子支付至少可以区分为几类:银行之间、银行与其客户之间以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展,作为银行向客户提供的新型金融服务产品,大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求——服务对象数量众多、支付需求千差万别,与人们日常生活息息相关,社会影响广泛。故此,保证这类电子支付系统的独立性和效率非常重要。这类电子支付参与主体众多,涉及银行、客户、商家、系统开发商、网络运营服务商、认证服务提供机构等,其中银行与客户之间的关系是这类电子支付赖以存在的基础和前提。因此,《指引》以调整银行和客户之间的关系为主线,引导和规范境内发生的银行为客户提供的电子支
付业务。在商业银行、第三方电子支付公司、安全认证机构、商户以及用户等组成的电子支付产业生态圈中,《指引》解决的是银行与支付公司这一核心纽带。而对于更多的第三方电子支付平台而言,“是技术公司还是金融公司”的争议将告一段落。与此同时,商业银行与支付公司之间的关系也在经历悄然调整的过程,过去的合作伙伴也许就是明日强劲的竞争对手,谁能在市场角逐中成为最大赢家,尚待在第二号和第三号指引出台后方能一窥端倪。
三、《指引》所体现的七个基本原则
第一,循序渐进原则:由于电子支付活动中支付工具和支付方式的复杂性、参与主体的多样性以及其不断而快速的创新,通过一个《指引》进行全面规范的难度较大。因此,针对电子支付业务的特点、模式和参与主体的不同,综合不同发展阶段的管理要求,陆续出台相应的“指引”,以对电子支付进行更为全面的规范,这就是循序渐进的原则。目前,人民银行已经着手研究电子支付过程中涉及到的虚拟电子货币、非银行支付服务组织的电子支付业务规范等问题。这些可能就是我们即将看到的电子支付指引第二号、第三号。从远期的立法计划而言,我们还需要与电子支票、电子发票的合法性直至电子资金划拨法有关的规定。
第二,安全第一原则:有鉴于电子支付的高技术性、虚拟性、无国界性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实,高度的安全风险无疑是我们开展电子支付最大的敌人。《指引》通篇突显了一个焦点问题,那就是电子支付的安全性。从《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可否认性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据等一系列规定和制度设计来看,都是围绕着安全性出发的。
第三,以规范促发展原则:目前,我国电子支付业务处于创新发展时期,涉及电子支付业务的许多法律问题仍处于研究和探索阶段。尤其令人关注的是第三方支付平台的合法性问题,究竟应按照金融机构的要求来规范它们,抑或按照一种第三方中介服务的模式对其进行管理?这不但直接关系着第三方支付业的生存和发展,也是我国进一步发展电子支付所面临的最为棘手的问题之一。
为了给电子支付业务的创新和发展创造较为宽松的制度环境,以促进电子支付效率的提高,保障电子支付安全,我国监管部门通过先以“指引”这种规范性文件的方式引导和规范电子支付行为,待条件成熟后再上升至相应的部门规章或法律法规,体现了监管部门审慎负责的态度和“在发展中规范,以规范促进发展”的指导思想。
第四,重点突破原则:如前所述,个人和企业在经济交往中产生的一般性支付需求数量众多且与人们日常生活息息相关,对社会影响广泛。电子支付参与主体众多,涉及银行、客户、商家、第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等,而各个参与者之间都存在着各种各样的复杂关系。欲全面理顺这些关系、明确各方的权利义务绝非易事,若不能针对其中的主要矛盾解决问题,就很可能陷入顾此失彼的尴尬局面。在这些复杂的关系中,银行与客户之间的关系是这类电子支付赖以存在的基础和前提,相关的第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等都是为他们服务的。所以,《指引》以调整银行和客户之间的关系为主线,进而逐步达到明确规范各方关系的目的。
第五,用户至上原则:由于电子支付本身的高技术性、多样性和多环节性,在调整以银行--用户关系为主线的各类关系中,最大的难点无疑就在于如何平衡各方的权利义务关系。这种平衡一方面必须能体现法律的公平、合理、权利与义务一致的原则,另一方面应具有可操作性。绝对的平衡一般是不可能的,相对的平衡就在于发生利益冲突时以何者之利益为先,纵观《指引》,得出的答案应该是用户。所以《指引》第四十二条规定:“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”第四十七条规定:“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。”第二十七条规定:“银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。”
第六,规范技术应用关键环节的原则:在《指引》中,电子支付包括网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易等各种形式;涉及计算机、电话、销售点终端、自动柜员机、移动通讯工具等多种终端设备,可以说,技术性极强;而不同技
术应用模式的具体应用环境、安全性要求等也往往存在较大的差别。如果我们把规范的落脚点放在一些技术细节上,就可能导致我们疲于应付的局面,所以唯有抓住各类应用模式普遍具备的一些关键环节进行约束,才能起到事半功倍的效果。也因此在该《指引》中,明确了诸多要求,譬如要求银行应与客户签订协议,客户终止电子支付协议应提出电子或书面申请;银行应采取有效措施保证电子支付业务处理系统中的职责分离,应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制;应与开展电子支付业务相关的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系等,这些都是非常关键的环节,确保了对这些环节的有效控制,才能基本上解决支付中的各种主要问题。
第七,贯彻落实电子签名法原则:作为在《中华人民共和国电子签名法》(《电子签名法》)实施半年后出台的规定,《指引》在数据电文的有效性、电子签名的应用、电子认证的推广等方面都提出了明确的要求,是到目前为止我们看到的贯彻《电子签名法》最为全面、彻底的一部规定,这尤其体现在《指引》第五条3、第九条4、第十条5、第二十五条6和第三十四条7。
四、《指引》的主要内容——五大基本制度的设计
1、电子支付活动中客户和银行权利义务的基本规定
《指引》明确要求,客户申请电子支付业务,必须与银行签订相关协议,并对协议的必要事项进行了列举。银行有权要求客户提供其身份证明资料,有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。
《指引》要求客户应按照其与发起行的协议规定,发起电子支付指令;要求发起行建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录;要求银行按照协议规定及时发送、接收和执行电子支付指令,并回复确认。同时还明确了电子支付差错处理中,银行和客户应尽的责任。
2、信息披露的制度设计
为维护客户权益,《指引》要求办理电子支付的银行必须公开、充分披露其电子支付业务活动中的基本信息,尤其强调对电子支付业务风险的披露,并对银行作出如下要求:
明示特定电子支付交易品种可能存在的全部风险,包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞;
明示客户使用特定电子支付交易品种可能产生的风险;
提醒客户妥善保管、妥善使用、妥善授权他人使用电子支付交易存取工具。
建立电子支付业务运作重大事项报告制度,按有关法律法规披露电子支付交易信息,及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。
3、电子支付安全性的制度设计
安全性是电子支付的重中之重。《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可否认性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据;明确银行对客户的责任不因相关业务的外包关系而转移,并应与开展电子支付业务相关的专业化服务机构签订协议,确立综合性、持续性的程序,以管理其外包关系;同时还要求银行具有一定的业务容量、业务连续性和应急计划等。
《指引》还要求银行根据审慎性原则,针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。同时,明确提出了在三种情况下的具体金额限制:“银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。”、“银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。”、“银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度”等。这些措施对防范电子支付风险,保障客户资金安全将发挥积极作用。
5、电子证据合法性的制度设计
《指引》以《电子签名法》为法律依据,进一步确认了电子证据的法律效力和实际可采性。如《指引》第五条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。”从原则上确定了电子证据的证据效力。第九条规定:“银行应认真审核客户申请办理电子支付业务的基本资料,并以书面或电子方式与客户签订协议。银行应按会计档案的管理要求妥善保存客户的申请资料,保存期限至该客户撤销电子支付业务后5年。”这又从制度上保证了诉讼期间相关证据的可采纳性。此外,《指引》第十条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。”这又进一
步从操作的层面保证了电子证据的可采纳性。
另一方面,《指引》还从交易和管理的角度鼓励合理保存、采用电子证据。例如第十八条规定“发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认”;第十九条规定“发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单”;第二十条规定“发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改”;第二十一条规定“发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令,并回复确认”;第三十条规定:“银行应采取必要措施为电子支付交易数据保密:(一)对电子支付交易数据的访问须经合理授权和确认;(二)电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;(三)第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;(四)对电子支付交易数据的访问均须登记,并确保该登记不被篡改。”所有这些规定都是围绕电子支付指令与签名的合法、有效性的,如果能够按照这样的程序去操作,再结合电子签名法的相关法律要求,理论上应该可以做到电子支付过程中相关电子证据的合法有效性。
6、防止欺诈的制度设计
目前,在电子支付领域,种种欺诈、“钓鱼”、冒充身份、非法侵入、篡改信息等现象屡见不鲜,这些欺诈侵权行为一旦得手,往往会给用户带来很大的损失8。
电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益,所以信息安全是树立和维护客户对电子交易信心的关键。《指引》要求银行在物理上保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改;采取有效的内部控制措施为交易数据保密;在法律法规许可和客户授权的范围内妥善保管和使用各种信息和交易资料;明确规定按会计档案的要求保管电子支付交易数据;提倡由合法的第三方认证机构提供认证服务,以保证认证的公正性;此外,亦要求在境内完成境内发生的人民币电子支付交易信息处理及资金清算。还有,《指引》对于应用电子签名、签署书面协议、交易限额、日志记录、指令确认、回单确认、信息披露和及时通知都作出了一系列的要求,这些制度的设计都是围绕防止欺诈的。如果我们能够严格贯彻这些要求,应该可以对那些看似无孔不入的欺诈起到一定的防止作用。
7、差错处理的制度设计
在《指引》的四十九条规定中,关于差错处理的规定就占了十条,应该说是规定得比较全面的;不仅明确了电子支付差错处理应遵守的据实、准确和及时的原则,还充分考虑了用户资料被泄露或篡改,非资金所有人盗取他人存取工具发出电子支付指令,客户自身未按规定操作或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行,接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账,因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因造成电子支付指令无法按约定时间传递、传递不完整或被篡改等多种实际情况。明确了处理差错的原则和相应的补救措施。
以上信息披露制度、安全保障制度、证据保存制度、防止欺诈制度、差错处理制度可以并称为《指引》的五大基本制度。
五、《指引》的三点不足
作为一部从体例到内容都很具探索意义的规定,《指引》在某些细节处理上存在一定的不足或值得进一步探讨之处肯定是在所难免的,毕竟其中涉及了太多的法律问题、技术问题和管理问题。
第一,电子支付指令的效力等同问题不够细化。
《指引》第五条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力”。可以说,这样的规定十分必要,和《电子签名法》9的规定相呼应,赋予电子凭证以法律效力。但在实践中,该条款能产生多大的效力,却可能需要我们划一个问号,并且值得我们深思如何能切实地让这个条款在实践中具有可操作性。
第二,将电子签名与数字证书不宜并列。
《指引》第十条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等”,该规定将电子签名与数字证书、密码、密钥等相并列,这一表述同样出现在《指引》第二十五条中。
但是,电子签名与数字证书并非同一层次上的概念。根据《电子签名法》第2条的规定“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”,这里的电子签名的范围是很广的,包括符合条件的密码、口令、密钥乃至眼虹膜透视识别等,当然也包括数字签名,而数字证书实际上就是用认证机构的私钥对证书申请签名,并形成特定格式的证书;证书以认证机构的私钥签名以后,发送到目录服务器供用户
下载和查询。认证机构通过向其用户提供可靠的目录,保证证书上用户名称与公钥是正确的,从而解决可能被欺骗的问题10。证书之内容包括用户姓名、公钥密码、电子邮件地址以及其他信息的数位化文件。
在该有效期内的证书可以藉以推定以下事项:
1、公钥系依据其被指定之目的而有效使用;
2、公钥与其他载于证书内之信息之约束力是有效的11。
而就认证机构所签发之证书,申请人必须对任何信赖该证书内所记载之资料之人士承担应负之责任。
因此,数字证书是验证数字签名的工具。也就是说,密码、密钥、数字证书、电子签名之间存在相互依存的关系,它们之间并不是并列的概念。既便于将他们并列,那么也应理解,出现在此的也应是数字签名而不是数字证书。再者,根据国际上普遍确立的技术中立原则,任何一种达到签名功能的签名技术都不应受到任何限制或任何偏袒,12也就是说,数字签名只是目前电子签名技术中相对成熟的手段,并不是唯一或永远最科学的电子签名方式13。
第三,银行责任承担问题规定不清。
《指引》第四十一条规定:“由于银行保管、使用不当,导致客户资料信息被泄露或篡改的,银行应采取有效措施防止因此造成客户损失,并及时通知和协助客户补救。”在这里,我们不得不说,其中回避了一个十分重要的问题,那就是银行是否应作出相应赔偿的问题。
电子支付的安全措施范文4
电子商务支付服务组织的多元发展是电子商务长期发展的产物,也是电子商务业发展的必然要求。电子商务支付服务组织是对传统支付服务组织的补充,且由于其起源于市场需求,较之传统组织更具活力。我国一方面要促进支付服务组织的多元发展,另一方面要强化制度规范。近年来,随着支付服务的市场化及专业化,支付服务市场上出现了一些新兴支付服务组织,在促进我国支付服务市场的竞争性与多元性的同时,必然也增加了整个电子商务支付服务体系的风险。当前,我国对电子商务支付服务组织这类非银行支付组织的监管还存在法律空白,应尽快出台相关法律法规,以引导新兴支付服务组织健康发展。
2基于电子商务支付体系的电子银行风险分析
金融领域的风险类型一般划分为市场风险、信用风险、营运风险、法律风险和信誉风险五类。本文基于电子商务支付体系的固有特性对电子银行系统风险进行调整,重点分析其信用风险和法律风险。
2.1信用风险
信用风险是指交易对手未能履行约定契约中的义务而造成经济损失的风险,即受信人不能履行还本付息的责任而使授信人的预期收益与实际收益发生偏离的可能性。电子银行系统的开展最初是为了实现金融机构之间的优势互补,但其现已变为银行为扩大中间业务收入,规避金融管制的渠道,这无疑增加了信用风险。
2.2法律风险
目前电子银行系统的法律法规多而杂,对其金融管制基本处于“各自为政”的状态,管制存在诸多盲点,一定程度上加重了法律风险。电子银行是对银行现有资产的虚拟化,缺乏相应的法律法规约束,法律风险突出。
2.3市场风险
电子银行系统的市场风险主要指利率风险。利率的波动直接导致其资产价格的变化,影响银行的安全性、流动性和效益性。对于投资者,利率风险的主要表现是在投资存续期内,收益率并未随市场利率的上升做出相应的调整,投资者失去了将资金配置于储蓄存款所带来的收益提高的机会。
2.4政策性风险
与信誉风险一样,政策性风险也具普遍性。电子银行系统是银行为摆脱国家政策的限制,增加利润的一种手段,其发展规模迅速,市场需求迫切。诸多贷款受到国家限制的行业“借道”电子银行,绕开实体规模限制,可能引发政策性风险。
3电子银行系统风险防范策略分析
3.1电子银行的技术安全措施
1)保障平台安全。平台安全泛指操作系统与通用基础服务安全。保障平台安全一方面要对操作系统漏洞进行检测和修复,一般包括Windwos系统、Unix系统、网络协议、网络基础设施的检测与修复;另一方面进行交换机、防火墙、路由器、通用基础应用程序以及数据库、各种系统守护进程、网络安全产品部署的漏洞检测和修复。
2)确保数据安全。提供数据访问控制、载体安全保护、检查和监控,保证数据可用性与完整性,做好数据存储与备份,以防止数据的丢失、崩溃或被非法访问,并保证客户身份认证的安全以及交易信息的保密性、完整性、可控性、可审查性。
3)保障运行安全。运行安全可保障系统的稳定,这要求将电子银行系统的安全系数控制在限定范围内。此外,要保障电子银行系统安全运行,还须建立应急处置机制,并注意定期进行系统升级,跟踪修复最新安全漏洞,尤其是通过建立电子银行备份系统,实时对应用数据进行备份,随时预防遗失现象,从而保证客户电子银行交易数据的完整与安全。
3.2外部资源的管理
目前,越来越多的外部技术厂商参与到电子银行系统化的业务中来,或是提供一次性的机器设备,或是提供长期技术支持。外部厂商的参与使电子银行成本得以减少、技术得以提高,但并不能降低其所承担的风险。因而,电子银行系统应该采取相关措施,对外部资源进行有效管理,对外部厂商的运作及财务状况进行定期检查与监控,并通过合同明确双方的权利和义务。同时,还要建立其他可替代的备选资源,以免某一技术厂商出现问题时导致电子银行系统运行的停滞。此外,相应的监管机构也需保持对此类技术厂商的监督管制。
3.3进行风险评估
风险评估作为一种非常有效的预防性措施,其具有的前瞻性使得电子银行系统安全服务能对难以预见的风险做到未雨绸缪、防患未然。风险评估以保护客户信息系统安全为目的,对信息系统的各个层面,包括网络、数据、管理、应用等方面的安全性加以量化,从而进行客观评价与判断。风险评估的最终结果表现为具体数值,易于理解,可以帮助客户认清当前安全问题,并进行风险管理,增加电子银行系统的安全级别。
4结语
电子支付的安全措施范文5
[关键词] 电子商务支付手段安全
一、前言
电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。
二、主要的电子支付手段及其安全性分析
1.电子信用卡
(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。 支付过程中要进行用户、商家及付款要求的合法性验证。
(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。
(3)安全隐患:单纯从技术上来说,无安全隐患问题。
2.电子支票
(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:
(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。 其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。
(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、Society for Worldwide Interbank Financial Telecommunication)系统);公共网络上的点的资金转账仍在实验之中。
3.电子现金
(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。
(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。
(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。
②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。
④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。
4.移动支付
(1)支付方式: 移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。
(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。
(3)安全隐患:①抵赖行为:手机支付的加密方式只是加密了交易过程的部分内容,没有考虑交易双方相互的身份认证和交易的不可否认性,必须把SET协议数据加密模型引入到手机支付中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。
电子支付的安全措施范文6
关键词:软硬件系统风险;操作风险;钓鱼网站;电子扒手;信息污染;社会征信体系
网上支付业务的频繁发生促使中国电子商务快速发展。艾瑞咨询公司《2008—2009年中国网上支付行业发展报告》显示,我国互联网支付市场交易规模从2007年的976亿元飙升到2008年的2743亿元,同比增长181%,成为互联网发展最快的行业。然而,目前我国的法律环境、网络安全、用户权益等一系列制约网上支付的问题,还得不到真正意义上的解决。网上支付存在如下风险。
一、银行等金融机构
目前,网上支付风险大,网上银行漏洞多。网上交易对金融机构的软硬件系统、技术支持、业务操作逻辑等提出了更高的要求;另外,网上支付无疑会加剧金融机构原有的风险。
电子支付的业务操作和风险控制工作均由电脑软件系统完成。系统与客户终端的软件互不兼容或出现故障,以及系统停机、磁盘列阵破坏都会信息传输中断或速度降低的可能,并形成软硬件系统风险。可见,信息系统的平衡、可靠和安全运行成为电子支付系统安全的重要保障。
另外,网上支付还面临传统支付的风险。首先,与传统业务中储户挤兑风险相比,电子支付机构面临的信用风险显得更为严重。其次,电子货币的较强的流动性使电子支付机构面临比传统金融机构更大的流动性风险。再次,内部雇员欺诈,系统设计、实施和维护,以及电子支付信息技术选择事务引发的系统兼容性问题均属电子支付机构的操作风险。他们均会使金融机构蒙受巨大的商业损失。
二、第三方支付平台市场规范问题
近日,艾瑞咨询的调查数据表明,2008年,中国第三方网上支付市场交易额规模达718亿元,同比仍保持180%左右的高速增长。第三方支付一定程度上减少了交易欺诈的发生率,促使网上支付市场发展,但也存在一些棘手的问题,如非金融机构性质的支付服务第三方从事电子货币支付清算业务的资格,相关法律法规,监管机构等。
三、安全认证、信用评级机构的规范问题
安全认证机构通过发放数字证书为网银、电子商务、电子政务提供安全认证服务。但目前,我国认证机构没有统一的权威立法来规制和监督其市场准入机制、运作模式、相关权利义务等。08年美国的金融危机在很大程度上就是信用评级的失误造成的,因此国内信用评级的健全、规范及与国际接轨就显得尤为重要。
四、网民、网民素质加剧了交易风险
艾瑞咨询分析师蒋李鑫表示,受骗消费者中,多数误在?“钓鱼网站”输入了网银信息;而支付系统本身的安全性并无太大问题;通过安全意识的强化,这种不安全性可逐渐消除。另外,由于信用保障体系不健全,网上出现了虚假交易、恶易等现象,而信用度缺乏必将限制交易规模。
五、网络黑客及其他不法分子
一些被称作“电子扒手”的解密高手通过窃取银行和企业密码,浏览其核心机密;亦有网络黑客通过植入木马、虚假网页等手段窃取消费者账户和密码,非法盗取和转移资金、窃取信息、发送假冒电子邮件等;更有市场操
纵、无照经纪人、不正当销售、误导高科技投资等网上诈骗活动;直接威胁到了金融安全。
六、宏观环境
网上支付系统具有无形化、网络化、国际化等特点,极易通过网络迅速在整个金融体系中连锁反应,引发全局性、系统性的金融风险;目前,世界各国电子支付立法相对滞后,现行法律对电子支付业务中出现的新问题尚不能施加影响;网络上病毒,信息污染和信息爆炸等问题也很迫切,直接影响到电子支付系统发送、接收信息的效率;信用机制严重缺乏制约了中国B2B电子商务的发展,社会征信体系的健全迫在眉睫。
基于上述各方存在的风险,笔者给出如下防范措施:
加快立法进程,完善相关法律法规,积极应对网络犯罪。我国并无专门的电子支付法,而传统支付法律体系并不能完全适应网上支付的要求;另外,网上支付为洗钱等新型犯罪活动提供了空间,现行法制约广度和深度还不够。我们应加快立法进程,完善相关法律制度,与国际相关法律接轨。
加强对网络银行、认证机构的监管力度以及对第三方平台的市场规范。网上银行的准入条件、客户资料审查等,较之传统银行有其特定要求,认证机构应制定严格的操作规则、定期审查及信息控制制度,保证其合法性;第三方服务机构需确保资金安全和支付效率,另外支付中介的仲裁功能应受到监管。新晨
加大对网络系统的技术投入。无论是加强整合金融机构业务流程,遏制网上犯罪,还是要建立健全信用机制,都离不开技术支持;培养造就一批专业人才对解决当前问题至关重要。
加紧建立一整套完整的社会信用机制。我国尚属于信用制度不健全非诚信国家,应尽快着手网上支付信用机制的建设,以使银行在此基础上,通过查询客户信用档案,确定对客户的授信额度,并将其不良行为记录纳入社会征信体系。
随着互联网产业链的不断发展和延伸,网络支付所扮演的角色越来越重要。尽管目前交易规模并不高,但其发展已成大势。我们期待网络支付在不断规范化的发展中,取得长足的进步。
参考文献:
[1]卓婷婷:电子商务网上支付风险问题探析,经济研究导刊2007.11.
