解決支付安全問題 銀行該做什么？

為何互聯(lián)網(wǎng)支付的安全問題如此突出？

易觀國際分析：電子支付的內(nèi)涵是一種信用的產(chǎn)物，外延是"給付對價"或"價值交付"的過程。電子支付根據(jù)用戶行為與后臺運行機制可分為"現(xiàn)場支付----面對面支付"與"遠程支付----非面對面支付"兩種，互聯(lián)網(wǎng)支付則屬于后者。

互聯(lián)網(wǎng)對傳統(tǒng)商務(wù)的價值，更多在于解決信息不對稱的問題，而在支付方面，用戶支付體驗將從"面對面"向公開的、虛擬的----"非面對面"轉(zhuǎn)移，這需要一個漫長過程，尤其是中國信用體系尚處于初級階段。如此，互聯(lián)網(wǎng)支付的安全性即成為焦點問題。

支付安全性包括什么要素？怎樣分類？

電子支付的安全通常由有效性、真實性、完整性、保密性、不可撤消、不可否認、身份驗證等要素組成。對于"非面對面"的互聯(lián)網(wǎng)支付，這些要素的完備性更高。根據(jù)電子支付的外延與內(nèi)涵，易觀國際將互聯(lián)網(wǎng)支付的安全性區(qū)分為硬件與軟件兩方面：

第一 硬件，即技術(shù)手段。通常由卡組織、IT廠商、支付渠道服務(wù)商（如電信運營商）所提供，如：對稱與非對稱加密技術(shù)、SSL、SET、3D-Secure、NFC無接觸式通信的智能卡技術(shù)，以及基于數(shù)據(jù)挖掘的交易監(jiān)控與分析方案等。

第二 軟件，即信用管理機制。安全不僅是一種技術(shù)手段，更多是通過組織流程管理而形成的信用管理機制。其中包括基于技術(shù)手段建立完善的管理制度、處理流程、操作規(guī)范，針對可能出現(xiàn)的欺詐、差錯、爭議，提供有效解決流程與處理辦法；合理的責任分配安排（包括用戶、商家、支付服務(wù)商）；對用戶安全支付行為的市場教育等等。

銀行有什么問題？

易觀國際認為，在網(wǎng)上支付安全措施的部署方面，銀行將更多的精力放在"硬件"方面，而忽視"軟件"方面的投入。目前網(wǎng)上支付的主要支付工具為銀行借記卡[注1]，其本質(zhì)上是存折的替代品，屬于銀行傳統(tǒng)的負債業(yè)務(wù)----存款。由于歷史上銀行為追求單一發(fā)卡量，形成了高額成本在短時間內(nèi)難以消化，同時銀行又面臨從單一的資產(chǎn)與負債業(yè)務(wù)，向資產(chǎn)、負債、中間業(yè)務(wù)多元化業(yè)務(wù)轉(zhuǎn)型的經(jīng)營壓力，因此造成銀行目前對此業(yè)務(wù)安全"軟件"方面的改造或升級的動機不足，風險管理的手段主要依賴于外圍的信用管理體系（如央行的個人信用體系），或?qū)⒇熑无D(zhuǎn)移于外部市場與用戶。這與主要從事"信用中介"的第三方支付商的服務(wù)內(nèi)容與承擔責任大相徑庭。

銀行應(yīng)該如何應(yīng)對？

圖：http://imgs.ccw.com.cn/resources/2006_09/2006_09_18/200609187151158555909093.jpg

易觀國際建議銀行采取如下措施（跨銀行的卡組織同樣適用）：

在短期內(nèi)，雖然在網(wǎng)上支付發(fā)生的不安全事件，多數(shù)由用戶自身原因造成[注2]，但是目前銀行在處理網(wǎng)上支付與用戶間安全性爭端時，對自身責任的缺失尚無足夠認識。銀行應(yīng)該深入各領(lǐng)域業(yè)務(wù)層面的支付流，制定相應(yīng)的管理制度、操作規(guī)范、風險處理辦法，構(gòu)建完善的信用管理體系，比如在用戶端與商戶端之間端建立雙認證體系，針對支付過程中欺詐、差錯、爭議等問題，配套合理的管理手段等等，從而有利于在價值鏈各成員之間的風險責任合理分配，減少可能帶來的損失與爭議。

在中、長期來看，由于網(wǎng)上支付這種"非面對面"的支付渠道，其根植土壤是完善的信用管理體系，如果銀行依舊只考慮安全"硬件"方面的投入，忽視安全"軟件"方面的投入，采用把風險轉(zhuǎn)嫁外部市場或用戶的方式，將會失去未來市場的信任，在下一輪市場競爭中處于被動地位。