淺析信用卡在電子支付中的安全問(wèn)題

沈　浩

[摘 要]隨著因特網(wǎng)的發(fā)展，電子商務(wù)迅速占領(lǐng)市場(chǎng)，電子支付方式越來(lái)越受到廣大消費(fèi)者的青睞，但其資金流安全與否成為困擾消費(fèi)者的一大問(wèn)題，特別是使用信用卡進(jìn)行電子支付，安全問(wèn)題更讓人擔(dān)憂。本文介紹了信用卡電子支付中存在的安全問(wèn)題，探討了目前的幾種安全認(rèn)證方案。

[關(guān)鍵詞]信用卡 電子支付 風(fēng)險(xiǎn) 安全 支付認(rèn)證方案

一、引言

隨著Internet的發(fā)展，各國(guó)信息高速公路的建設(shè)以及Internet主干線的通信帶寬大幅度提高，Internet在商業(yè)應(yīng)用得到了大幅度的增加，他的出現(xiàn)給銀行提供了一個(gè)前所未有的機(jī)遇，國(guó)際銀行業(yè)的面貌由此發(fā)生了翻天覆地的革命性變化。越來(lái)越多的國(guó)際銀行開(kāi)始關(guān)注和瞄準(zhǔn)電子銀行業(yè)務(wù)，并試圖涉險(xiǎn)進(jìn)入和占領(lǐng)電子商務(wù)的新領(lǐng)域。隨著電子商務(wù)的發(fā)展，傳統(tǒng)的支付方式已經(jīng)不能滿足人們對(duì)于高效、便捷、快速、安全支付方式的追求。

電子支付是指電子交易的當(dāng)事人使用安全電子支付手段通過(guò)因特網(wǎng)進(jìn)行貨幣支付或資金流轉(zhuǎn)。它是一種在金融電子支付體系的基礎(chǔ)之上發(fā)展起來(lái)的，主要依托于因特網(wǎng)的實(shí)時(shí)支付方式。

將支付信息通過(guò)網(wǎng)絡(luò)安全傳送到銀行或相應(yīng)的處理機(jī)構(gòu)，來(lái)實(shí)現(xiàn)貨幣支付或現(xiàn)金流轉(zhuǎn)的新型網(wǎng)上支付手段包括電子現(xiàn)金、信用卡、借記卡、智能卡等。信用卡是人們?cè)谏唐方灰谆驈氖缕渌?jīng)濟(jì)活動(dòng)中使用的一種信用支付憑證，即集儲(chǔ)蓄、消費(fèi)信貸和非現(xiàn)金結(jié)算功能于一體的電子貨幣。它的產(chǎn)生和發(fā)展順應(yīng)了人們的生活方式、消費(fèi)水平發(fā)展的需要，是社會(huì)經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物，是金融業(yè)走向現(xiàn)代化、國(guó)際化的必然。在美國(guó)等發(fā)達(dá)國(guó)家，信用卡支付是他們進(jìn)行日常消費(fèi)的一種常用工具，由于其使用簡(jiǎn)單方便而被全世界廣泛接受，占據(jù)很大的市場(chǎng)份額。如今在因特網(wǎng)上，信用卡支付同樣成為最普遍的方式。由于信用卡本身的特點(diǎn)以及網(wǎng)絡(luò)的開(kāi)放性，自然而然的對(duì)信用卡進(jìn)行電子支付的安全產(chǎn)生了沖擊，本文就信用卡電子支付的風(fēng)險(xiǎn)及安全認(rèn)證方案進(jìn)行簡(jiǎn)單的分析。

二、電子支付風(fēng)險(xiǎn)

電子支付具有以下兩個(gè)鮮明特點(diǎn)：（1）電子支付是在開(kāi)放的網(wǎng)絡(luò)環(huán)境下以先進(jìn)信息技術(shù)來(lái)完成信息傳遞，以數(shù)字化的方式完成貨幣支付和資金流轉(zhuǎn)；（2）電子支付工具、支付過(guò)程無(wú)型化。

由于這兩個(gè)特點(diǎn)，也就造成了電子支付中存在很大的風(fēng)險(xiǎn)：

(一)電子支付制度也和傳統(tǒng)的付款方式相同，都會(huì)因?yàn)楸凰嗣邦I(lǐng)、盜領(lǐng)款項(xiàng)而發(fā)生損失，例如黑客侵入他人網(wǎng)絡(luò)系統(tǒng)，盜取其信用卡信息或者偽造他人私鑰或信用卡等資料，這些情況都可能會(huì)使消費(fèi)者遭受財(cái)務(wù)損失；

(二)電子支付系統(tǒng)若發(fā)生斷線、操作錯(cuò)誤等問(wèn)題時(shí)，對(duì)消費(fèi)者經(jīng)濟(jì)方面造成損失的可能性。本人在網(wǎng)上消費(fèi)時(shí)也遇到過(guò)類似情況，由于系統(tǒng)問(wèn)題，輸入驗(yàn)證碼錯(cuò)誤后再輸一遍，實(shí)際上正確的操作是一次，但系統(tǒng)顯示的是兩次。

(三)消費(fèi)者在從事電子支付時(shí)極有可能所有的付款資訊未經(jīng)消費(fèi)者的同意即被收集或是向第三人披露，甚至被冒用或是為其他不利于消費(fèi)者利益的目的而使用，侵害消費(fèi)者的隱私權(quán)。

針對(duì)電子支付本身的不安全性各個(gè)信用卡組織出臺(tái)了以信用卡為支付手段的電子支付認(rèn)證方案，比如說(shuō)VISA國(guó)際組織推出的VISA 3DSecure，MasterCard國(guó)際組織推出了MasterCard SPA信用卡支付認(rèn)證方案。

三、國(guó)際組織信用卡支付認(rèn)證方案

（一）VISA 3DSecure

1．威士卡的簡(jiǎn)單介紹：

Visa國(guó)際組織的發(fā)展歷史首先要追溯到美洲銀行，1959年開(kāi)始發(fā)行銀行信用卡，之后于1966年成立了BSC公司。1970年BSC公司改名為NBI，開(kāi)始為美國(guó)各地銀行提供信用卡服務(wù)。1977年，NBI正式改組成立Visa International，即Visa國(guó)際集團(tuán)。Visa國(guó)際組織本身并不直接發(fā)卡，Visa品牌信用卡由他所擁有的全球21，000多家會(huì)員金融機(jī)構(gòu)構(gòu)發(fā)行。

Visa是全球最富盛名的支付品牌之一，Visa全球電子支付網(wǎng)絡(luò)VisaNet是世界上覆蓋面最廣、功能最強(qiáng)和最先進(jìn)的消費(fèi)支付處理系統(tǒng)，不斷履行使您的Visa卡通行全球的承諾。目前，Visa卡可在全球300多個(gè)國(guó)家和地區(qū)的2，900多萬(wàn)個(gè)商戶使用，并在130多個(gè)國(guó)際的80多萬(wàn)臺(tái)自動(dòng)提款機(jī)上提取當(dāng)?shù)刎泿?，Visa的全球網(wǎng)絡(luò)讓您不論身在何處，都能方便地使用Visa卡。Visa的網(wǎng)絡(luò)系統(tǒng)每秒最快可處理10，000筆交易，年刷卡交易額超過(guò)2.3萬(wàn)億美元。目前，Visa卡全球發(fā)行量已超過(guò)11億張，占全球支付卡市場(chǎng)約57％的份額。

2．3DSecure支付認(rèn)證方案

3DSecure，全球身份核實(shí)技術(shù)，是一套全球通用的支付處理方案，采用高度精密的加密技術(shù)，阻止未授權(quán)人士查看持卡人的個(gè)人資料，以避免他人截取持卡人的敏感交易支付資料。

3D-Secure中，Visa更多地參與交易，包括：提供目錄服務(wù)，以檢驗(yàn)卡號(hào)碼的有效性；向各服務(wù)器發(fā)行SSL證書(shū)并提供許可；提供認(rèn)證歷史服務(wù)，記錄每筆交易的認(rèn)證結(jié)果。

3D-Secure交易對(duì)持卡人的要求降至最低，只需要瀏覽器即可進(jìn)行，不需要申請(qǐng)個(gè)人證書(shū)與安裝客戶端軟件，簡(jiǎn)單靈活是其最大優(yōu)勢(shì)。與SET相比，持卡人并不驗(yàn)證商家的身份，商家需要保存持卡人的交易信息（包括卡號(hào)碼、有效期等）。交易中包含了大量的消息傳遞，平均多占用消費(fèi)者10-15秒的支付處理時(shí)間?？傮w上，3D-Secure在SSL的基礎(chǔ)上加入發(fā)卡機(jī)構(gòu)對(duì)持卡人的驗(yàn)證步驟，從而提供了一種簡(jiǎn)易的安全支付方案，有效地降低盜用與扣款的發(fā)生，其潛在弱點(diǎn)在于不法商家與黑客仍有可能竊取持卡人的用戶ID與密碼

3．安全驗(yàn)證服務(wù)---Visa驗(yàn)證：

Visa驗(yàn)證服務(wù)（Verified by VISA，簡(jiǎn)稱Visa驗(yàn)證服務(wù)）是Visa國(guó)際組織為提高信用卡網(wǎng)上支付的安全性，保障客戶網(wǎng)上支付安全，維護(hù)客戶利益而推出的一項(xiàng)安全驗(yàn)證服務(wù)。Visa驗(yàn)證以簡(jiǎn)單易用為原則，采用全球互通付款的“3D-Secure”安全技術(shù)，全天24小時(shí)的服務(wù)，滿足您時(shí)時(shí)刻刻的網(wǎng)上支付需要。

“快捷方便”是“Visa驗(yàn)證”服務(wù)的宗旨，無(wú)論對(duì)消費(fèi)者還是發(fā)卡銀行，都很方面?！癡isa驗(yàn)證”讓發(fā)卡銀行進(jìn)行網(wǎng)上檢測(cè)程序時(shí)，運(yùn)用密碼、數(shù)字證書(shū)、生物特征等方法核實(shí)持卡人的身份，整個(gè)過(guò)程只需書(shū)數(shù)秒就可完成。而對(duì)于消費(fèi)者來(lái)說(shuō)，你無(wú)需下載軟件或者改變購(gòu)物習(xí)慣，已登記使用密碼的消費(fèi)者在網(wǎng)上“Visa驗(yàn)證”服務(wù)的參與商戶處購(gòu)買(mǎi)，就可享受“Visa驗(yàn)證”服務(wù)，交易資料受到密碼保護(hù)。

“Visa驗(yàn)證”服務(wù)內(nèi)容：

（1）個(gè)人確認(rèn)信息----用來(lái)確認(rèn)該購(gòu)物網(wǎng)站為合法網(wǎng)站，避免您在網(wǎng)上購(gòu)物誤入不法之徒惡意偽造的銀行交易頁(yè)面，騙取您的信用卡信息。

（2）交易密碼----網(wǎng)上外幣支付時(shí)輸入交易密碼，保障您交易的安全性和可靠性，當(dāng)天密碼輸入錯(cuò)誤累計(jì)超過(guò)6次，該賬戶將被鎖定，第二天自動(dòng)解鎖。

（二）MasterCard SPA

1．萬(wàn)事達(dá)卡的簡(jiǎn)單介紹：

MasterCard International是全球第二大信用卡國(guó)際組織。萬(wàn)事達(dá)國(guó)際組織于50年代末至60年代初期創(chuàng)立了一種國(guó)際通行的信用卡體系，旋即風(fēng)行世界。1966年，組成了一個(gè)銀行卡協(xié)會(huì)組織，1969年銀行卡協(xié)會(huì)購(gòu)下了MasterCharge專利權(quán)，統(tǒng)一了各發(fā)卡行的信用卡名稱和式樣設(shè)計(jì)。隨后十年，將原名改名MasterCard。萬(wàn)事達(dá)卡國(guó)際組織是一個(gè)包羅世界各地財(cái)經(jīng)機(jī)構(gòu)的非牟利協(xié)會(huì)組織，其會(huì)員包括商業(yè)銀行、儲(chǔ)蓄與貸款協(xié)會(huì)，以及信貸合作社。其基本目標(biāo)始終不渝：溝通國(guó)內(nèi)及國(guó)外會(huì)員之間的銀行卡資料交流，并方便發(fā)行機(jī)構(gòu)不論規(guī)模大小，也可進(jìn)軍銀行卡及旅行支票市場(chǎng)，謀求發(fā)展。

萬(wàn)事達(dá)卡已是全球家喻戶曉的名字，不過(guò)，三十年前它僅是一張美國(guó)境內(nèi)的國(guó)內(nèi)卡，它的知名在于萬(wàn)事達(dá)卡國(guó)際組織一直本著服務(wù)持卡人的信念，提供持卡人最新、最完整的支付服務(wù)，因而受到全世界持卡人的認(rèn)同。萬(wàn)事達(dá)卡在虛擬和現(xiàn)實(shí)兩個(gè)世界里實(shí)現(xiàn)著全面的支付解決方案。萬(wàn)事達(dá)卡在全球擁有多達(dá)1，900萬(wàn)個(gè)的接受點(diǎn)和商戶，萬(wàn)事達(dá)卡國(guó)際組織于1988年進(jìn)入中國(guó)，目前國(guó)內(nèi)主要商業(yè)銀行都是其會(huì)員。萬(wàn)事達(dá)卡國(guó)際組織在幫助中國(guó)的銀行卡業(yè)從起步到發(fā)展上都起到了不可磨滅的作用，目前大多數(shù)中國(guó)會(huì)員銀行的信用卡都使用萬(wàn)事達(dá)卡的品牌。

2．MasterCard SPA

SPA(安全支付應(yīng)用) 是MasterCard提出的信用卡支付認(rèn)證方案， 最常見(jiàn)的方案為基于服務(wù)器的錢(qián)包方案， 持卡人通過(guò)PIN訪問(wèn)電子錢(qián)包并發(fā)起SPA支付。

發(fā)卡行需要安裝符合SPA的錢(qián)包服務(wù)器，并與后端的賬戶系統(tǒng)集成以供持卡人訪問(wèn)。發(fā)卡系統(tǒng)需要提供注冊(cè)流程并向持卡人提供電子錢(qián)包軟件。在交易流程中，SPA錢(qián)包服務(wù)器負(fù)責(zé)生成安全令牌（AAV），并通過(guò)UCAF字段傳送至商家以及收單行，最后返回發(fā)卡行以做交易驗(yàn)證。為此，MasterCard升級(jí)了原有的銀行網(wǎng)絡(luò)以支持AAV的傳輸。收單行需要對(duì)原有的標(biāo)準(zhǔn)SSL支付網(wǎng)關(guān)加裝補(bǔ)丁和插件， 以支持AAV的接收和傳遞。商家也需要升級(jí)其購(gòu)物系統(tǒng)以支持UCAF字段。持卡人所下載的電子錢(qián)包軟件屬于“瘦”系統(tǒng)，不包含SET錢(qián)包中的個(gè)人證書(shū)。當(dāng)消費(fèi)者在商家頁(yè)面購(gòu)物并進(jìn)入SPA兼容的支付頁(yè)面時(shí)，該插件即被激活。這種方式允許發(fā)卡行提供更多的增值服務(wù)， 如表單自動(dòng)完成功能以加快支付流程等等。另外，在一次購(gòu)物流程中消費(fèi)者可以選擇多個(gè)商家， 而只需進(jìn)行一次認(rèn)證過(guò)程。

3．網(wǎng)上支付安全認(rèn)證--萬(wàn)事達(dá)安全碼：

萬(wàn)事達(dá)卡安全碼是一種為全球互聯(lián)網(wǎng)零售商及金融機(jī)構(gòu)設(shè)計(jì)的安全解決方案，該方案有效解決了電子商務(wù)中最緊迫的三個(gè)問(wèn)題：持卡人對(duì)在線購(gòu)物的安全性猶豫不決，發(fā)卡人在持卡人在線購(gòu)物時(shí)需要對(duì)其身份進(jìn)行遠(yuǎn)程驗(yàn)證，互聯(lián)網(wǎng)零售商迫切希望獲得支付保證。

萬(wàn)事達(dá)卡安全碼安裝在零售商的網(wǎng)站上，并與持卡人和發(fā)卡人進(jìn)行信息傳輸。當(dāng)顧客與從事電子商務(wù)的商戶結(jié)賬時(shí)，會(huì)出現(xiàn)一個(gè)窗口，要求客戶輸入一個(gè)已在銀行注冊(cè)過(guò)的個(gè)人專有密碼。銀行對(duì)持卡人的身份驗(yàn)證之后會(huì)向電子商務(wù)零售商提供在線購(gòu)買(mǎi)證明。

（三）VISA 3DSecure與MasterCard SPA兩種支付認(rèn)證方案的不同點(diǎn)：

1．Visa的3D-Secure方案最初為基于互聯(lián)網(wǎng)的中心目錄服務(wù)系統(tǒng)，不涉及原有的Visa網(wǎng)絡(luò)，也不需客戶端的電子錢(qián)包，而SPA為支持AAV的傳輸 MasterCard需要升級(jí)原有的銀行網(wǎng)絡(luò)，而且需要客戶端的電子錢(qián)包；

2．SPA方案在一次購(gòu)物流程中消費(fèi)者可以選擇多個(gè)商家， 而只需進(jìn)行一次認(rèn)證過(guò)程，這是SPA相對(duì)3D-Secure的優(yōu)勢(shì)所在。

3．3D-Secure方案對(duì)于發(fā)卡行和商家來(lái)說(shuō)是一個(gè)前端方案，不需要改變后端系統(tǒng)，而SPA方案為后端方案，需要對(duì)發(fā)卡行和收單行的后端系統(tǒng)進(jìn)行升級(jí)個(gè)改變。

四、小結(jié)

電子商務(wù)的發(fā)展對(duì)技術(shù)的要求越來(lái)越高，針對(duì)信用卡進(jìn)行電子支付存在的眾多問(wèn)題，國(guó)際相關(guān)信用卡組織會(huì)順應(yīng)時(shí)代的變化出臺(tái)更加安全的認(rèn)證方案。據(jù)了解，VISA與MASTERCARD已聯(lián)手推出結(jié)合3DSecure和SPA兩種認(rèn)證方案優(yōu)點(diǎn)的認(rèn)證方案。我想，在不久的將來(lái)，我們應(yīng)用信用卡進(jìn)行電子支付將會(huì)成為無(wú)懈可擊的安全支付，信用卡支付也將會(huì)成電子支付的主流方向。

參考文獻(xiàn)

[1]管會(huì)生：《電子商務(wù)安全與管理》，科學(xué)出版社

[2]帥青紅：《電子支付結(jié)算系統(tǒng)》，西南財(cái)經(jīng)大學(xué)出版社

[3]楊堅(jiān)爭(zhēng)、趙雯：《電子商務(wù)安全與電子支付》，機(jī)械工出版社

[4]劉剛、范昊：《網(wǎng)上支付與金融服務(wù)》，華中師范大學(xué)出版社