萬(wàn)事達(dá)卡中國(guó)區(qū)安全解決方案拓展副總經(jīng)理諸景瑜

　　中國(guó)的數(shù)字經(jīng)濟(jì)高速發(fā)展并步入黃金期，成為帶動(dòng)經(jīng)濟(jì)增長(zhǎng)的核心動(dòng)力。截至2017年底，中國(guó)數(shù)字經(jīng)濟(jì)規(guī)模已達(dá)27.2萬(wàn)億元，占GDP的比重達(dá)到將近33%。此外，根據(jù)萬(wàn)事達(dá)卡財(cái)新BBD中國(guó)新經(jīng)濟(jì)指數(shù)，新經(jīng)濟(jì)投入在2018年8月占整體經(jīng)濟(jì)投入的29.1%。在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的背后，我們看到了兩個(gè)正在發(fā)揮基石作用的關(guān)鍵因素，那就是信任與安全。

　　“一旦失去公眾的信任，數(shù)字經(jīng)濟(jì)的繁榮也就無(wú)從談起。”這是萬(wàn)事達(dá)卡在2017年中國(guó)發(fā)展高層論壇期間發(fā)表的白皮書(shū)《數(shù)字時(shí)代——保障安全，促進(jìn)發(fā)展》中著重提出的一個(gè)觀點(diǎn)。值得欣慰的是，自2017年以來(lái)，數(shù)字信任、數(shù)據(jù)保護(hù)與支付安全等話(huà)題受到了前所未有的關(guān)注。

　　在中國(guó)，《網(wǎng)絡(luò)安全法》已自2017年6月1日起施行，在鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用的同時(shí)，尤其強(qiáng)調(diào)了對(duì)個(gè)人信息的保護(hù)。這對(duì)于數(shù)據(jù)保護(hù)、支付安全乃至中國(guó)數(shù)字經(jīng)濟(jì)的健康發(fā)展都具有里程碑式的意義。此外，歐盟《通用數(shù)據(jù)保護(hù)條例》目前也已生效，其影響遠(yuǎn)遠(yuǎn)超越地理疆域，覆蓋數(shù)據(jù)流通的全球網(wǎng)絡(luò)空間。

　　一、安全第一

　　萬(wàn)事達(dá)卡注意到，數(shù)字經(jīng)濟(jì)的發(fā)展帶來(lái)了消費(fèi)方式的巨大變化。如今，更多交易通過(guò)無(wú)卡方式完成，而且交易渠道不僅局限于商戶(hù)網(wǎng)站、手機(jī)App等互聯(lián)網(wǎng)交易渠道，眾多的物聯(lián)網(wǎng)設(shè)備也越來(lái)越多地在日常生活中承擔(dān)了支付終端的角色。這些可用于支付的終端數(shù)量增長(zhǎng)非常驚人。截至2017年底，全球POS終端總數(shù)達(dá)到1.09億臺(tái)。而業(yè)界對(duì)物聯(lián)網(wǎng)的預(yù)期是，在未來(lái)的3年內(nèi)，即到2020年，全球可用于支付的物聯(lián)網(wǎng)終端將超過(guò)200億臺(tái)。

　　伴隨著這樣驚人的增長(zhǎng)速度，我們看到了構(gòu)建信任與安全所面臨的新一輪挑戰(zhàn)。無(wú)論是現(xiàn)在還是過(guò)去，安全問(wèn)題沖擊的都是信任的根基。十多年前，信用卡消費(fèi)主要通過(guò)磁條卡刷卡完成，不法分子竊取支付信息的手段相對(duì)有限，主要是通過(guò)磁條信息側(cè)錄。而如今，不法分子利用各類(lèi)技術(shù)手段，不斷攻擊支付終端以及數(shù)字錢(qián)包和綁卡支付等創(chuàng)新支付方式的安全薄弱環(huán)節(jié)，采用釣魚(yú)、木馬病毒、黑客技術(shù)和撞庫(kù)等方式大規(guī)模地竊取客戶(hù)信息。

　　以信用卡為例，無(wú)論消費(fèi)者來(lái)自世界哪個(gè)地方，安全其實(shí)都是其首要關(guān)心的問(wèn)題。埃森哲最新發(fā)布的《全球消費(fèi)者動(dòng)態(tài)調(diào)研》報(bào)告就明確指出，如果個(gè)人數(shù)據(jù)安全得不到保障，消費(fèi)者寧愿放棄獲得更好體驗(yàn)的機(jī)會(huì)。

　　萬(wàn)事達(dá)卡2018 Money 20/20 Asia展臺(tái)

　　二、三方面發(fā)力智能風(fēng)控

　　若想構(gòu)建一個(gè)安全的支付體系，增強(qiáng)公眾對(duì)數(shù)字經(jīng)濟(jì)的信心，全面的安全策略非常有必要。因?yàn)橹Ц扼w系安全策略的有效性是由防范最薄弱的環(huán)節(jié)，也就是木桶原理中的短板所決定的。從萬(wàn)事達(dá)卡的全球?qū)嵺`出發(fā)，我們認(rèn)為應(yīng)當(dāng)從以下三個(gè)方面發(fā)力智能風(fēng)控，組成一套全面的安全策略。

　　1.賬戶(hù)真實(shí)性

　　確保交易賬戶(hù)的真實(shí)性是構(gòu)建安全支付體系的第一步。圍繞這一點(diǎn)，萬(wàn)事達(dá)卡正在與行業(yè)伙伴在全球范圍內(nèi)積極推行EMV標(biāo)準(zhǔn)，推動(dòng)發(fā)卡行將磁條卡向EMV標(biāo)準(zhǔn)的芯片卡遷移。同時(shí)，萬(wàn)事達(dá)卡也在努力推動(dòng)收單行的機(jī)具改造和芯片受理以及芯片的非接交易受理。

　　作為交易風(fēng)險(xiǎn)防范的應(yīng)用基礎(chǔ)，芯片卡從技術(shù)角度杜絕了復(fù)制卡片信息的問(wèn)題，最大限度地確保交易賬戶(hù)的真實(shí)性，進(jìn)而減少欺詐行為。2017年，萬(wàn)事達(dá)卡與國(guó)際芯片卡及支付技術(shù)標(biāo)準(zhǔn)組織EMVCo一起建立了基于EMV標(biāo)準(zhǔn)的全球統(tǒng)一的二維碼支付規(guī)范，并推出EMV QR產(chǎn)品規(guī)范，為二維碼支付在全球的持續(xù)健康發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

　　為從源頭切實(shí)防范支付風(fēng)險(xiǎn)，2016年，人民銀行下發(fā)《中國(guó)金融移動(dòng)支付支付標(biāo)記化技術(shù)規(guī)范》，強(qiáng)調(diào)自2016年12月1日起全面應(yīng)用支付標(biāo)記化技術(shù)。實(shí)際上，萬(wàn)事達(dá)卡早在2014年就已經(jīng)將該技術(shù)引入數(shù)字支付服務(wù)中，推出了萬(wàn)事達(dá)卡的數(shù)字支付服務(wù)(Mastercard Digital Enablement Service，MDES)。

　　萬(wàn)事達(dá)卡數(shù)字支付服務(wù)提供網(wǎng)絡(luò)級(jí)的支付標(biāo)記化服務(wù)平臺(tái)，幫助發(fā)卡行將賬號(hào)標(biāo)記化，生成一個(gè)獨(dú)特的標(biāo)記，并在整個(gè)交易環(huán)節(jié)對(duì)標(biāo)記進(jìn)行管理。在無(wú)卡交易中，標(biāo)記替代真實(shí)的個(gè)人賬號(hào)進(jìn)行信息傳遞。持卡人銀行卡卡號(hào)、有效期等敏感信息并不會(huì)儲(chǔ)存在移動(dòng)設(shè)備終端或支持綁卡交易的商戶(hù)數(shù)據(jù)庫(kù)里，即使移動(dòng)設(shè)備丟失或商戶(hù)數(shù)據(jù)庫(kù)受到攻擊，真正的銀行賬號(hào)信息也不會(huì)被泄露。

　　2.強(qiáng)化交易驗(yàn)證

　　越來(lái)越多的物聯(lián)網(wǎng)設(shè)備正成為支付終端，這使得無(wú)卡交易場(chǎng)景變得越來(lái)越普遍。因而，準(zhǔn)確地判斷交易背后是否確實(shí)是持卡人本人，對(duì)于保障支付安全變得愈發(fā)關(guān)鍵。

　　無(wú)卡支付普遍采用的驗(yàn)證方式是查驗(yàn)卡號(hào)、有效期和卡片背面的安全碼CVC2。為了更有效地解決卡片信息被冒用的問(wèn)題，萬(wàn)事達(dá)卡在十多年前推出了通過(guò)應(yīng)用3DS協(xié)議的SecureCode驗(yàn)證服務(wù)，即商戶(hù)收到持卡人的支付請(qǐng)求后，通過(guò)萬(wàn)事達(dá)卡網(wǎng)絡(luò)聯(lián)系發(fā)卡行，由發(fā)卡行與持卡人通過(guò)短信驗(yàn)證碼或預(yù)留網(wǎng)上支付密碼來(lái)進(jìn)行驗(yàn)證，核實(shí)當(dāng)前交易的真實(shí)性，防止卡片冒用交易的發(fā)生。目前，全球已有122個(gè)地區(qū)的100多萬(wàn)個(gè)網(wǎng)上商戶(hù)支持SecureCode。

　　隨著移動(dòng)互聯(lián)網(wǎng)在人們生活中的深入滲透，基于瀏覽器的3DS技術(shù)規(guī)范已經(jīng)難以適應(yīng)移動(dòng)終端上的在線交易需求，2016年，萬(wàn)事達(dá)卡與業(yè)界伙伴合作制定了EMV 3DS技術(shù)規(guī)范，也稱(chēng)3DS 2.0技術(shù)規(guī)范。相對(duì)于1.0的技術(shù)規(guī)范，新規(guī)范的主要改變體現(xiàn)在以下幾個(gè)方面。

　　第一，3DS的驗(yàn)證范圍有所擴(kuò)大，不僅可支持瀏覽器，還可支持手機(jī)瀏覽器及手機(jī)App。在支持付款驗(yàn)證的同時(shí)，也支持卡片驗(yàn)證。

　　第二，要求商戶(hù)為發(fā)卡行提供更多的信息，如持卡人在商戶(hù)端的交易環(huán)境信息、在商戶(hù)的消費(fèi)歷史是否良好等。

　　第三，支持發(fā)卡行根據(jù)商戶(hù)提供的信息做出風(fēng)險(xiǎn)評(píng)估(Risk based authentication，RBA)，并基于風(fēng)險(xiǎn)評(píng)估的結(jié)果決定采取何種驗(yàn)證流程。當(dāng)商戶(hù)信息評(píng)估結(jié)果為低風(fēng)險(xiǎn)交易時(shí)，直接判定為驗(yàn)證通過(guò)，這一操作在EMV規(guī)范中明確定義為“frictionless流程”;當(dāng)商戶(hù)信息評(píng)估結(jié)果為中風(fēng)險(xiǎn)或高風(fēng)險(xiǎn)時(shí)，系統(tǒng)會(huì)要求進(jìn)一步與持卡人進(jìn)行核實(shí)，如輸入短信驗(yàn)證碼等，也就是EMV規(guī)范中的“challenge流程”。

　　第四，發(fā)卡行與持卡人的驗(yàn)證方式可采用不同形式，更貼近移動(dòng)設(shè)備的用戶(hù)體驗(yàn)。

　　第五，商戶(hù)、交易網(wǎng)絡(luò)、發(fā)卡行之間的驗(yàn)證信息交互流程更加優(yōu)化，減少了數(shù)據(jù)傳輸對(duì)驗(yàn)證結(jié)果的干擾。

　　EMV 3DS不僅著眼于提升網(wǎng)上交易的安全性，還更注重在移動(dòng)互聯(lián)趨勢(shì)下為持卡人提供良好的客戶(hù)體驗(yàn)。

　　目前，萬(wàn)事達(dá)卡積極地在全球推進(jìn)這一規(guī)范的應(yīng)用，在中國(guó)市場(chǎng)也從2018年開(kāi)始全力推廣這一新的安全技術(shù)規(guī)范。考慮到新規(guī)范在全面推向市場(chǎng)的過(guò)程中不同參與者的進(jìn)度難以保持一致，萬(wàn)事達(dá)卡還將于2018年10月推出網(wǎng)絡(luò)級(jí)代評(píng)估(Stand-in RBA)服務(wù)，當(dāng)發(fā)卡行和商戶(hù)的EMV 3DS規(guī)范實(shí)施進(jìn)度出現(xiàn)不同步時(shí)，為低風(fēng)險(xiǎn)的交易提供體驗(yàn)良好的驗(yàn)證服務(wù)。

　　內(nèi)部帶有支付芯片的智能指環(huán)

　　3.交易本身的真實(shí)性

　　數(shù)字經(jīng)濟(jì)的發(fā)展以及社會(huì)信息的增加使數(shù)據(jù)數(shù)量爆炸式增長(zhǎng)，各行各業(yè)均在積極地挖掘數(shù)據(jù)的潛力。隨著數(shù)據(jù)分析的作用逐漸凸顯，無(wú)論是數(shù)字化還是非數(shù)字化的交易，其關(guān)鍵支付安全環(huán)節(jié)——對(duì)交易本身真實(shí)性的判斷已經(jīng)進(jìn)入一個(gè)新的發(fā)展階段。

　　自2012年起，萬(wàn)事達(dá)卡就觀察到全球范圍內(nèi)針對(duì)發(fā)卡行的欺詐攻擊案件有持續(xù)增長(zhǎng)的趨勢(shì)。隨著磁條卡的EMV遷移工作在全球推進(jìn)，以往不法分子通過(guò)側(cè)錄磁條制作假卡的作案方式逐漸轉(zhuǎn)向網(wǎng)上無(wú)卡交易的欺詐;欺詐攻擊也從ATM取現(xiàn)發(fā)展到利用BIN段攻擊、撞庫(kù)襲擊等，干擾發(fā)卡行正常的授權(quán)處理及內(nèi)部控制機(jī)制。在發(fā)生于2015年的一起案件中，我們看到有30個(gè)國(guó)家的近100家金融機(jī)構(gòu)同時(shí)遭受到來(lái)自300多個(gè)IP地址發(fā)起的攻擊。

　　萬(wàn)事達(dá)卡在2017年新加坡金融科技節(jié)上進(jìn)行“智慧城市模型”展示

　　三、全面的安全策略

　　通過(guò)充分利用交易網(wǎng)絡(luò)的大數(shù)據(jù)資源，萬(wàn)事達(dá)卡安全網(wǎng)(Mastercard Safety Net)為萬(wàn)事達(dá)卡的全球交易提供了網(wǎng)絡(luò)級(jí)監(jiān)測(cè)，可識(shí)別發(fā)卡行或交易處理商系統(tǒng)遭到的網(wǎng)絡(luò)攻擊，并有針對(duì)性地采取措施。目前，萬(wàn)事達(dá)卡安全網(wǎng)服務(wù)已覆蓋全球。在交易轉(zhuǎn)接過(guò)程中，萬(wàn)事達(dá)卡安全網(wǎng)對(duì)疑似有欺詐攻擊特征的交易進(jìn)行實(shí)時(shí)預(yù)警或攔截。同時(shí)，萬(wàn)事達(dá)卡安全網(wǎng)還將通知發(fā)卡行、收單行采取不同級(jí)別的響應(yīng)措施，提供獨(dú)立于發(fā)卡行或交易處理商系統(tǒng)的外部防御層，防范在短時(shí)間內(nèi)多個(gè)地點(diǎn)并發(fā)的欺詐風(fēng)險(xiǎn)。2017年，萬(wàn)事達(dá)卡安全網(wǎng)服務(wù)在全球成功阻止的來(lái)自面對(duì)面交易、網(wǎng)上交易和ATM渠道的欺詐攻擊金額超過(guò)460億美元。

　　一直以來(lái)，交易反欺詐都是發(fā)卡行處理交易授權(quán)時(shí)關(guān)注的焦點(diǎn)。通過(guò)充分利用全球網(wǎng)絡(luò)的交易授權(quán)、清算以及欺詐上報(bào)數(shù)據(jù)，萬(wàn)事達(dá)卡在十多年前就利用神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)建了網(wǎng)絡(luò)級(jí)實(shí)時(shí)交易評(píng)分模型(Expert Monitoring System，EMS)，針對(duì)不同交易渠道為發(fā)卡行提供實(shí)時(shí)的交易欺詐風(fēng)險(xiǎn)評(píng)估。在此基礎(chǔ)上，萬(wàn)事達(dá)卡于2016年首次引入人工智能技術(shù)，推出了智能決策解決方案(Decision Intelligence，DI)。在交易轉(zhuǎn)接的過(guò)程中，萬(wàn)事達(dá)卡智能決策解決方案可結(jié)合客戶(hù)價(jià)值細(xì)分、風(fēng)險(xiǎn)分析、交易時(shí)間、交易類(lèi)型、非面對(duì)面交易的商戶(hù)和使用設(shè)備等信息，為發(fā)卡行提供實(shí)時(shí)的交易級(jí)綜合評(píng)估，判斷交易是否符合持卡人的行為特征，幫助發(fā)卡行提升交易授權(quán)的準(zhǔn)確性，減少因誤判而拒絕交易的情況的發(fā)生。

　　萬(wàn)事達(dá)卡創(chuàng)新實(shí)驗(yàn)室工作人員演示自動(dòng)販賣(mài)機(jī)的支付功能

　　數(shù)字生態(tài)下信任機(jī)制的建設(shè)，需要我們以全新視角去理解安全問(wèn)題。圍繞支付安全的創(chuàng)新是萬(wàn)事達(dá)卡的首要任務(wù)之一，支付領(lǐng)域前所未有的變革正推動(dòng)著萬(wàn)事達(dá)卡安全創(chuàng)新路線圖的進(jìn)一步升級(jí)。

　　通過(guò)投資和創(chuàng)新長(zhǎng)期引領(lǐng)行業(yè)發(fā)展，萬(wàn)事達(dá)卡建立了多層次的安全支付體系。比如最近收購(gòu)了生物識(shí)別行為分析廠商N(yùn)uDataSecurity和美國(guó)AI領(lǐng)域的領(lǐng)軍企業(yè)Brighterion，這兩家高科技公司的先進(jìn)技術(shù)已經(jīng)被充分融合到萬(wàn)事達(dá)卡提供的安全解決方案之中。

　　未來(lái)，萬(wàn)事達(dá)卡將繼續(xù)貫徹創(chuàng)新與合作戰(zhàn)略，充分利用智能風(fēng)控手段為消費(fèi)者、商家、金融機(jī)構(gòu)和各界合作伙伴的支付安全提供保障，針對(duì)不同的支付場(chǎng)景打造更安全、便捷和智能的支付體驗(yàn)，助力數(shù)字信任機(jī)制的構(gòu)建。