关于第三方支付平台的安全性

关于第三方支付平台的安全性

摘要：非金融机构提供支付服务，满足了电子商务企业和个人的支付需求，大大促进了电子商务的发展。随着第三方支付的广泛应用，其安全性问题也越来越突出。由于我国电子支付方面的法律较为滞后，对第三方支付市场监管不够，第三方支付产品质量参差不齐，在技术和管理上存在很多安全问题，用户的交易安全和个人信息受到威胁。国家出台了相应的管理办法，对第三方支付机构进行规范，实行行政许可。本文作者参加了多家第三方平台的测评工作，对第三方平台存在的安全问题进行了归纳总结，并提出了提高第三方支付平台安全性的建议。

关键词：第三方支付信息安全互联网支付交易安全个人信息保护

随着信息技术、网络通信技术的迅速发展，以及电子商务的应用需求，越来越多的非金融机构借助互联网、手机等广泛参与支付业务。非金融机构提供支付服务，与银行业既合作又竞争，已经成为一支重要的力量。非金融机构支付服务，是指非金融机构在收付款人之间作为中介机构提供货币资金转移服务，服务包括网络支付、预付卡的发行与受理、银行卡收单及中国人民银行确定的其他支付服务，非金融机构支付服务可以是上述服务的部分或全部。这些非金融机构被称作“第三方支付机构”。

非金融机构支付服务的多样化、个性化等特点较好地满足了电子商务企业和个人的支付需求，促进了电子商务的发展，在支持“刺激消费、扩大内需”等宏观经济政策方面发挥了积极作用。虽然非金融机构的支付服务主要集中在零售支付领域，其业务量与银行业金融机构提供的支付服务量相比还很小，但其服务对象非常多，主要是网络用户、手机用户、银行卡和预付卡持卡人等，其影响非常广泛。目前国内约有300多家第三方支付机构，其中多数从事互联网支付、手机支付、电话支付以及发行预付卡等业务。

一、第三方支付平台存在的安全问题

随着第三方支付的广泛应用，其安全性问题也越来越突出。由于我国电子支付方面的法律较为滞后，对第三方支付市场监管不够，目前存在的300多家第三方支付产品质量参差不齐，机构员工安全意识薄弱，安全防护措施不够，用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面：

⏹第三方支付机构安全意识薄弱

相对于银行业金融机构，非金融支付机构安全意识还比较淡薄，还不能充分认识到信息安全面临的形势和信息安全工作的重要性，对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视，就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识，他们认为信息科技引发的案件是科技部门的事，与己无关，认为信息安全案件都是偶然发生，存在侥幸心理。从而导致安全措施执行不到位，安全制度无法贯彻的现象。正是这些安全意识上的薄弱环节，导致了安全威胁有机可乘。很多信息安全事件往往不是因为技术原因，而是由于系统运维人员的疏忽或不作为引发的。安全意识薄弱是安全问题发生的根源。

⏹安全管理机构不健全安全管理制度不完善

多数第三方支付机构还没有形成信息安全组织结构，管理较混乱，安全管理人员配备不足。信息安全管理制度还不成体系，没有建立总体方针，安全管理制度和操作规程缺失，安全策略不完整等，且已有的安全管理制度也不完善。以上问题易使工作上出现较大的漏洞，操作上出现失误，引发安全事故，造成损失。

⏹安全技术防护能力薄弱

在第三方支付平台建设中，没有充分重视安全技术防护能力的建设，安全技术防护能力薄弱。有些支付系统中没有部署防火墙和入侵检测系统，没有划分安全域，没有安全事件监控、统一防病毒等防护措施；重要数据的传输和存储存在安全隐患，重要网络设备没有进行安全策略配置；应急处理方案不完备，应对和处理危机的能力还比较弱。以上问题易使非法访问网络系统、假冒网络终端/操作员、用户信息被窃取、截获和篡改传输数据等安全事件发生，而且不能及时响

应和控制事件的影响。

⏹应用程序中存在安全漏洞

系统上线前，没有对应用程序进行全面的测评，致使生产系统存在功能、安全性及性能方面的问题。通过对第三方支付系统应用程序的检测，发现了大量的安全隐患，如SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼以及登录方式不安全等，这些安全隐患可以被不法分子利用，窃取系统数据或用户的敏感信息，给第三方支付机构和用户造成严重损失。

⏹个人信息不能得到保护

有些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号，个别网站在设计上存在问题，致使这些信息很容易被泄露。第三方支付平台隐私政策不合理，免责条款过多，用户为了使用其服务只能同意该条款，导致发生问题时维权艰难。第三方支付机构除了应采用技术手段对个人信息进行保护之外，还应该以文件、政策或公告的方式，在网站上公开对用户信息的安全进行承诺。

二、国家对第三方支付的监督管理

我国电子商务自20世纪90年代起步以来，很快进入快速发展期，交易额以年均40%的速度增长。2009年，交易规模达到3.8万亿元，电子商务已渗透到经济和社会各个层面。与此同时，有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题，需要高度关注。如何促进非金融机构支付服务市场的健康发展，关系到电子商务的成败，关系到中国支付网络体系的安全与效率。

2009年4月，人民银行发布公告，对从事支付业务的非金融机构进行登记。2010年6月14日，人民银行发布《非金融机构支付服务管理办法》（以下简称《管理办法》），对非金融机构支付业务实施行政许可。2010年12月，发布《非金融支付服务管理办法实施细则》（以下简称《实施细则》）。《管理办法》和《实施细则》的发布，意味着我国非金融机构支付市场监管的基本原则已经确立。

《管理办法》中规定对于《支付业务许可证》的申请人必须具备符合要求的

支付业务设施，在申请许可证时，支付业务设施必须符合中国人民银行规定的技术和安全标准，提交“技术安全检测认证证明”。由此可见，央行对非金融机构支付的技术和安全性的高度重视，技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环节。

三、提高第三方支付平台安全性的建议

政府应加强监管力度

通过《管理办法》和《实施细则》的发布和实施，一些具备良好资信水平、较强盈利能力和一定从业经验的非金融机构进入支付服务市场，在中国人民银行的监督管理下规范从事支付业务，切实维护了社会公众的合法权益。整个第三方支付平台的安全性有了一定的保障。但这样还不够，应进一步强管理和监控，可以考虑将第三方支付机构纳入金融机构的安全管理体系，使其遵循金融机构相关的安全管理制度和标准规范。

第三方支付机构应增强安全意识，加强信息安全体系建设

信息安全教育和培训是信息安全管理工作的重要基础，在实际工作中，大部分信息技术风险要依靠员工进行有效的控制，因此需要通过宣传、培训和教育等手段提升员工的信息安全认知（包括提高安全意识、了解安全职责、培养安全技能），发挥员工在信息安全管理中的主观能动性，以自律的方式来实现信息安全保障。

建立全面、科学的信息安全管理体系。建立人员结构合理的安全组织结构。加强信息安全队伍建设，充实信息安全管理队伍，完善激励机制。建立完整的信息安全策略，主要包括信息安全策略方针、安全规章制度、安全操作流程和设备操作指南等方面。完善信息安全应急恢复体系，推进信息安全风险评估，实行信息安全等级保护，健全信息安全标准规范和有关制度。

构建科学合理的安全技术保障体系。加大网络安全设施建设力度，加强网络边界防护，实施网络安全域控制；加强软件开发控制，对软件进行安全测评和漏洞扫描；保障基础设施和物理环境的安全，加强检测、监控和审计措施，实施安全加固；加强备份管理，建立灾备中心，保证支付业务的连续性。