AG亚游支付网首页
囊括国内所有第三方支付公司信息
为客户提供最优质的支付接口服务
24小时服务电话
182-2176-9212
站内搜索
您当前的位置:主页 > 相关文档 >

第三方支付标准化发展之路

添加时间:2014-12-26 20:48

  第三方支付机构指独立于电子商务商户和银行,为商户和消费者 ( 在交易过程中,消费者可能是其他商户 ) 提供支付服务的机构。据统计,2012 年我国第三方支付业务交易规模已达到 10.1 万亿。作为现代金融服务业的重要组成部分,第三方支付机构不仅在促进电子商务发展、弥补银行服务功能空白、提高金融交易效率方面做出了突出贡献,也在健全现代金融体系、完善现代金融功能、实现现代金融内涵方面发挥了重要作用。

  目前,累计有 269 家支付机构获得了中国人民银行颁发的支付牌照。随着越来越多的企业参与到第三方支付领域,整个行业进入了重要的战略转型期。为了应对日益激烈的市场竞争,第三方支付机构均在不断加强产品和服务创新,实施差异化经营,行业发展模式也从单一化转向多元化。以易宝支付为例,提出了“支付 + 金融”的战略:一方面,深入传统行业精耕细作,提供线上线下融合的具有行业特色的行业支付解决方案;另一方面,积极开发金融创新产品,面向中小企业提供授信、融资等服务,进军互联网金融领域。

  为确保我国支付清算体系的稳定运行、防范化解第三方支付企业在运作过程中的风险,我国行业监管部门陆续出台了有关规定,从业务、技术等不同层面,对第三方支付机构提出了监管细则要求。

  加强信息安全保障,确保用户交易信息和资金安全,是监管机构关注的重要内容;而且,随着全国人大《个人信息保护法》相关立法工作的持续推进,以及近期媒体对打击非法获取公民个人信息活动接连报道,信息安全在支付交易过程的重要性进一步凸显。

  1、 第三方支付标准化现状。

  随着第三方支付的蓬勃发展,中国人民银行以及工信部以解决当前行业最迫切需求为出发点,均开展了相关技术标准的研制工作,围绕支付领域前沿技术陆续颁布了移动支付、金融 IC 卡相关的一系列标准,这些标准从芯片、安全算法、接口、数据交换格式、信息安全等多个方面进行了规范,为实现行业内互联互通、保障支付安全奠定了良好的技术基础。

  目前与支付行业相关的标准主要来自如下几个方面:

  (1) 国家相关主管部门颁布的标准:人民银行颁布了中国金融移动支付系列标准、中国金融集成电路 (IC) 卡规范系列标准;国家标准化管理委员会发布的基于射频的移动支付系列标准;公安部信息系统安全等级保护系列标准等。

  (2) 国际标准化组织颁布的标准:主要有 ISO/IEC 27001 信息安全管理体系、ISO/IEC 20000 IT 服务管理体系;信息安全管理体系强调在组织内部,通过“风险评估”、“风险管理”切入企业的信息安全需求,对一个组织运行所必需的 IT 系统和信息的保密性、完整性、可用性提供保护,提高投资回报率,降低由信息安全事故造成的损失及业务中断的风险。

  IT 服务管理体系提供了在服务的生命周期中所有阶段采用整合的过程方法,明确了策划、建立、实施、运行、监视、回顾、保持和改进 IT 服务管理体系的要求,实现组织内部 IT 部门的服务管理的标准化、流程化、专业化,实现 IT 服务管理的更有效和更高效。

  (3) 国际卡组织颁布的标准:支付机构一般在做外卡业务时,都需要通过由 PCI 安全标准委员会 (Payment card industry Security Standards Council)发布的支付卡行业数据安全标准 (Payment CardIndustry Data Security Standard,简称“PCI DSS”)。

  PCI DSS 由 PCI 安全标准委员会的创始成员 (Visa、Mastercard、American Express、Discover FinancialServices、JCB 等 ) 制定,旨在使国际上采用一致的数据安全措施。PCI DSS 对于支付网关的安全方面作出标准的要求,包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS 适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。

  PCI DSS 包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。

  上述三方面标准中,第一类标准虽然都不是强制标准,但为了实现互联互通,确保业务能够顺利开展,支付公司通常都必须予以遵守。比如,人民银行《非金融机构支付业务设施要求》是第三方支付机构在申请支付牌照过程中的强制检测项。

  后面的两类标准的采纳与否,主要和由于各支付机构其战略着眼点、业务发展方向有直接关系。

  但随着优质客户对信息安全、IT 规范化管理的要求越来越强烈,很多支付公司也纷纷引入此类标准,以期在激烈的市场竞争中获得优势。

  抛开纯粹的市场观点,吸收借鉴业内先进成熟的信息技术标准,对于完善支付机构信息系统架构、建立科学的运营体系,实现规范化管理,降低系统信息安全风险是非常有必要的。以易宝支付为例,易宝支付先后通过了 ISO/IEC 27001、PCI DSS 等国际权威信息安全认证,建立了良好的信息安全管理体系。不仅提升了系统的安全等级,还增加了外部竞争的砝码,增强了外部监管单位以及用户对公司的信心,起到了很好的品牌宣传效果。

  2、标准化过程中存在的问题。

  第三方支付机构在企业内部实施标准化过程当中还存在很多问题,可概括为如下三点:

  (1) 在实施标准化过程中如何更好地兼顾效率、成本和收益。

  虽然第三方支付机构在纳入行业监管后,其运营正向着规范化、标准化方向迈进,但AG亚游必须清醒地认识到,对于大部分支付机构而言,还停留在为了拿牌照不得不按标准实施的认知层面。作为一个纯粹市场经济下运作的企业,对投入产出比非常看重,标准实施带来的收益如果不能大于资源投入成本,他们是没有动力做这件事情的。因此,如何引导支付机构,特别是影响高层,树立正确的意识,在效率、成本和收益之间做好平衡,是直接影响企业标准化的重要因素。

  (2) 在实施过程中,存在一劳永逸思想,未能持续完善。

  任何一项标准的引入,在企业中都需要不断完善,应采用 PDCA (“Plan-Do-Check-Act”) 的过程,对标准实施效果进行检测,并针对差距找到应对办法,从而使标准的执行更符合企业实际情况。不能把标准化当成应付差事,做完就束之高阁。

  (3) 标准不融合带来的重复检测和重复认证。

  在现有的各标准中,很多要求都是类似或重合的。比如央行对支付业务技术设施的要求,和等级保护的要求非常相近,但是在过检测认证的时候,通常每项标准都要单独检测和认证,无形中增加了企业人力、财力上的负担。这就要求建立适合企业自己特点的标准体系框架,将各标准融合成为一个整体,确保标准在执行过程中的自洽性,减少重复工作,降低标准维护成本。

  3、趋势展望。

  根据《电子商务“十二五”发展规划》,“十二五”期间,电子商务交易规模将突破 18 万亿,第三方支付行业总体前景广阔。移动支付将在未来 2~3 年随着移动智能终端的普及、3G 和 4G 网络的推广、二维码等技术的使用,以及标准的统一,进入高速成长期;此外,随着全球网络购物市场的发展,消费者的跨境网购需求日益强烈,加上人民币国际化程度不断提高,跨境支付将成为新的增长点。随着越来越多的金融创新产品的出现,如何处理好业务快速发展、业务创新和标准的关系,也成为摆在AG亚游面前的一个新的课题。

  (1) 基于风险和信息安全的标准将得到强化,为业务创新提供基线保障。

  企业如果想在竞争中脱颖而出,必须持续不断的开展业务创新。但不管是基于监管部门的考虑,还是从企业自身运作考虑,都必须确保业务开展过程中风险可控、系统安全可靠。未来支付行业标准将强化风险、安全的控制措施,以确保守住创新的底线,为企业业务创新提供基线保障。

  (2) 支付标准趋同金融标准从监管部门的整体思路来看,针对第三方支付机构的监管将逐步趋同商业银行,支付标准也将向金融标准靠拢。在可见的未来,将针对第三方支付机构单独制定标准的情况会越来越少,更多情况下,是第三方支付机构遵守某项金融标准。

  (3) 基于不同标准的检测认证,部分内容实现互认。

  就现有的各种标准来看,特别是信息技术类中的安全要求,其中重合内容很多,在执行这些标准过程中,企业通常会将其按照自身的体系加以融合。

  而现阶段的检测认证要求,不同的标准要分别进行检测和认证,这不仅增加了企业的成本,还对企业正常经营造成很多不便。有关检测认证机构正在研究基于不同标准中,某些相同部分的要求在检测认证过程中实现互认,降低重复工作带来的无谓社会消耗和成本。