信息安全服务:资金变动短信通知。
安全宣传:公司网站安全中心宣传,安全厂商等联合宣传等。
安全合作:与银行、安全生产商合作。
分析简评:在安全资源投入和联盟合作具有一定的优势,但是在组织架构对于安全的重视不足。同时,其为商家提供了可定制化奉献解决方案服务,这点比较突出。
环迅支付
组织架构:专设风控部、合规部和客服部三个一级部门。
系统安全:符合央行标准的安全系统、风险系统和资金管理制度。
安全产品:安全控件、动态口令卡、数字证书、验证码等。
信息安全服务:资金变动短信通知、邮件通知。
赔偿机制:过错赔偿机制。
安全宣传:专门网站安全提醒页面以及315投诉网站宣传等。
安全合作:与银行、安全生产商合作。
分析点评:环迅支付在各项指标上并没有突出表现,不过其利用国际技术,自主研发了反欺诈系统。
支付企业存在的问题
虽然支付企业在支付安全上下了不少功夫,投入了大量的人力物力等资源,但是,目前支付企业在支付安全上仍然存在着一些问题有待解决和提升。根据中国金融认证中心介绍,可以看出支付企业存在以下问题:
承载支付业务的IT系统存在漏洞:一是开发运营环境方面,包括开发测试环境同生产环境未严格分离;数据未经清洗即交由开发测试使用;系统版本变更流程界面不清晰。二是IT系统基础环境方面,包括身份验证薄弱;逻辑访问控制不严;应用身份鉴别机制存在缺陷;WEB安全引起的服务器被攻击及前端用户敏感信息泄露;数据存储及备份安全。
互联网支付本身业务控制薄弱:数据分级控制不严格导致用户敏感数据外流;促销活动功能模块逻辑不严格引发的漏洞;涉及线下票据处理的状态不一致。
开展支付业务公司管理控制存在疏忽:客户备付金管理无审核控制机制;差错处理流程无审核控制机制;商户审核及风险分类机制不够健全。
用户主要面临的安全问题
虽然银行和第三方支付企业采取了多种安全措施对用户进行安全保障,然而,在支付交易过程中,安全事件频繁。目前,主要的问题有以下几类:
遭遇木马,盗取密码:使用户感染综合性木马,综合性木马具有屏幕查看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号,密码、交易密码,再利用远程控制功能操纵用户计算机进行转账。
钓鱼网站,诱骗支付:不法分子冒充卖家,在用户准备交易时谎称网络有问题,发给用户一个网址链接,用户点击该链接后往往与支付页面类似。用户在该页面进行支付后,卖家说没有收到付款。当用户从通过正常登录网银查询时,也没有显示付款信息。实际是不法分子通过钓鱼网站,诱使用户支付到其他账户,导致资金损失。
冒充客服,骗取信息:不法分子冒充客服或卖家,诱使用户登录钓鱼网站,获取用户名、密码、安全保护问题及答案,然后利用安全保护问题及答案撤销手机绑定,同时避开手机动态口令限制,或者获取用户手机动态口令,盗取资金。
U盾不拔,远程监控:用户使用完U盾,尤其是在公共电脑支付完后,没有及时拔出支付盾,被不法分子远程控制“借用”。