为了应对银行卡频繁被盗刷，央行近日发布《中国人民银行关于逐步加强银行卡风险管理的通知》（下称《通知》），要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作，要求年底一定要采用支付令牌化技术，以及多因素身份验证。

  《通知》明确要求“自2016年12月1日起，各商业银行、支付机构应使用支付标记化技术（Tokenization），对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和欺诈交易风险”。

  据介绍，与传统基于卡号的交易传递过程相比，支付标记化方案替代了原始卡号和有效期，根本上杜绝了敏感信息泄露的可能。

  同时，通过域控属性限定交易场景（如交易类型、使用次数、交易金额、有效期、支付渠道、商户名称等），即便支付标记本身被泄露，其影响区域也大幅度的降低。此外，收单机构还能借助支付标记的担保级别实现对交易风险的控制，逐步降低风险。

  《通知》规定，自2016年11月1日起，各商业银行在基于银行卡与商业机构支付机构建立关联联系时，应严格采用多因素身份验证方式，直接鉴别客户身份，并取得客户授权。

  某银行电子支付有关人员和记者说，前述关联业务主要是指快捷支付。快捷支付没有验证银行卡密码，并不是特别需要U盾、口令或网银，安全风险隐患较大，近年因此造成的网络支付纠纷快速上升。

  《通知》指出，前述关联业务的身份鉴别应采取以下组合方式之一：一是采用符合《金融电子认证规范》的数字证书，并组合交易密码等至少一种认证因素；二是采用符合《动态口令密码应用技术规范》的动态令牌设备，并组合交易密码等至少一种认证因素；三是至少组合两种动态认证因素（如动态验证码、基于客户行为的动态挑战应答等），并采用语音、短信数据(如手机银行、即时通讯、邮件)等至少两种不同的通信渠道。

  前述银行的人说，多重身份验证这一监督管理要求此前已多次明确要求，但至今第三方支付机构基本都未落实。此次监督管理要求的三种方式，对银行来说并无太大难度，关键还要看支付机构的配合。不过，该人士补充道，在此规定下，支付机构需要额外增加新的验证手段，快捷支付或将变得不快捷。

  值得关注的是，此次《通知》亦强调对违规支付行为从严处罚。《通知》要求严格落实各项银行卡支付的有关法律法规，加大督察处罚力度。对于违反相关规定的行为将从严处罚，对于违规情节严重的支付机构，还将按照有关法律法规调低分类评级机制，直至注销《支付业务许可证》。

  《通知》提出“自2017年5月1日起，全面关闭芯片磁条复合卡的磁条交易”，并要求商业银行加快存量磁条卡更换为金融IC卡的进度。

  又可翻译为支付令牌化，是由国际芯片卡标准化组织EMVCo于2014年正式对外发布的一项最新技术，即使用唯一的一个支付标记（与主卡号保持一致，一般由13至19位的数字组成）来替代银行主账号进行交易验证。返回搜狐，查看更加多