萬事達(dá)卡中國區(qū)安全解決方案拓展副總經(jīng)理諸景瑜

　　中國的數(shù)字經(jīng)濟(jì)高速發(fā)展并步入黃金期，成為帶動經(jīng)濟(jì)增長的核心動力。截至2017年底，中國數(shù)字經(jīng)濟(jì)規(guī)模已達(dá)27.2萬億元，占GDP的比重達(dá)到將近33%。此外，根據(jù)萬事達(dá)卡財新BBD中國新經(jīng)濟(jì)指數(shù)，新經(jīng)濟(jì)投入在2018年8月占整體經(jīng)濟(jì)投入的29.1%。在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的背后，我們看到了兩個正在發(fā)揮基石作用的關(guān)鍵因素，那就是信任與安全。

　　“一旦失去公眾的信任，數(shù)字經(jīng)濟(jì)的繁榮也就無從談起。”這是萬事達(dá)卡在2017年中國發(fā)展高層論壇期間發(fā)表的白皮書《數(shù)字時代——保障安全，促進(jìn)發(fā)展》中著重提出的一個觀點(diǎn)。值得欣慰的是，自2017年以來，數(shù)字信任、數(shù)據(jù)保護(hù)與支付安全等話題受到了前所未有的關(guān)注。

　　在中國，《網(wǎng)絡(luò)安全法》已自2017年6月1日起施行，在鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用的同時，尤其強(qiáng)調(diào)了對個人信息的保護(hù)。這對于數(shù)據(jù)保護(hù)、支付安全乃至中國數(shù)字經(jīng)濟(jì)的健康發(fā)展都具有里程碑式的意義。此外，歐盟《通用數(shù)據(jù)保護(hù)條例》目前也已生效，其影響遠(yuǎn)遠(yuǎn)超越地理疆域，覆蓋數(shù)據(jù)流通的全球網(wǎng)絡(luò)空間。

　　一、安全第一

　　萬事達(dá)卡注意到，數(shù)字經(jīng)濟(jì)的發(fā)展帶來了消費(fèi)方式的巨大變化。如今，更多交易通過無卡方式完成，而且交易渠道不僅局限于商戶網(wǎng)站、手機(jī)App等互聯(lián)網(wǎng)交易渠道，眾多的物聯(lián)網(wǎng)設(shè)備也越來越多地在日常生活中承擔(dān)了支付終端的角色。這些可用于支付的終端數(shù)量增長非常驚人。截至2017年底，全球POS終端總數(shù)達(dá)到1.09億臺。而業(yè)界對物聯(lián)網(wǎng)的預(yù)期是，在未來的3年內(nèi)，即到2020年，全球可用于支付的物聯(lián)網(wǎng)終端將超過200億臺。

　　伴隨著這樣驚人的增長速度，我們看到了構(gòu)建信任與安全所面臨的新一輪挑戰(zhàn)。無論是現(xiàn)在還是過去，安全問題沖擊的都是信任的根基。十多年前，信用卡消費(fèi)主要通過磁條卡刷卡完成，不法分子竊取支付信息的手段相對有限，主要是通過磁條信息側(cè)錄。而如今，不法分子利用各類技術(shù)手段，不斷攻擊支付終端以及數(shù)字錢包和綁卡支付等創(chuàng)新支付方式的安全薄弱環(huán)節(jié)，采用釣魚、木馬病毒、黑客技術(shù)和撞庫等方式大規(guī)模地竊取客戶信息。

　　以信用卡為例，無論消費(fèi)者來自世界哪個地方，安全其實(shí)都是其首要關(guān)心的問題。埃森哲最新發(fā)布的《全球消費(fèi)者動態(tài)調(diào)研》報告就明確指出，如果個人數(shù)據(jù)安全得不到保障，消費(fèi)者寧愿放棄獲得更好體驗(yàn)的機(jī)會。

　　萬事達(dá)卡2018 Money 20/20 Asia展臺

　　二、三方面發(fā)力智能風(fēng)控

　　若想構(gòu)建一個安全的支付體系，增強(qiáng)公眾對數(shù)字經(jīng)濟(jì)的信心，全面的安全策略非常有必要。因?yàn)橹Ц扼w系安全策略的有效性是由防范最薄弱的環(huán)節(jié)，也就是木桶原理中的短板所決定的。從萬事達(dá)卡的全球?qū)嵺`出發(fā)，我們認(rèn)為應(yīng)當(dāng)從以下三個方面發(fā)力智能風(fēng)控，組成一套全面的安全策略。

　　1.賬戶真實(shí)性

　　確保交易賬戶的真實(shí)性是構(gòu)建安全支付體系的第一步。圍繞這一點(diǎn)，萬事達(dá)卡正在與行業(yè)伙伴在全球范圍內(nèi)積極推行EMV標(biāo)準(zhǔn)，推動發(fā)卡行將磁條卡向EMV標(biāo)準(zhǔn)的芯片卡遷移。同時，萬事達(dá)卡也在努力推動收單行的機(jī)具改造和芯片受理以及芯片的非接交易受理。

　　作為交易風(fēng)險防范的應(yīng)用基礎(chǔ)，芯片卡從技術(shù)角度杜絕了復(fù)制卡片信息的問題，最大限度地確保交易賬戶的真實(shí)性，進(jìn)而減少欺詐行為。2017年，萬事達(dá)卡與國際芯片卡及支付技術(shù)標(biāo)準(zhǔn)組織EMVCo一起建立了基于EMV標(biāo)準(zhǔn)的全球統(tǒng)一的二維碼支付規(guī)范，并推出EMV QR產(chǎn)品規(guī)范，為二維碼支付在全球的持續(xù)健康發(fā)展奠定了堅實(shí)的基礎(chǔ)。

　　為從源頭切實(shí)防范支付風(fēng)險，2016年，人民銀行下發(fā)《中國金融移動支付支付標(biāo)記化技術(shù)規(guī)范》，強(qiáng)調(diào)自2016年12月1日起全面應(yīng)用支付標(biāo)記化技術(shù)。實(shí)際上，萬事達(dá)卡早在2014年就已經(jīng)將該技術(shù)引入數(shù)字支付服務(wù)中，推出了萬事達(dá)卡的數(shù)字支付服務(wù)(Mastercard Digital Enablement Service，MDES)。

　　萬事達(dá)卡數(shù)字支付服務(wù)提供網(wǎng)絡(luò)級的支付標(biāo)記化服務(wù)平臺，幫助發(fā)卡行將賬號標(biāo)記化，生成一個獨(dú)特的標(biāo)記，并在整個交易環(huán)節(jié)對標(biāo)記進(jìn)行管理。在無卡交易中，標(biāo)記替代真實(shí)的個人賬號進(jìn)行信息傳遞。持卡人銀行卡卡號、有效期等敏感信息并不會儲存在移動設(shè)備終端或支持綁卡交易的商戶數(shù)據(jù)庫里，即使移動設(shè)備丟失或商戶數(shù)據(jù)庫受到攻擊，真正的銀行賬號信息也不會被泄露。

　　2.強(qiáng)化交易驗(yàn)證

　　越來越多的物聯(lián)網(wǎng)設(shè)備正成為支付終端，這使得無卡交易場景變得越來越普遍。因而，準(zhǔn)確地判斷交易背后是否確實(shí)是持卡人本人，對于保障支付安全變得愈發(fā)關(guān)鍵。

　　無卡支付普遍采用的驗(yàn)證方式是查驗(yàn)卡號、有效期和卡片背面的安全碼CVC2。為了更有效地解決卡片信息被冒用的問題，萬事達(dá)卡在十多年前推出了通過應(yīng)用3DS協(xié)議的SecureCode驗(yàn)證服務(wù)，即商戶收到持卡人的支付請求后，通過萬事達(dá)卡網(wǎng)絡(luò)聯(lián)系發(fā)卡行，由發(fā)卡行與持卡人通過短信驗(yàn)證碼或預(yù)留網(wǎng)上支付密碼來進(jìn)行驗(yàn)證，核實(shí)當(dāng)前交易的真實(shí)性，防止卡片冒用交易的發(fā)生。目前，全球已有122個地區(qū)的100多萬個網(wǎng)上商戶支持SecureCode。

　　隨著移動互聯(lián)網(wǎng)在人們生活中的深入滲透，基于瀏覽器的3DS技術(shù)規(guī)范已經(jīng)難以適應(yīng)移動終端上的在線交易需求，2016年，萬事達(dá)卡與業(yè)界伙伴合作制定了EMV 3DS技術(shù)規(guī)范，也稱3DS 2.0技術(shù)規(guī)范。相對于1.0的技術(shù)規(guī)范，新規(guī)范的主要改變體現(xiàn)在以下幾個方面。

　　第一，3DS的驗(yàn)證范圍有所擴(kuò)大，不僅可支持瀏覽器，還可支持手機(jī)瀏覽器及手機(jī)App。在支持付款驗(yàn)證的同時，也支持卡片驗(yàn)證。

　　第二，要求商戶為發(fā)卡行提供更多的信息，如持卡人在商戶端的交易環(huán)境信息、在商戶的消費(fèi)歷史是否良好等。

　　第三，支持發(fā)卡行根據(jù)商戶提供的信息做出風(fēng)險評估(Risk based authentication，RBA)，并基于風(fēng)險評估的結(jié)果決定采取何種驗(yàn)證流程。當(dāng)商戶信息評估結(jié)果為低風(fēng)險交易時，直接判定為驗(yàn)證通過，這一操作在EMV規(guī)范中明確定義為“frictionless流程”;當(dāng)商戶信息評估結(jié)果為中風(fēng)險或高風(fēng)險時，系統(tǒng)會要求進(jìn)一步與持卡人進(jìn)行核實(shí)，如輸入短信驗(yàn)證碼等，也就是EMV規(guī)范中的“challenge流程”。

　　第四，發(fā)卡行與持卡人的驗(yàn)證方式可采用不同形式，更貼近移動設(shè)備的用戶體驗(yàn)。

　　第五，商戶、交易網(wǎng)絡(luò)、發(fā)卡行之間的驗(yàn)證信息交互流程更加優(yōu)化，減少了數(shù)據(jù)傳輸對驗(yàn)證結(jié)果的干擾。

　　EMV 3DS不僅著眼于提升網(wǎng)上交易的安全性，還更注重在移動互聯(lián)趨勢下為持卡人提供良好的客戶體驗(yàn)。

　　目前，萬事達(dá)卡積極地在全球推進(jìn)這一規(guī)范的應(yīng)用，在中國市場也從2018年開始全力推廣這一新的安全技術(shù)規(guī)范?？紤]到新規(guī)范在全面推向市場的過程中不同參與者的進(jìn)度難以保持一致，萬事達(dá)卡還將于2018年10月推出網(wǎng)絡(luò)級代評估(Stand-in RBA)服務(wù)，當(dāng)發(fā)卡行和商戶的EMV 3DS規(guī)范實(shí)施進(jìn)度出現(xiàn)不同步時，為低風(fēng)險的交易提供體驗(yàn)良好的驗(yàn)證服務(wù)。

　　內(nèi)部帶有支付芯片的智能指環(huán)

　　3.交易本身的真實(shí)性

　　數(shù)字經(jīng)濟(jì)的發(fā)展以及社會信息的增加使數(shù)據(jù)數(shù)量爆炸式增長，各行各業(yè)均在積極地挖掘數(shù)據(jù)的潛力。隨著數(shù)據(jù)分析的作用逐漸凸顯，無論是數(shù)字化還是非數(shù)字化的交易，其關(guān)鍵支付安全環(huán)節(jié)——對交易本身真實(shí)性的判斷已經(jīng)進(jìn)入一個新的發(fā)展階段。

　　自2012年起，萬事達(dá)卡就觀察到全球范圍內(nèi)針對發(fā)卡行的欺詐攻擊案件有持續(xù)增長的趨勢。隨著磁條卡的EMV遷移工作在全球推進(jìn)，以往不法分子通過側(cè)錄磁條制作假卡的作案方式逐漸轉(zhuǎn)向網(wǎng)上無卡交易的欺詐;欺詐攻擊也從ATM取現(xiàn)發(fā)展到利用BIN段攻擊、撞庫襲擊等，干擾發(fā)卡行正常的授權(quán)處理及內(nèi)部控制機(jī)制。在發(fā)生于2015年的一起案件中，我們看到有30個國家的近100家金融機(jī)構(gòu)同時遭受到來自300多個IP地址發(fā)起的攻擊。

　　萬事達(dá)卡在2017年新加坡金融科技節(jié)上進(jìn)行“智慧城市模型”展示

　　三、全面的安全策略

　　通過充分利用交易網(wǎng)絡(luò)的大數(shù)據(jù)資源，萬事達(dá)卡安全網(wǎng)(Mastercard Safety Net)為萬事達(dá)卡的全球交易提供了網(wǎng)絡(luò)級監(jiān)測，可識別發(fā)卡行或交易處理商系統(tǒng)遭到的網(wǎng)絡(luò)攻擊，并有針對性地采取措施。目前，萬事達(dá)卡安全網(wǎng)服務(wù)已覆蓋全球。在交易轉(zhuǎn)接過程中，萬事達(dá)卡安全網(wǎng)對疑似有欺詐攻擊特征的交易進(jìn)行實(shí)時預(yù)警或攔截。同時，萬事達(dá)卡安全網(wǎng)還將通知發(fā)卡行、收單行采取不同級別的響應(yīng)措施，提供獨(dú)立于發(fā)卡行或交易處理商系統(tǒng)的外部防御層，防范在短時間內(nèi)多個地點(diǎn)并發(fā)的欺詐風(fēng)險。2017年，萬事達(dá)卡安全網(wǎng)服務(wù)在全球成功阻止的來自面對面交易、網(wǎng)上交易和ATM渠道的欺詐攻擊金額超過460億美元。

　　一直以來，交易反欺詐都是發(fā)卡行處理交易授權(quán)時關(guān)注的焦點(diǎn)。通過充分利用全球網(wǎng)絡(luò)的交易授權(quán)、清算以及欺詐上報數(shù)據(jù)，萬事達(dá)卡在十多年前就利用神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)建了網(wǎng)絡(luò)級實(shí)時交易評分模型(Expert Monitoring System，EMS)，針對不同交易渠道為發(fā)卡行提供實(shí)時的交易欺詐風(fēng)險評估。在此基礎(chǔ)上，萬事達(dá)卡于2016年首次引入人工智能技術(shù)，推出了智能決策解決方案(Decision Intelligence，DI)。在交易轉(zhuǎn)接的過程中，萬事達(dá)卡智能決策解決方案可結(jié)合客戶價值細(xì)分、風(fēng)險分析、交易時間、交易類型、非面對面交易的商戶和使用設(shè)備等信息，為發(fā)卡行提供實(shí)時的交易級綜合評估，判斷交易是否符合持卡人的行為特征，幫助發(fā)卡行提升交易授權(quán)的準(zhǔn)確性，減少因誤判而拒絕交易的情況的發(fā)生。

　　萬事達(dá)卡創(chuàng)新實(shí)驗(yàn)室工作人員演示自動販賣機(jī)的支付功能

　　數(shù)字生態(tài)下信任機(jī)制的建設(shè)，需要我們以全新視角去理解安全問題。圍繞支付安全的創(chuàng)新是萬事達(dá)卡的首要任務(wù)之一，支付領(lǐng)域前所未有的變革正推動著萬事達(dá)卡安全創(chuàng)新路線圖的進(jìn)一步升級。

　　通過投資和創(chuàng)新長期引領(lǐng)行業(yè)發(fā)展，萬事達(dá)卡建立了多層次的安全支付體系。比如最近收購了生物識別行為分析廠商N(yùn)uDataSecurity和美國AI領(lǐng)域的領(lǐng)軍企業(yè)Brighterion，這兩家高科技公司的先進(jìn)技術(shù)已經(jīng)被充分融合到萬事達(dá)卡提供的安全解決方案之中。

　　未來，萬事達(dá)卡將繼續(xù)貫徹創(chuàng)新與合作戰(zhàn)略，充分利用智能風(fēng)控手段為消費(fèi)者、商家、金融機(jī)構(gòu)和各界合作伙伴的支付安全提供保障，針對不同的支付場景打造更安全、便捷和智能的支付體驗(yàn)，助力數(shù)字信任機(jī)制的構(gòu)建。