财新传媒

打造可信赖的数字支付安全生态,助力数字经济的可持续发展

2022年08月24日 10:50 来源于 财新网

经历了近三年的新冠疫情后,如今世界正在加速迈向“数字优先”的消费时代。在这一演变中,数据是核心。生活的方方面面,包括支付和受理方式,都已经被数据改变。作为全球排名前列的数字支付公司,Visa深知自己有责任在这一领域发挥更大的作用。

本文作者:曹明,Visa中国区风险管理部总经理

EMV®3-D Secure + 基于风险策略的身份验证为数字商业提供 “动态双保险”

不久前,东南亚某国家发生了一起大规模短信钓鱼攻击风险事件,引发了关注。数百名消费者轻信了欺诈分子冒充当地银行发来的虚假短信,造成数百万美元的损失。这表明支付生态体系不能只依赖传统的通过短信发送的一次性动态验证码(One-time passcode,OTP),而需考虑对身份验证方式进行升级换代。

在金融行业,身份验证(authentication)是指识别验证消费者身份的流程。许多发卡机构在身份“核验”环节向消费者发送短信,要求消费者输入短信中的一次性动态验证码完成身份验证。这种方式曾经有效帮助发卡机构与消费者确认交易的真实性,但现在,完全依赖短信验证码作为唯一的身份验证数据可能存在风险漏洞。


从技术上讲,这种固有缺陷可能被利用,全行业需联合采取行动应对这一挑战。因此,Visa正在全球积极倡导和推动整个支付生态体系稳步过渡到应用EMV®3-D Secure¹的阶段。

EMV®3-D Secure是一项支付行业协议,支持消费者、发卡机构、商户和收单机构之间能够处理超过以往10倍的数据交换,新增数据种类包括IP地址、设备类型、收款账户等信息。发卡机构此前获取不到此类数据,只能根据消费者声明的身份实时做出交易批准与否的决定。

有了更加丰富的数据,发卡机构就可以更准确地确认消费者身份和交易请求的真实性。与任何成熟的身份验证策略一样,多层级的安全保障是关键。采用EMV®3-D Secure身份识别方案,并有效利用基于风险策略的身份验证(Risk Based Authentication,RBA)解决方案,发卡机构可以更有效地平衡交易的安全性和便利性,既可通过动态数据提高安全性,又能让消费者更便捷地完成支付。EMV 3DS与RBA相结合,可以大大降低需要通过核验完成的身份验证请求。

随着支付生态体系的演变与发展,应用多种数据元素有助于发卡机构选择适合他们的“动态身份验证方式加基于风险策略的身份验证解决方案”组合,从而为消费者提供定制化的安全支付体验。那种只依赖短信发送身份验证信息的时代正在迅速远去,而基于风险策略的身份验证解决方案标志着支付安全能力发展的又一次重大飞跃,它能为金融机构和商户提供更加安全的保障,同时为消费者带来更多的便利。

数据经济时代,信任是取得成功的关键

跟任何其他创新一样,数据经济下也会出现行为不端者,新冠疫情使得形势更为复杂。今天,很多企业和个人已经参与了数字消费模式,但有些还是刚开始尝试数字支付。然而加速发展的数字经济把所有参与者都置于一个脆弱的数字环境中,因此人们迫切需要保障数据安全、隐私和道德。

在此趋势下,数字身份逐渐成为解决数据使用难题的新方法。对于消费者来说,他们可以监督个人数据用在哪里,如何使用,而企业和政府则可以对管理消费者的数据有清晰的认知。

Visa长期致力于与业界合作,通过数据保护和降低支付风险来维护支付行业的信誉。仅过去一年,Visa在全球范围内有效阻止了约260亿美元的欺诈损失,我们的目的就是让每一位使用Visa产品的消费者都对交易安全充满信心。

管理数据需要正确的策略和技术实力

Visa认为,全球货币的数字化正在加快发展,数字支付的参与者也越来越多。在日益数字化和全球化的商业环境中,支付将无处不在, 它们不仅仅是基于实体卡或只在单一网络上完成的交易,还将受消费者行为变化的影响,包括线上、线下和跨渠道的购买行为。

大数据时代,数据就是金钱(Data is money)。哪里有数据,哪里就可能有犯罪分子。在60多年的发展历程中,Visa一直都在与数据打交道,利用我们覆盖全球的网络,通过资金和数据的流动连接世界。面对日益复杂的支付安全环境,Visa倡导实施全面的平衡的数据安全策略,主要体现在以下几个方面:

1) 数据的网络效应(Network effect of Data):Visa认为,跨领域和跨行业的数据合作是发挥数据经济优势的关键所在。获取新的数据集有助于更好地进行决策,也可用于建立新的商业模式或升级现有服务。数据的自由流动降低了实体间的交易成本,克服了距离的限制。

2) 标准和开放平台(Standard and Open Platform):标准和开放平台能够鼓励合作。整体框架应以安全为基本原则,并且灵活敏捷,才能鼓励创新,允许不同的技术和业务模式出现。开放、互联互通的标准让数据交换保持一致,实现安全、高效、可参与的数据流动。与此同时,在指导行业制定支付创新标准(如令牌化和EMV®3-D Secure)方面,Visa拥有丰富的成功经验,并将这一经验运用到数据创新的标准中。

3) 以安全为前提的设计(Security by Design):Visa始终坚持推行在最初设计产品时就嵌入风险管控的理念,利用网络安全、加密技术、反欺诈、互联互通的标准和风险监控方面的经验,巩固安全和信任,这在确保数据生态体系安全方面起到了重要作用。

4) 数据道德(Data Ethic):Visa认为,负责任地使用数据应该成为一项全球目标,并根据各地的现行法律法规执行。在开发数据应用时,关注用户需求和消费者权益,时刻牢记保护隐私、可靠、公平和问责。过去的几十年间,Visa以信任和道德考量为基础,利用人工智能、机器学习等技术提供有关分析洞见和风险管理的解决方案。

5) 隐私、消费者选择和许可(Privacy,Consumer Choice&Consent):消费者信息和隐私安全保护体现在Visa工作的方方面面。Visa设立了全球隐私安全计划 (Global Privacy Program)以确保迅速变化的监管环境下的业务合规,它深深植根于我们对保护消费者数据、保障Visa业务和品牌信赖的长期承诺。

6) 赋予消费者控制权(Empower Consumer with Control):应该明确告知消费者需要共享哪些数据、谁可以使用这些共享的数据、使用数据的目的和期限,确保消费者做选择时信息明确、简单和一致,并告知他们如何管理数据共享偏好(data-sharing preference)。


Visa高度重视标准、信任和安全,并提供以数据为主导的解决方案和体验

Visa拥有全面的解决方案和技术能力,让任何人在任何地方都能安全高效地使用和传输数据,实现新的应对办法和商业体验。具体包括:

● 保护支付生态体系安全:Visa的Payment Fraud Disruption团队利用AI识别、调查、阻断和防范风险,针对全球支付生态体系的攻击提供安全保护,例如Visa Account Attack Intelligence服务。

● 保障数据和网络安全:Visa致力于建立数据保护框架,降低数据价值并保护账户信息,推出了基于EMV® 3-D Secure 2.0标准的Visa Secure™解决方案和Visa 标记服务(Visa Token Service,VTS) 等行业标准的解决方案。此外,Visa的网络安全团队每天管理超过90亿个安全事件。

● 打击欺诈:Visa利用尖端的深度学习和神经网络技术分析支付欺诈趋势,提供Visa Advanced Authorisation产品为网络内交易提供实时风险评分,可在1毫秒内分析超过500个数据元素,以识别欺诈行为,并开展跨行业合作,打击欺诈。

● 市场营销服务:使用Visa数据,根据消费行为细分消费者群体,帮助发卡机构和商户策划营销活动,例如Visa Travel Predict、Visa Analytics Platform、Visa Spend Insights、Merchant Recommendation Engine等产品。

● 信用/风险评分:利用Visa数据为发卡机构和收单机构客户提供信用风险评分,改善业务组合管理,例如Small Business Credit Score、Visa Consumer Transaction Score等产品。

● 协同合作平台:Visa建立各类平台和计划,提供多种参与形式,满足合作伙伴的各种需求,例如Open Data Stack、Visa Consulting & Analytics、Visa Fintech Fast Track Program、Visa Accelerator Program、Visa Ventures等产品和服务计划。

我们相信,只要支付生态体系内的各个参与方协同合作,采取负责任、多层次的安全策略及行业标准,就能打造和维护一个不断创新且可信赖的数字支付生态系统,为数字经济的可持续发展保驾护航。

参考资料:

1. EMV®是在美国和部分其他国家注册的商标,商未在任何其他地区注册。EMV商标由EMVCo, LLC所有。

*本文刊发在财新promotion频道,不代表财新网编辑部观点