您当前位置：
第三方支付业务的隐患及如何监管
随着我国第三方支付平台的交易规模快速扩张，加上在法律定位上，我国将第三方支付机构定义为非金融机构，导致了其许多业务环节脱离了金融监管部门的监管，给客户资金安全和金融稳定都带来了诸多隐患。分别有哪些隐患？又应如何监管？接下来，找法网小编为您详细介绍。
　　第三方支付业务存在的隐患：
　　一是巨额沉淀资金风险。
　　根据目前的交易规则，客户在网上购物所缴纳的备付金是先存在第三方支付平台，直到客户收到货物后才转付到卖方账户。这样，巨额的客户备付金至少在第三方支付平台停留3~7天，形成大量的资金沉淀。随客户数量的急剧增加，沉淀资金的规模非常巨大。
　　由于支付与结算之间存在时滞，参与者若在资金滞留期内故意或因不可抗力因素而无法完成最终的结算，则将引发信用风险。在极端情况下，小范围的信用风险可能引发支付系统大范围的流动性风险，进而引发整个支付系统的系统性风险。
　　二是信用卡套现。
　　第三方支付平台出现后，使得信用卡套现行为更加容易，为信用卡套现提供了非法的便利渠道，使得相应的监管更为困难。
　　三是洗钱与非法交易。
　　第三方支付大都通过网络系统进行交易，支付公司和客户并非面对面的交易，在某种程度上有可能存在虚假交易的情况。
　　同时，第三方支付平台没有权限监督网上交易者的款项用途，这就给非法资金流动提供了可能。而且，第三方支付平台并不属于银行系统，无法跟踪和监测资金的流向。这给金融监管部门带来资金流向监管的难度，也给犯罪分子的洗钱行为带来可乘之机。
　　目前而言，日益增长的交易范围和交易额为金融监管带来一定的困难，犯罪分子可利用虚拟交易或转移定价等方式实施资金转移以合法化其非法资金。
　　四是虚拟货币发行。
　　与第三方支付平台密切相关的一个概念是&虚拟货币&或&电子货币&。现实生活中，虚拟货币对实体货币也造成了一定冲击。因为虚拟货币的发行与基础货币的组成部分&流通中的通货&存在一定的替代关系。
　　因此第三方支付平台在一定程度上具有扩张基础货币的功能。因此，随第三方支付平台的蓬勃发展，势必对货币政策和金融稳定造成更大的影响。
　　如何加强对第三方支付平台的有效监管?
　　第一，业务职能的创新&&第三方支付平台日常业务的监管者。
　　可以取消第三方支付平台的中间账户，化解沉淀资金和虚拟货币风险隐患。
　　根据目前的支付系统能力，完全可以通过取消第三方支付平台所设立的中间账户，通过支付系统的第三方授权、第三方授权确认付款等功能组合实现为买卖双方所提供的信用，付款客户的资金根本无需滞留在第三方支付平台，则从根本上解决了第三方支付平台中的沉淀资金问题。
　　此外，第三方支付平台交易还可以接入央行反洗钱系统，监控非法交易的不法行为，将可能存在洗钱、套现、欺诈等不法行为报告相关部门，通过支付系统及时监控并制止违法、违规现象，有效实施对第三方支付平台的日常监管问题。
　　第二，管理职能的创新&&第三方支付平台的利益主体协调者。
　　一是关系协调职能。
　　支付系统作为监管者，可以通过加强第三方支付企业和银联等参与者间的合作协调，支付系统需要为参与者间的协作提供便利条件，并合理解决其之间的冲突;利用清算支付平台，提供参与者间集中交流的平台，从而增强互相之间的了解，增加合作机会。
　　二是利益协调职能。
　　第三方支付平台在手续费的分配存在诸多矛盾，主要表现在商业银行与第三方支付机构之间针对利润比例的分成存在争议。线上支付定价机制的不完善直接影响商业银行与第三方支付机构的合作，对支付清算市场效率的提高带来掣肘。
　　因此，作为管理方的支付系统应考虑行业链条各方的实际成本，立足于有利于第三方支付平台长远发展的角度，制定合理的定价方案。
　　三是运营协调职能。
　　支付系统作为整个第三方支付平台发展的中心，可以参考美国和欧洲的方式，在系统规范发展的基础上，利用各种手段吸引更多参与主体进入平台服务，以满足客户个性化的需要。
　　总体的思路是，为促进和繁荣第三方支付平台的发展，支付系统需要在完善技术平台的前提下，给予参与者较宽松的运营氛围。
　　第三，技术模式的创新&&第三方支付平台的技术创新推动者。
　　作为监管者、协调者和技术支撑者，支付系统本身具有先进的技术系统，能通过将第三方支付平台直接嵌入，为其提供统一的和必要的技术支撑，成为技术创新的推动者。支付系统作为行业最重要的载体，必须通过计算机技术的革新，保证网络安全、系统安全、交易安全、隐私安全，从而提高整个系统的管理和防控水平。
关联文章推荐阅读：
如果您遇到了以下婚姻家庭方面的问题，为了切实保障您的利益，建议先咨询一下对应的专业律师。
如果尚未能解答您的疑问，还可以直接拨打免费法律咨询热线：<font color="#ff6-8333，专业律师免费为您解答法律问题。
杰出律师推荐
网络侵权频道
(人)|(个)|(条)
网络侵权咨询
下一步您可以：
免责声明：找法网登载此文出于传递更多法律相关知识为目的，并不意味着赞同其观点或证实其描述，如涉及版权等问题请与本网站联系，核实后会给予处理。
按地区找网络侵权律师
专家面对面
网友关注排行榜
网络侵权频道
：人 ：个 ：条
Copyright@2003-　找法网() 版权所有你的位置： >
> 如何解决第三方支付便利与安全的矛盾
今年一月份安徽日报报道了《男子未绑定苏宁易付宝 却被两次盗刷近万元》，网络上也充斥易付宝盗刷的投诉，而苏宁品牌部回应称“这次被盗刷客户至少泄露的信息为：账号、登录密码、手机号码、支付密码或手机校验码。在这些关键信息泄漏后，犯罪分子即可盗取用户账户，伪装成用户本人在账户中操作。”，至于信息泄露原因，绝大多数是用户自身手机中了木马病毒，属网络犯罪，苏宁将和用户一起使用法律手段维护自身权益，并持续加强风控措施。但根据今年7月1日即将生效的《非银行支付机构网络支付业务管理办法》第十九条“支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有效证明因客户原因导致的资金损失及时先行全额赔付，保障客户合法权益。”，估计易付宝要证明自己完全无过错有点困难。
其实除了易付宝，第三方支付业内老大的支付宝被盗刷也很严重，搜索“支付宝 盗刷”结果显示：
有180多万条相关记录。可见第三方支付的盗刷是一个比较普遍的现象，特别是为了便利起见第三方支付普遍开通快捷支付，使第三方支付盗刷不仅涉及第三方支付本身的账户还会涉及银行账户，损失额度急剧上升，盗刷风险迅速放大。
第三方支付交易验证一般采用静态密码、手机验证码。静态密码具有其局限性，一是弱口令攻击，仅包含简单数字和字母或本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、手机号、证件号、E-mail地址等与本人有关的信息；二是客户的风险意识不强，无意识地泄露了自己的账户信息和交易密码，就有可能”说者无心，听者有意”，导致账户安全受到威胁；三是容易被恶意偷窥、木马窃取等方式盗用，黑客可以利用这些方式恶意操纵客户账户、从中谋取非法利益。手机验证码的攻击方式也很多，一是手机病毒木马，例如人民银行2016年3月正式下发的《金融业信息安全风险提示》中提到的“Android/Spy.Agent.SI”；二是伪基站，就是一种伪装成通信运营商基站的无线电发射装置，首先侵入运营商的网络，其次假冒信息传输过程中的验证方式，然后干扰屏蔽运营商的通讯信号，最后骗过验证环节，向手机用户发送骚扰、诈骗短信，而这个过程通常在很短时间内就能完成；三是盗换SIM卡，伪造用户身份证件或伪造临时身份证，在移动营业厅换SIM卡。
有一小部分第三方支付交易验证还采用了动态密码技术，一次一密，安全性较高，但也并非无懈可击，采用短信链接+假网站方式很容易获取到动态密码，很多银行目前也遭遇大量的这种攻击。
支付宝最安全的方式是支付盾，其内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，完全可以做到即用即插，用完收存，有效避免被窃取。而这种安全性极高的工具就在我们身边，很多人手里都不只一个：我们到各商业银行开通网银特别是专业版网银时，一般都会被推荐办理一个类似U盘的东西，不同银行对其的命名各异，如usbkey、Ukey、优K、K宝、U盾、网银盾等。这些名称不同、实际功能一致的硬件设备统称为key，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书。
这些银行key完全符合今年7月1日即将生效的《非银行支付机构网络支付业务管理办法》第二十三条：支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》[JR/T]等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。这些法规已在商业银行实施多年，银行key内的数字证书及生成电子签名的过程完全符合这些要求。
互联网金融企业更强调便利性，对于每一次交易都要使用key有顾虑。但安全性与便利性一般反向相关，下图列举了密码、短信验证码、生物识别、token、软证书、硬证书等交易认证方式的便利性、安全性、抗抵赖性等曲线图，可以明显看出安全性与便利性反向相关：
如何解决非银支付机构便利与安全的矛盾，央行在《非银行支付机构网络支付业务管理办法》也给出了答案：方式不同、权限不同，兼顾安全与便利，风险防范是第一。
第二十四条规定
商业银行也普遍采用这种做法，下图就是工商银行手机银行不同安全工具限额：
很明显可以看出，央行对第三方支付、银行等在账户、交易等方面监管规则在逐步的趋同。
对于重要交易如大额转账、大额消费、权限约定等，采用银行key的解决方案，如果出现纠纷，可以调出客户当时的签名数据，证明的确是客户真实意愿的表述，平台无过错。分享银行key已经把最安全的方式做到了最便捷。
另外《非银行支付机构网络支付业务管理办法》第十一条要求支付机构通过合法安全的外部渠道进行身份基本信息验证，不同的身份验证方式给予不同的限额：
第十一条规定
如果要“自主或委托合作机构以面对面方式”核实客户身份而开立最高限额的Ⅲ类账户，这种重资产运作模式将导致互联网的优势荡然无存，还是增加合法安全的外部渠道比较靠谱，而银行key又提供了一个渠道。
银行key需要客户到各银行分支机构亲自办理，不支持代办，客户需要经过严格的身份认证资料审核、面签等过程，才能取得银行key。可见银行key发放过程非常严格。银行key内的数字证书一般都是各CA发放的，其中CFCA居多。CA都是依据《中华人民共和国电子签名法》、《电子认证服务管理办法》等取得工业与信息化部《电子认证服务许可证》的中立机构。可见银行key对第三方支付机构是合法安全的外部渠道，可以成为一个验证渠道。
与本文相关的文章010-（北京）
021-（上海）
028-（成都）
029-（西安）
027-（武汉）
024-（沈阳）
福建办事处:
浙江办事处:
云南办事处:
湖南办事处:
&信安世纪微信公众号
第三方支付应用安全解决方案
所谓第三方支付，就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。第三方是买卖双方在缺乏信用保障或法律支持的情况下的资金支付&中间平台&，买方将货款付给买卖双方之外的第三方，第三方提供安全交易服务，其运作实质是在收付款人之间设立中间过渡账户，使汇转款项实现可控性停顿，只有双方意见达成一致才能决定资金去向。第三方担当中介保管及监督的职能，并不承担什么风险，所以确切的说，这是一种支付托管行为，通过支付托管实现支付保证。
第三方支付安全需求
作为互联网环境中的支付平台，就要面临互联网的复杂特性，比如资金在转移过程中出现丢失、诈骗、盗用等风险，因此第三方支付平台必须能够保障交易用户、第三方支付机构和银行三者的资金安全。以下四个安全问题是必须要解决的：
身份认证。由于互联网的特殊性，网上交易的双方必须要互相确认身份。
数据完整性。为了确保信息在传输、使用、存储过程中不被非授权用户恶意篡改，同时也为了防止被授权用户不适当的篡改，需要通过数字签名技术来保证数据的完整性。
数据机密性。数椐机密性就是保证具有授权用户可以访问数据，而限制其他人对数据的访问。数据机密性分为网络传输保密性和数据存储保密性。
交易的不可否认性。在交易过程中或交易完成后交易双方可能会发生纠纷，为了防止任何一方对交易抵赖和否认，需要保存交易凭证或凭据，供第三方的权威认证和责任认定。
上述的四个安全需求需要在两个环节实现：
1）第三方支付用户登录支付系统并进行业务操作中的安全保护；
2）第三方支付系统与银行对接进行数据交换中的安全保护。&
第三方支付系统应用层安全及支付系统与银行对接的安全解决方案见下图：
方案描述&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
在第三方支付系统中，USB Key与动态令牌（NetPass）可以确保第三方支付系统的用户登录第三方支付系统时的合法身份，同时在用户操作第三方系统进行交易过程中保证用户交易的机密性与不可否认性。
用户与第三方支付系统的数据传输采用SSL加密通道（NSAE应用安全网关）进行传输，其交易的确认则采用了签名/验签服务器（NetSign）来完成。
第三方支付系统与银行系统的数据交换，采用NSAE-B应用安全网关实现SSL加密传输。NSAE-B支持双向发起交易，即利用NSAE-B银行与第三方支付均可主动向对方发起交易，可互为服务端和客户端。
第三方支付系统与银行系统之间的数据交换采用NetSign数字签名服务器进行数字签名/验签来保证数据的完整性、真实性。
本方案不仅可用于第三方支付系统的应用安全，而且可应用于各种电子商务类型的应用，包括证券交易系统、保险业用户自助服务系统、企业网络办公系统、企业资金管理系统等各种B/S架构的业务系统。
安全强度高
高强度的加密算法和专用的身份认证安全设备确保用户身份认证的安全性、业务数据的完整性、不可否认性和机密性，符合金融行业高安全级别的需求。
标准化与开放性
证书系统及安全系统可方便地扩展到对保险以外的各种系统的支持；支持多种应用平台，如WebLogic、WebSphere系统。
采用报文格式定制方式与应用系统无缝结合，方便兼容众多应用系统，且不消耗应用系统性能。
终端安全设备
支持一代、二代USB Key设备，一代、二代电子令牌、短信密码等。不同的安全介质满足不同分类用户的业务安全基本需求和使用便利性需求。
支持大规模用户访问
全面实现保险系统的高可用性，在链路、服务器等多方面实现了负载均衡，支持大规模用户访问，提升用户体验。
大量应用于网上保险系统的案例，方案成熟，实施迅速。
信安世纪版权所有| 京ICP备号-1 京公网安备