“嘀,扫码支付成功”。
条码支付已在日常生活中广泛应用,伴随条码支付的普及,聚合支付兴起并规模化发展。聚合支付机构作为收单外包服务机构中独特而关键的角色,成为支付产业重要一环。
但与此同时,条码支付业务中存在业务违规、数据泄露与攻击事件频发等问题。业务违规多呈现受理侧(即支付机构、外包服务机构)多发的特点,包括信用卡套现、虚假商户、利用条码支付进行跑分及洗钱等。数据泄露与攻击事件方面,由于准入门槛相对较低,部分聚合支付机构技术、安全能力薄弱,存在业务系统被入侵甚至导致无法对外提供业务服务等问题。
聚合支付一点接入统一转发的特点,还容易造成以聚合支付机构为突破口和跳板,攻击向上游收单机构蔓延和风险快速扩大的问题。叠加内控管理不规范等因素,更增大商户信息泄露、交易数据泄露等风险。
针对前述收单业务发展中亟待解决的问题,监管机构及行业自律机构已形成一系列管控举措,并向行业主体下达管控要求,以控制安全风险,指导业务持续发展、合规发展。
中国支付清算协会近年来陆续出台《收单外包服务机构备案管理办法(试行)》、《收单外包服务机构自律规范(试行)》等文件,对聚合支付机构在内的收单外包机构提出备案管理要求和常态量化管理细则,对收单业务外包管理进行行业自律约束。国内头部收单机构近日也高调发声,要求合作收单外包服务商尽快完成备案。
在监管机构、行业自律机构、产业各方共同努力下, “展业必备案”的积极态势已形成。截至2023年3月10日,已有一万六千余家外包机构(包含四百八十余家聚合支付机构)在收单外包服务机构备案系统完成备案。
对聚合支付机构而言,及时开展收单外包服务商安全评估,是落实备案工作的必要举措。根据中国支付清算协会关于当前收单外包服务机构备案的相关意见,《收单外包服务商安全评估报告》是聚合支付机构备案时关于系统安全方面的有效证明材料。
因此,开展服务商安全评估,是聚合支付机构在当前相关要求下的基础性工作;是进行主动发现安全风险、加强内控管理和安全建设的有效手段;是有效落实行业自律要求、履行合规管理职责的具体措施;是保障业务持续发展、合规发展的必要行动。
收单外包服务商安全评估工作以《收单外包服务商安全技术规范》为标尺,从业务基础设施与数据安全、技术要求、安全管理与风险控制要求三大板块进行具体核查,以确保聚合支付业务设施及内控管理满足支付行业基本要求,有效进行信息安全与基本业务合规风险控制。
中国金融认证中心(CFCA)面向聚合支付机构等行业主体,开展收单外包服务商安全评估工作,主要环节包括:项目前期准备、项目启动、项目实施、整改复测、报告出具。
CFCA深耕金融领域20余年,充分发挥行业优势与技术储备,以行业监管要求为根本、以行业自律规范为实施标准,以评促建,助力收单外包服务机构完成备案,促进聚合支付业务合规发展。