银联收紧安全紧箍咒电话pos厂商何去何从(1).doc

银联收紧安全"紧箍咒" 电话POS厂商何去何从

2月24日消息,随着刷卡消费渐成习惯,电话支付也“风生水起”。一个很明显的现象,电话支付终端越来越多地出现在商场、超市、批发市场、中小商贸流通企业中。电话POS在给人们带来便捷支付的同时,也不免让人“将信将疑”:它真的如人所说的那么安全吗?持卡人密码等敏感信息不会被泄漏?资金是否能够万无一失?
电话支付:繁荣背后的安全隐忧
电话支付终端是在传统电话设备的基础上发展起来的新型终端设备。在目前国内银行卡主要为磁条卡的大环境下,电话支付终端成本低的比较优势,弥补了传统POS在家庭缴费、特定的专业批发市场投放成本高的不足。
但市场繁荣的背后,安全形势不容乐观。一项调查显示,有些电话支付终端缺乏健全的安全机制,如安全模块和入侵检测等,安全性能较差,仅适用于家用,但如果这样的终端大量使用在商用领域,将给电话支付终端的应用留下了极大的安全隐患。
专家表示,电话支付在国内发展不过数年,市场准入门槛低,一些传统电话设备厂商受利益驱动,纷纷改行生产电话支付终端,造成电话支终端市场品牌众多、指标规格低、技术规范不一的良莠不齐局面。有些厂商为追求利润,通过减少安全防护措施、使用低级芯片替代安全芯片降低成本等。还有一些厂商甚至完全没有生产金融支付终端的从业经验,只注重应用功能的开发,却忽视了本应最受重视的安全要求。
无疑,电话支付表面繁荣的背后透着诸多隐忧。“如果电话支付终端的安全隐患不能消除,那么电话支付的‘灿烂前景’将是‘过眼烟云’。”该专家神色严峻地指出,“不论是传统金融POS,还是电话支付终端,作为银行卡电子支付的专用设备,第一要务还是电子支付的安全性。”
中国银联:收紧安全“紧箍咒”
安全重于泰山,提高终端厂商的市场准入门槛势在必行。
为保障电话支付终端的应用安全,2009年2月,中国银联根据不同的使用场所,分别颁布了I型(家用型)和II型(商用型)两类《中国银联电话支付终端规范》。规范除关注产品的基本应用功能外,就I型(家用型)和II型(商用型)提出了不同安全技术要求,尤其II型(商用型)电话支付终端的安全要求达到POS国际安全标准的最高要求。
与I型相比,Ⅱ型规范对机具的软件设计、硬件、结构、逻辑安全等方面的要求非常严格,比如使用128位3DES算法加密,指定密码键盘作为加密设备,通过和传统POS终端类似的“签到”方式进行密钥更新,添加PIN、磁道加密、MAC三层密钥,实现电话号码、TSAM卡(密码键盘)和终端序列号三者绑定,具有开机自检、拆机自锁功能等。
规范条例同时要求,在规定的应用场所内,不进行认证或通不过认证的产品将不允许接入银联平台。银联的安全“紧箍咒”正在向终端厂商头上套去,并逐渐收紧。
终端厂商:通过or出局?
随着《规范》的出台,各大银行自然会紧跟《规范》,提高电话支付终端的市场准入门槛。在这场“行业大