《visa的风险管理》由会员分享,可在线阅读,更多相关《visa的风险管理(44页珍藏版)》请在金锄头文库上搜索。
1、VISA 电子支付安全,VISA 电子支付安全,VISA 电子支付安全,VISA 电子支付安全,Visa 是什么,认识Visa,不是信用卡发卡 机构,Visa不是什么,业务不存在消费 信用风险,全球各大区分布,亚太区 Asia-Pacific Region,加拿大区 Canada Region,中欧东欧中东非洲区 Central&Eastern Europe, Middle East, Africa Region,欧盟区 European Union Region,拉美及加勒比海区 Latin America & Caribbean Region,美国区 USA Region,Visa国际组织
2、全球董事会 Visa International Board,Visa 支付网络的角色,发卡行,收单行,发卡 承担持卡人信用风险 设定并收取卡费及利率 为消费者提供客户服务,1.提供处理和操作系统 2.为金融机构客户设定标准和规则 3.开发产品 4.提供风险管理 5.建立和管理全球品牌 6.开发新的市场机会,1.签约零售商 2.提供数据处理服务 3.管理支付授权、清算和结算 4.生成循环交易报告 5.为零售商提供客户服务,客户,品牌,数据处理,产品,庞大的、多元化的客户网络,强大的品牌影响,最先进的数据处理能力,丰富的产品与服务,Visa 独特的竞争优势,Visa支付类型,易观国际此前发布的中
3、国第三方网络支付安全调研报告显示,目前安全问题仍然是用户不使用网络支付的主要原因,占比高达54% 。 用户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗的原因带来资金损失所占的比例最高,分别为24%和33.9%,成为第三方支付的头号大敌。,支付行业的现状,综合来看,当前网络支付面临的问题包括信息泄露、交易欺诈、经营风险和系统风险等。其中交易欺诈和信息泄露是网络支付面临的主要问题,Visa的风险管理策略,整个支付行业的安全性不是由所采用的最保险措施来决定,而是取决于支付系统中最薄弱环节的脆弱性。Visa确保支付行业安全的策略是,实施多层次的安全保护,并通过技术创新、加强合作和完善业务流程等方
4、面的努力创建多层次的安全机制。 Visa是通过“三管齐下”的方式来实现其支付安全战略的。,Visa的风险管理策略,Visa的预防,构建稳固的安全防护,设立数据安全标准,Visa是最早着手解决新兴的信息安全问题的行业领袖。早在2000年,Visa就建立推出了客户信息安全计划(AIS)也是第一个全球范围内保护Visa支付系统中的敏感账户及交易资料的数据安全标准。,2004年,Visa和其他主要支付品牌达成一致,共同制定了一个全球通用的安全标准,即支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS)。AIS规定被纳入成为
5、支付卡行业数据安全标准(PCI DSS)的一项行业标准。,1,商户,2,服务供应商,VisaNet处理机构,支付应用程序,3,4,AIS,商户,收单银行有责任确保所有商户遵守PCI数据安全标准(DSS)规定,并且根据交易数量、潜在风险,以及引入到支付系统中的危险,确定商户达标确认的优先次序。 收单银行根据商户12个月的Visa交易数量,将商户分为四个等级,所有商户可归入其中一个等级。,收单银行,二级商户,三级商户,一级商户,四级商户,VISA,提交,报告,每年进行现场的PCI数据安全评估,并且每季度进行网络扫描。,收单银行必须确保他们的商户按适当水平确认,并从商户获得规定的达标确认文件。,每年
6、完成PCI自我评估问卷(SAQ),并且每季度进行网络扫描。,收单银行必须向Visa提交每两年一次的状况报告,所有达标确认文件必须可应要求向Visa提供。,服务供应商,服务供应商是代表Visa发卡行、商户或其他服务供应商,对Visa持卡人的数据进行处理、储存和传送的机构。 Visa发卡行及收单银行负责确保其所有服务供应商遵守PCI数据安全标准(DSS)规定。Visa将根据交易数量、潜在风险及引入付款系统的危险,确定达标确认的优先次序。,VISA,服务供应商,服务供应商,发卡行/收单行,Visa要求服务供应商每12个月确认一次是否遵守PCI DSS。,如果服务供应商在每年到期日前90日内未重新确认
7、完全遵守PCI DSS,该服务供应商将从注册名单上除名。,VisaNet处理机构,VisaNet处理机构(VNPs)是直接与Visa支付网络相连,在支付处理和保护持卡人数据过程中履行基本职责的实体(Visa客户及非Visa客户)。 Visa有关VNPs和服务供应商遵守支付卡数据安全标准(PCI DSS)的指导原则如下:,1.负责储存、处理及或传送卡片数据的所有客户VNPs和服务供应商必须遵守PCI DSS;,2.Visa客户对其服务供应商的行动负责并负有法律责任;最低要求,他们必须确保持卡人数据通过遵守PCI DSS得到妥善保护;,3.储存、处理及或传送卡片数据的所有客户VNPs和服务供应商必
8、须遵守PCI DSS。,所有VisaNet处理机构必须在截止日期前提交PCI DSS达标报告(ROC),确定达标水平。如果没有完全遵守,必须向Visa提交补救方案。,支付应用程序,支付卡行业(PCI)支付应用程序数据安全标准(PA-DSS)是一系列全面的国际安全标准,符合PA-DSS的应用程序可帮助商户和代理商减少资料外泄,防止持卡人敏感数据的储存,并支持完全遵守PCI数据安全标准(DSS)。,Visa大力鼓励支付应用程序提供商开发并确认其产品符合PA-DSS的要求,并实施一系列授权,以减少来自Visa支付系统的非安全支付应用程序的使用。这些授权要求Visa客户确保其商户和服务供应商使用的支付
9、应用程序符合PA-DSS。,2005年,Visa开展了“支付应用最佳案例”(Payment Application Best Practices, PABP)项目,帮助软件厂商开发安全支付应用软件。,2007年下半年,PCI安全标准委员会决定采用Visa的“支付应用最佳案例“作为支付行业内新的第三方应用软件安全标准并将其称为“支付应用数据安全标准”。,积极加强安全标准合规工作,尽管支付行业安全标准是由PCI安全标准委员会进行管理的,但是,该标准的实施却取决于各支付卡组织的推动力度。 而Visa一直将不断推进支付安全标准这一工作为己任,予以认真贯彻和执行。,Visa PCI加速合规计划(PCI
10、CAP),第 25 页,符合安全标准的商户,惩罚,奖励,Visa,超过99%的一级和二级商户已经确认它们没有储存敏感数据,提供广泛的教育资源,作为数据安全的倡导者和领先者,Visa还面向商户、收单机构、卡信息处理机构和支付应用供应商开展了多种教育活动。 Visa的在线教育中心提供了多种网络会议、安全警示和培训课程,能够帮助商户更好地了 解PCI DSS的内容以及合规要求。Visa还积极与各知名企业合作,推广这些教育项目。,Visa的保护,更强大的验证功能,EMV标准是银行卡从磁条卡向智能IC卡转移的技术标准,是基于IC卡的金融支付标准,已成为公认的全球统一标准。,EMV标准目的是在金融IC卡支
11、付系统中建立卡片和终端接口的统一标准,使得在此体系下所有的卡片和终端能够互通互用,并且该技术的采用将大大提高银行卡支付的安全性,减少欺诈行为。,EMV2000标准是国际上金融IC卡借记/贷记应用的统一技术标准,由国际三大银行卡组织联合制定,标准的主要内容包括借贷记应用交易流程、借记/贷记应用规范和安全认证机制等。,使用支持EMV标准的支付卡,EMV迁移,EMV迁移是银行卡从磁条卡向智能IC卡转换的过程。是基于CPU IC卡的金融支付标准,目前已成为公认的框架性标准。,智能卡是一款内置微型芯片的支付卡 智能卡与个人密码一起使用时,更能减少卡片遗失或被窃所引致的欺诈情况。 每当客户在商户销售点使用
12、智能卡时,卡上的芯片都会传输保密信息验证每笔交易。保密信息因每笔交易而异,使骗徒盗取资料难上加难。,智能卡,Visa国际组织欧洲区开发出一款新型银行卡,名为“Visa保险码”,卡片的密码随时更新。,除网络使用外,新卡还方便电话银行登录。持卡人以往登录电话银行需提供自己的出生日期、家庭住址等个人信息,现在只需提供卡片上显示的一次性密码,由于每次使用时密码均不相同,新卡可阻止任何未经授权的使用,包括网上购物、登录网上银行等。,Visa验证服务,Visa验证服务是Visa国际组织针对Visa卡网上支付提供的一种安全身份验证方式。持卡人通过预先在发卡银行设定的网上交易密码进行身份验证。,商户、发卡行、
13、持卡人之间的安全验证,验证网站是否可靠,验证客户的信息是否正确,预留信息,输入信息,检验通过,Visa验证不仅可以确保在虚拟环境下持卡人身份的真实性,还可以保护在线商户的利益免遭欺诈,Visa验证服务最大的吸引力就在于,它可以令所有在支付链上的关联人士受惠。,继静态密码之后,2008年12月,Visa在全球首推通过手机动态密码验证方式对网上购物的持卡人进行身份验证,这项业务是通过短信方式将动态密码发送到持卡人指定号码的手机。发卡行通过这种随机产生的一次性动态密码来验证持卡人身份,是网上购物具有更高的安全性,而持卡人也无需记住自己的密码。,Visa的响应,对欺诈行为采取即时对策,网络仿冒诈骗不但
14、牵涉欺诈及身份盗窃等非法行为,也严重影响消费者对网上购物、网络银行交易的信心。据易观国际的调查,目前安全问题仍然是用户不使用网络支付的主要原因,占比高达54% 。,作为支付业的领导者,Visa非常重视这个问题,现已着手进行铲除通过网络欺诈的非法网站,同时保护消费者避免收到这类欺诈邮件。,自从网络仿冒诈骗事件首次出现,Visa已第一时间采取以下措施: 1.率先与第三方厂商展开品牌保护的行动,并研发侦测网络仿冒诈骗的科技。 2.设立电子邮件信箱,专门处理网络上的欺诈问题。 3.展开有关网络仿冒诈骗的地区性消费者教育及宣传活动。,4.组成内部网络小组,侦测并关闭黑客和非法使用者的网络。 Visa发现
15、电子邮件欺诈及非法网站时,旗下专家会立即评估事件,并确定邮件及网站来源,然后主动联络网站建立者及网络服务供应商,要求他们立即关闭该非法网站。整个关闭工作可在近两小时内完成,具体所需时间还要取决于网络服务供应商所处地点。,5.与反网络欺诈的行业领导者合作,共同监测Visa品牌,以侦破网络仿冒诈骗活动。 Visa也是 “反网络仿冒诈骗工作小组”(Anti-Phising Working Group, APWG)的赞助商及活跃成员。这是一个全球性的业界联盟,针对网络仿冒及诈骗、相关方案及测试、以及黑客入侵的管道搜寻,让业界进行保密性的讨论。,此外,Visa也与领先业界的网络安全公司WholeSecu
16、rity合作,共同推出全球首项反网络仿冒及诈骗服务 - “举报网络仿冒诈骗防护网 ” (Phish Report Network) ,这个防护网让资料遭受盗用的企业,能在最短的时间内,安全地向中央资料库举报诈骗欺诈网站,令其他企业有所防范。,Visa使用小贴士,1、建议使用Visa双币信用卡或外币单币卡进行网上支付,选择与交易货币相符的双币卡或单币种外币卡,轻松节省货币转换费; 2、在电脑上安装并定期更新杀毒软件,尽量不要在网吧或没有安装防病毒软件的电脑上使用信用卡网上支付; 3、选择知名度高、口碑好的网站进行网上消费,不要轻信陌生发件人发送的电子邮件广告,更不要通过电子邮件传送Visa卡资料;,4、保存所有交易记录,以便在需要时作退货或查询之用; 5、开通交易短信提醒功能,并仔细检查每月账单,发现可疑交易时请立即与发卡银行联系; 6、保护好卡片上的卡号、姓名、有效期和背后的CVV2验证码信息,不要轻易将这些信
