前言

 

在互联网支付日益普及的今天,人们使用现金,刷卡的机会越来越少了。电商网站,购物中心,甚至路边商店,到处都是快捷支付,扫码支付的身影。越是便捷的功能,潜在的风险越不容忽视。无论是持卡人疏忽,还是违法分子利用支付流程漏洞故意实施经济犯罪的事件,在近几年的新闻报道中屡见不鲜。可见,增强支付过程中的风险防范意识,对每个人来说都越来越重要。

 

故此,首信易支付罗列出相关风险防范知识,与众多合作商户一起分享。

 

本材料分商户篇持卡人篇。

 

 


商户篇

时至今日,与首信易支付签约过的新老商户已经数以万计。从初期面谈,到签约入驻再到后期维护,每个环节我们都有相关人员不时提醒相关风险问题。为了方便商户理解,此部分会进行统一梳理。

一、仔细填写签约合同

合作洽谈时,商户会与支付公司业务人员针对需求进行详细探讨最终达成共识,随之而来的就是合同签订环节,所有细节最终会落实在合同上。

签约时,商户需仔细阅读,明确每一条选项的功能含义后再填写,否则很可能影响以后的使用。

案例:

X公司在签订合同时将法人身份证号写错,在审核时身份信息验证无法通过。更改过程中,合同需再次盖章,碰巧公司公章被其他部门外出带走,导致很长时间才发来正确的身份信息资质,耽误了签约进程。

二、对接流程的防范意识与加密信息保护

1.技术开发公司权限管理

很多商户由于自身没有技术开发团队,在技术对接过程中交给技术开发公司代为进行对接。在此对接过程中,商户需对该公司资质,业务水平进行前期考察;对此次合作的需求,预期目标做好沟通;对对接进度进行跟进把控;对最终结果进行验收;对技术开发公司所持权限进行回收再处理。

案例:

X公司与支付公司签订合同开通线上支付功能,因没有严格鉴别,选择了业务不熟练的技术开发公司,导致对接进度由原定的两周延长至一个月,导致X公司电商网站上线延期,错过双十一活动,损失较大。后因与技术开发公司报酬沟通不畅,技术开发公司离职员工私自盗用X公司交易秘钥,伪造交易订单,造成X公司多笔虚假交易,损失数额巨大。

2. 订单原金额与入账金额核对☆

在交易完成后,支付公司系统会采用同步返回和异步返回两种方式告知商户交易结果,其中异步通知被多数商户认定为最终结果。在异步通知中,除了交易结果,还有实际交易金额,因此商户务必要核实该交易金额与订单原金额是否一致!

案例:

X公司与支付公司签订合同开通在线快捷支付功能,在官网大量售出某奢侈品商品,定价10000元。在交易的信息流中,商户端发来的订单信息中包含商品单价10000元,支付请求信息到达支付公司系统平台之前被国际不法分子劫持,并篡改产品单价为1元,最终商户没有审核异步通知实际交易金额,一共发生了300笔此商品购买订单,直接导致商户在短短一周内直接损失9999x300=2999700元。

3.优质加密方式的更新迭代

近年来很多支付公司一直在对接过程中倡导新商户使用最新的CFCA加密证书。很多商户业务领域不在技术范畴,对加密证书了解不多。因此下面会介绍一下以前MD5加密方式的一个突出问题。

简单来说MD5加密方式在对接中所需的就是商户号与MD5秘钥这两个参数。商户号作为非敏感信息,很多人都可以获取,而MD5秘钥就成了交易唯一敏感信息。在实际对接中,很多支付公司默认MD5秘钥为test,需要商户在完成对接之后,切换生产环境之前,自行修改为16位由数字与大小写字母组合的私密秘钥。而许多商户在对接成功后疏漏了这个环节,导致test这个秘钥很容易就被黑客破解,造成重大财产损失。

案例:

X公司在切换CFCA证书过程中因老板不在,申请材料无法盖章导致无法切换。几天后突然爆出多笔虚假交易信息,经系统核查订单信息确认为MD5秘钥test被人破解,导致损失十万元。

4.白名单功能的合理使用

在对接和后期使用中,除了各种秘钥TOKENIP白名单也是支付公司安全考量的有力一环。在交易中,只有指定IP地址发过来的交易请求,才会被支付公司平台受理,避免不法分子伪造订单或劫持交易信息进行欺诈交易。

案例:

X公司委托技术开发公司与支付公司进行技术对接,因X公司多个网站使用多种开发语言,因此技术开发公司有多个技术人员与支付公司同时进行对接,需使用多个IP地址。由于这些技术人员日常工作繁忙,很多工作需要下班回家后继续操作,因此住址的IP地址也需添加进白名单。经X 公司许可后,在技术对接期间将IP白名单设定为完全放开状态(IP255.255.255.255),但在对接成功后没有及时恢复为X公司IP区间。一个月后X公司出现多笔虚假交易记录,无法确定是外来黑客的攻击行为还是技术开发公司员工但恶意行为,导致X公司遭受大额经济损失。

三、风险防范指南

1.    国际卡商户应使用风险防范控制系统,对系统判定为高风险的订单,再次审核订单的各项相关信息,如订单来源是否为洗钱活动、欺诈交易发生的高危国家等;

2.    完善客户服务工作,遇到问题及时与持卡人沟通协调。

四、严格遵守相关法律法规

1.    在使用我司提供的服务期间,请您严格遵守我司特约商户相关管理办法及国家相关法律法规。

2.    请您仔细阅读并遵守《中华人民共和国反洗钱法》(详见附录1)。

3.    请您阅读《支付机构反洗钱和反恐怖融资管理办法》(详见附录2),配合我公司相关工作,支持支付业务的合规化进程。

 

 

 

 

 

 

持卡人篇

支付业务无论信息流还是现金流,主体就是持卡人,商户,第三方支付公司。因此持卡人会遇到的风险问题也不容忽视。本篇部分主要介绍持卡人可能遇到的风险情况,广大商户可在力所能及的范围内,协助我司进行宣传告知。

一、银行卡安全使用须知

1.保管好个人资料

注意个人资料保密,勿将银行卡卡号、有效期、密码、身份证号码等信息告知他人。谨慎对待要求提供个人资料的可疑电话,须问清情况,不要盲目随意提供资料。请勿使用生日数字、“123456”等简单数字排列作为密码;请牢记,任何人(包括银行工作人员)都无权询问您的个人密码。

2.理性透支、合法用卡

不要申请超过所能负担的信用卡数量,以免背上无法承担的债务。不可以恶意透支为目的,通过非法中介机构办理信用卡,更不能参与信用卡套现,以免对个人资信状况造成负面影响,甚至触犯相关法律法规。

3.网上安全用卡

1) 在互联网上使用银行卡时,对陌生人发送的网页链接应保持高度警惕,不轻易点击链接或直接复制网址进行访问;要确认网上银行或支付网站网址是否正确;

2) 不向他人透露账号、密码、信用卡有效期、后三码和支付验证码;

3) 网上支付密码最好包含数字、字母和符号;

4) 应根据自身风险偏好设置“单笔金额上限”、“日(月)累计金额上限”和“日(月)累计笔数上限”等信息;

5) 要安装防火墙和杀毒软件,确保电脑安全;

6) 定期查询账户余额和明细,如有问题及时与银行或支付机构联系。

4.安全正确办理跨行授权支付业务

跨行授权支付是商业银行依托网上支付跨行清算系统(IBPS)开办的网上银行业务产品,客户开办该业务需要与开户银行签订跨行授权支付协议。协议约定开户行收到客户指定的收款人通过特定机构(收款银行或第三方机构)发来的扣款指令时,根据协议约定的条件进行核验,核验通过后即从客户账户扣款完成支付,无需付款人再次授权。该业务旨在便利客户办理公用事业缴费、网络购物支付等业务。

办理业务时应确认指定收款人的身份信息,不轻易指定陌生账户为指定收款人;不再使用跨行授权支付业务功能时应及时撤销授权支付协议。

二、网络钓鱼诈骗

“网络钓鱼”是一种网络诈骗手段,骗子通过伪造合法网站(例如银行、网上购物网站等)或者假冒合法单位(如银行等)名义发出欺诈邮件,骗取网络用户的个人金融信息,进而实施银行卡诈骗。那么,如何防止陷入“网络钓鱼”陷阱?

1.切勿回复向您索取个人数据的电子邮件。

如有疑虑,可通过114提供的电话号码向公司进行咨询,切勿使用电子邮件中提供的电话号码。同样的,请不要向不请自来的电访人员透露任何个人资料。

2.切勿点选电子邮件中的可疑链接。

手工输入正确网址登录合法网站,并将之添加到浏览器的“收藏夹”中,方便下次使用。但是千万不要复制邮件内提供的链接再贴至浏览器中。

3.只和您熟悉及信任的公司进行网上交易。

请选择已建立良好服务信誉的知名公司。企业网站应该提供隐私权声明,承诺不向他人透露您的姓名和资料。您可通过设置个性化的网银登录预留验证信息,查看上次登录的IP地址和登录时间,以核实所登录网上银行的真实性。

4.确认网站经过加密保护和认证。

通常网上银行及知名购物网站的支付页面经过加密保护,请您留意浏览器网址栏的网址应该以 https:// 开头,而非一般的 http://开头。

三、风险防范

1.    不要在网吧等公共场合使用网上银行,完成网银业务或中途离开时,要及时退出网银页面。

2.    直接在浏览器中输入银行网站的官方地址,并将该网址保存到您的收藏夹,方便下次使用。

3.    不要向任何人透露账号、密码信息,不要相信任何通过电子邮件、短信以及电话等方式索要账号和密码的行为。已经向不明人员或网站提供账号及密码的持卡人,请立即通过网上银行或柜面服务修改密码,或通过发卡银行客户服务电话申请密码挂失。

4.    不采用简单数字排列、生日、电话号码、身份证件号码、家庭住址门牌号、邮编等有关个人信息的数字作为密码。将您的网上银行密码与其它用途的密码区分开,不要采用同一密码。

5.    定期查看银行账户明细信息,发现不能识别的交易,及时向发卡银行查询。

四、关于支付流程的常见问题

(一)采集用户的哪那些个人信息?

我们采集个人信息,将用作处理用户的服务要求、提供个性化服务,防止任何有关用户帐户的不法行为,或作为我们日后为用户提供其它服务之用。采集的信息种类如下:

1.    您向我们提供的信息:我们收到并储存您登录在我们网站上的或以其他任何方式提供给我们的信息,例如会员注册、订货、搜索、提供给客服人员、参加竞赛或问卷调查时提供的信息。您可以选择不提供某些信息,但是这样的话您可能将无法使用我们的一些特色服务。

2.    自动获取的信息:我们使用 cookie 和其他技术来记录您与我们网站之间的在线互动,可能接收并储存用户的IP地址、登录名、登录密码、浏览器版本、操作系统等信息。

(二)什么是Cookies

Cookies是当您浏览某网站时,由Web服务器置于您硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当用户访问我们的网站时,网站通过读取Cookies得知用户的相关信息,以便提供个性化的服务,例如使您能够在某段期间内减少输入登录密码的次数。从本质上讲,Cookies可以看作是您的身份证,但不能作为代码执行,也不会传送病毒,且为您所专有,并只能由提供它的服务器来读取。

通过设置浏览器的"工具/Internet"选项(如IE浏览器,IE6.0以下版本下请选择“隐私”选项),通常情况,可以调整到"中高"或者""的位置。杜绝Cookies虽然可以增强您电脑的信息安全程度,但这样做同样会有一些弊端。比如在一些需要Cookies支持的网页上,会发生一些莫名其妙的错误,使您无法使用一些特色的功能,因此我们建议您将其设置为打开状态。

(三)是否会与他人共享所收到的信息?

用户的个人信息是首信易支付业务中重要的一部分,我们不会将其出售、交易、交出或租借给第三者,除非经过用户本人同意。我们依照本隐私声明,以下列方式有限度地与第三者共享用户信息。

1.    第三方服务提供者:在大多数情况下,只是为了完成您在我们网站上进行的交易或活动,我们才与第三方服务提供者分享用户信息。例如,我们聘请其他公司或个人替我们履行处理订单、邮递、E-mail、付款或提供用户服务等职能。第三方服务提供者能够接触到为履行职责所必须的个人信息,但不能用于其他目的。

2.    促销、广告或链接:为了进行推广和促销活动,我们最大限度仅以不辨别个人身份的方式向广告投放者或第三方网站披露用户信息。某些资料(例如:您的姓名、手机号码、E-mail和财务资料)将永不披露给广告商,但广告商可从您的用户名或其它可披露资料分析得出的资料不受此限。

3.    会员平台或会员社区:此时,您的身份将通过您的用户名识别,您可能会参与交易、交流或有奖活动。其他人可以基于您的用户名了解到您的交易、中奖、发言等活动,并且将用户名与您联系在一起,有可能通过本网站提供的功能,向您发送站内短消息或E-mail

4.    其他公司实体:在适用法律容许的前提下,我们可能在全球范围内与本公司的母公司、子公司、合营企业和关联公司共用部分资料,其中可能包括关于您的个人资料。以上提及的公司实体将为首信易支付用户提供各种与我们业务相关的服务,有限度地取用您的资料,并且保护您的隐私信息。

5.    法律要求:我们可能因为法律执行或法律规定与执法部门分享特定用户的联系方式和其他公开资料。一般情况下,除非法律有特别规定,否则我们不会向执法部门提供用户的财务、历史记录、收费或其他非公开资料。

6.    征得您的同意:除以上规定之外,当有关您的信息有可能披露给第三方时,您将会得到通知,并且您将有机会选择不与第三方共享此信息。

(四)我的信息有多安全?

1.    在信息交换的过程中,我们通过使用128SSL(网络安全层软件)对您输入的信息进行加密,以确保所有机密资料在传送之前已经受到加密保护,在传送过程中不会受干扰或被截取,确保信息安全。

2.    所有用户个人信息及交易资料均存放在服务器,各服务器无论在存放地点及电子环境方面都已进行适当的防御处理,以保证用户资料安全。

3.    建议您使用首信易支付或其他网站后,及时退出登录,以防止他人未经授权使用您的密码。

(五)我有哪些选择?

1.    您在使用首信易支付提供的服务时,有权选择不提供我们所要求的信息,但这样可能导致您无法使用该项服务。

2.    您可以添加或更新有关会员帐户中的部分信息,当您更新信息时,我们将保留您原有信息的存档,并记录具体操作的时间及细节。

(六)是否允许儿童使用首信易支付?

未成年人(年龄18周岁以下人士)无资格在没有监督的情况下使用首信易支付的服务,我们要求未成年人不要提交任何个人资料。如果您不满18岁,请在父母或监护人参与的情况下使用首信易支付的服务。

(七)使用条件和修订

如果您有任何有关隐私的问题,请联系我们并作充分描述,我们将尽力解决。本隐私声明和使用条件可能随业务变化而调整,(在您许可的前提下)我们会通过电子邮件方式或平台公告等方式提醒您我们的声明和条件,同时建议您经常登陆我们的网站了解最近的变化。我们承诺,未经有关用户同意我们决不会对我们的声明和条件进行降低对用户信息保护程度的重大修改。关于隐私声明的修改权、解释权和更新权均属于首信易支付。本隐私声明被纳入用户服务协议之中,并受该协议的条款制约。

 

 

 

 

 

 

 

 

 

 

 

 

切换语言