8月26日消息,中国人民银行于2010年6月21日发布的《非金融机构支付服务管理办法》将于2010年9月1日正式执行。届时,赛迪网记者特采访了中国软件评测中心信息安全测试部的朱信铭女士,她就第三方支付的信息安全问题做了回答。
据了解,第三方支付交易有两种典型的服务方式,一是利用互联网进行在线支付,第二种在线下利用类似自助银行的POS机提供转账、付款等业务。
朱信铭指出,当前大部分支持在线支付的第三方支付平台为用户提供了登录页面加密传输、采用验证码等方式保护信息安全,但相对于网银的强制性安全登录模式,第三方平台的安全保护力度不足,往往用户使用邮箱和强度很弱的密码即可登录账户,私密性严重不足。在线支付的个人信息安全更是用户最为不安的因素,不少第三方平台以提高信用度为由,要求用户进行实名认证,大量收集用户的身份信息,但对所搜集的个人信息的安全承诺很弱,对于如何存储、如何使用、在第三方支付企业发生业务转移的情况下如何保护信息不被泄露等,基本上都没有具体的承诺。
朱信铭还指出,线下的支付平台不需要用户进行实名认证,但用户进行操作时输入的账号、密码、操作记录等信息也属于个人信息,第三方支付平台对这些信息的保护承诺也很少,基本上一语带过,一旦发生安全事件,用户恐怕维权非常困难。
第三方支付一直处于监管的灰色地带,由于用户登陆支付平台需要输入真实的姓名、身份证等个人信息,而支付平台对个人信息保护的力度又不足,这就让一些不法分子利用漏洞来窃取用户的账面资金,或者出售用户个人信息给用户造成重大损失,洗钱、网络赌球等现象也是时有发生。对此,朱信铭表示,人民银行的《非金融机构支付服务管理办法》对第三方支付企业的资质进行了规定,其中有条款为“最近3年内未因利用支付业务实施违法犯罪活动或为违法犯罪活动办理支付业务等受过处罚。”涉嫌网络赌球的企业将很难逃脱审查。
