公司简介

管理移动支付的风险和安全威胁

单击此处以PDF格式下载本文。

介绍

 

在过去的十年中,移动电话已成为人类历史上最普遍使用的技术之一。如今,世界几乎每个角落的数十亿人都拥有手机。这些设备决定了它们与社区,国家和经济的互动。
同时,消费金融服务业已经在整个地球上传播了电子支付的好处。通过将金融机构,持卡人和全球数以百万计的商人联系起来,全球支付网络以以前无法想象的方式和地点促进了贸易。

考虑到这些技术的并行传播,长期以来人们一直认为不可避免地会发生融合。确实,有很多证据表明了这一方向。然而,随着个人授权和商业便利化这一新领域的发展,这些移动支付系统的运行方式仍存在很多不确定性。最重要的问题是如何确保它们的安全性。

移动支付

 

为了了解移动支付的发展方向和应解决的安全挑战,我们必须首先定义“移动支付”的含义。在最基本的层面上,我们可以将移动支付分为以下两种:1)移动即支付设备,由消费者发起支付; 2)移动为接受设备以接受商家付款。

移动支付设备

使用手机开始付款反映了我们今天所熟悉的情况。根本区别在于,移动支付不是使用卡付款,而是使用手机。业界将实体销售点(POS)和电子商务环境中的移动支付分别定义为“接近支付”和“远程支付”。

接近付款非常直观,并且类似于当今的付款方式。消费者不用使用卡付款,而是使用手机。可以为接近支付提出许多不同的技术。然而,被称为NFC(近场通信)的非接触技术正在成为事实上的技术标准。 NFC的最大好处是,它可以与现有的支付和交通卡非接触式标准向后兼容,并且许多基础架构已在全球范围内部署。短距离无线电信号在电话和终端之间传输,启动付款并允许通过传统的卡处理网络和系统进行处理。

与邻近支付不同,远程支付不需要消费者在商店中,甚至不需要与商人在同一国家。取而代之的是,远程支付将在线购物的便利带给一个人的移动设备。

一些最常见的远程支付类型包括:

 

-基于消息的:当消费者发送文本消息或代码,并且从消费者的电话费中收取了额外费用时;

-基于浏览器:类似于基于计算机的电子商务体验-消费者填写Web表单;和

-基于应用程序:当消费者使用供应商赞助的应用程序查找和购买商品或服务时。

 

移动作为接受设备

除了更换支付卡之外,移动电话也开始被用作便携式POS设备。在智能手机应用程序的世界中,出现了一种允许小商户或个人订阅支付服务的软件,他们通过手机上的密钥输入卡数据接受卡支付。移动电话附件也正在兴起,它们在移动电话中添加了磁条或芯片读取器,因此可以像传统POS设备一样以电子方式输入卡数据。移动接受为将来的普及开辟了道路,即“希望接受的任何地方”。

如今,我们看到移动接受的范围不断扩大,从园丁到比萨送货店,将电子支付的移动性和便利性带给了传统上依赖现金和支票的商户。

同时,将手机用作支付和接受设备也将开辟新的机会和渠道,例如人对人(P2P)汇款,在这里,可以使用手机发起或接受之间的转账。个人。

移动支付的好处

 

移动支付根据消费者的需求和商家的营销需求综合了手机技术。了解了移动支付的基础知识之后,我们现在将注意力转移到移动支付为何重要:这种技术为消费者和商人带来的巨大利益。

消费者利益

移动技术和电子支付的融合,有望带来更好的购物体验,并带来前所未有的便利性和对支付方式的控制。

带有互联网连接功能的移动电话允许消费者研究购买并比较价格。此外,消费者可以通过社交媒体与朋友分享喜爱的产品。商家还可以提供促销机会,包括数字优惠券。

一旦准备好购买,消费者可以选择在非接触式非接触式实体商店或通过远程支付在在线商户进行交易。已经宣布了较新的电话,它将包括非接触式NFC技术,这可以减少结帐行的麻烦,更好地控制财务信息以及将支付卡和移动电话合并为一个工具的便利。

如果消费者决定改为通过在线零售商购买商品,则移动设备还可以通过多种方式用于促进该交易。一个例子是在线钱包,这种钱包在电子商务中很常见,而在移动设备中却很常见。消费者将其支付卡信息存储在易于访问的在线位置,然后用于简单的一键式支付。此外,购物者可以在携带移动设备的任何地方进行交易,而不必在家中启动计算机来体验在线购物的便利。

移动设备还可以进一步便利交易后的便利性,即将收据安全地存储在移动设备中以进行跟踪和客户服务,使装在钱包中的纸条过时。

商人的机会

随着这些工具变得更加安全和实用,商家也有望释放巨大的价值。移动支付使商户可以同时通过多个接触点来接触客户。例如,交付给手机的电子优惠券可以通过社交网络共享并立即使用,或直接集成到数字钱包中以用于下一次购买。通过地理位置功能确定消费者位置的能力为集成营销增加了另一个维度。安全地进行操作并提供适当的隐私保护,可以使营销更加有效和有针对性,从而吸引最有可能接受的消费者。

整体价值也是巨大的。 2005年,英国市场研究公司Juniper Research预测,当年通过移动设备进行的交易总额将达到1.55亿美元,到本十年末将突破100亿美元。移动支付不仅超过了这一预测的十倍,在2010年达到了1000亿美元,而且到2014年,数字和实物商品的总支出有望达到6300亿美元。

移动支付的未来前景广阔。消费者已准备好实现巨大的利益,而商家则获得了无与伦比的机会。但是,为了实现这一诺言,必须警惕解决安全性这一基本问题。

移动支付的安全性

 

每当引入新的支付技术时,肯定也会出现新的挑战。幸运的是,与移动支付相关的大多数安全问题与支付行业已经面临和解决的安全问题完全相同或非常相似。与过去一样,应对这些威胁必须是所有利益攸关方的共同责任。

最明显的安全问题是保护存储在移动设备中或在移动设备中流动的个人数据-支付帐号,PIN,安全代码,密码等。通过无线网络公开个人信息可能会使消费者感到容易被盗。因此,移动支付要想缓解消费者对安全性和隐私性的担忧,有更高的要求。

以下重点介绍了移动支付的一些挑战:

接近付款

接近支付基于EMV标准,因此面临最少的安全挑战。使用经EMV批准的芯片可确保移动感应支付提供与启用智能卡的支付相同的端到端安全性。对于这种类型的交易,在卡和移动世界之间保持相同的安全性将为整个支付生态系统带来巨大利益。依赖条形码或其他新的付款安全性和身份验证方式的其他类型的邻近支付代表了全新的安全性和风险模型,在提供安全,高效和具有成本效益的解决方案方面将面临重大挑战。

邻近非接触式支付的主要挑战是标准化和集成。如今,每年都有数百种新的移动设备投放市场,每种设备都提供了创新的选择以及通信和访问芯片上存储的支付信息的方式。业界缺乏技术标准可能会导致攻击,特别是如果移动设备的制造商,销售并启用这些移动电话的移动网络以及发行在这些设备上使用的支付芯片的发行者不能一起工作。整个行业的参与者必须采取防御措施,以确保整个价值链并确保移动邻近支付生态系统的正确实施。

远程付款

像我们的个人计算机一样,远程支付通常依赖基于软件的安全性,由于移动平台的开放性,该安全性容易受到许多威胁的影响。当今的手机能够执行所有类型的应用程序,从即时消息和社交媒体到游戏,甚至是在线银行和交易。

不幸的是,执行应用程序的能力也扩展到了病毒和恶意软件。尽管我们今天看到的针对移动平台的病毒和恶意软件并不多,但我们希望一旦消费者采用移动支付的方式和普及程度有所提高,这种情况就会改变。

实际上,今天已经有公司开发和销售用于智能手机的防病毒软件。道琼斯通讯社(Dow Jones Newswires)最近发表的一篇文章指出:“在PC领域销售强劲的非病毒公司,例如AVG或竞争对手趋势科技,正在努力填补潜在的有利可图的利基市场,重点是保护敏感的金融数据-恶意软件开发人员的第一目标。”

实际上,当您比较PC和基于手机的电子商务交易时,几乎没有什么区别。主要的区别和挑战是:

 

-软件:基于PC的电子商务世界几乎完全基于Microsoft Windows,MacOS或Linux操作系统上的标准化Web软件。关于移动设备,也不能这么说,因为随着操作系统和各种底层硬件体系结构的频繁更改,平台仍在快速发展。

-Internet连接:在PC世界中,风险仅限于计算机打开并连接到Internet的时间,在智能手机中,这种暴露的窗口现在大大增加了,因为电话是我们通常即使在睡眠时也保持开机的设备。

-诈骗:与诱骗受害者通过计算机泄露个人信息的电子邮件网络钓鱼攻击相比,诈骗者可以轻松地将这些策略扩展到移动渠道。实际上,由于移动设备还可以通过语音,文本或数据进行通信,因此欺诈者突然发现他们有更多的途径进行攻击。我们开始看到这种PC风格的攻击逐渐成为垃圾邮件(SMS文本网络钓鱼)和垃圾邮件(语音网络钓鱼)。

 

毫无疑问,为了确保移动支付的安全性,必须解决一些主要问题。该行业的领导者了解商户和客户的潜在价值,已经采取了一些措施来解决这些问题。好消息是我们不是从零开始:

 

-支付行业要求处理,传输或存储支付信息的所有实体均遵守支付卡行业数据安全标准(PCI DSS)。此外,支付应用程序数据安全标准(PA-DSS)适用于用于接受支付数据的软件应用程序。这些标准背后的基本原理将同样适用于移动空间。实际上,甚至有机会进一步增强这些标准,以合并由移动设备的移动性和连接性带来的新功能。 Visa今天正在积极地致力于这一工作。

-正如我们在本文前面所定义的那样,移动支付可能是一个新的渠道,但是与该渠道相关的风险和风险管理活动与非接触式交易(接近支付)和电子商务交易(远程支付)非常相似。我们几乎必须将欺诈保持在历史最低水平上的所有现有欺诈缓解程序和工具(每100美元不到6美分)也将适用于移动渠道。实际上,利用由移动设备提供的新信息(例如,位置信息),有机会进一步增强这些风险工具中的一些以合并这些新信息流。例如,如果移动交易是在洛杉矶进行的,而移动网络告诉我们电话位于波士顿,则会立即产生危险信号。

-接近付款基于当今非接触式卡所使用的相同协议和技术。这些非接触式交易为每个交易引入了动态认证元素。结果,即使交易数据被泄露,也不能在没有检测到的情况下将其再次用于成功地在销售点进行欺诈性交易。实际上,使用移动设备进一步增强了这种交易类型的安全性。消费者可以完全控制何时为交易启用NFC接口,而当用户不使用它进行支付时,则很大程度上将其禁用。

 

下一步

 

从消费者和金融机构到移动网络运营商和支付品牌,整个行业都需要采取重要而可实现的步骤来确保移动支付的安全性。另外,在行业不断更新安全措施的同时,重要的是,商家和服务提供商必须使他们的消费者保持最新状态。防范可能的攻击对于保护个人信息至关重要。

幸运的是,从风险管理的角度来看,该行业处于有利位置,可以安全地将移动支付推向市场。

消费者

消费者的教育和意识将是确保移动支付的关键要素。有了新的支付功能,移动电话将带来比电话本身价值更多的价值,并且需要格外小心。简而言之,消费者将需要像对待钱包一样,以同样的热情保护自己的手机。消费者提示的示例包括:

 

-使用某种形式的密码或密码来访问手机上的付款应用程序。

-切勿共享机密或私人信息,尤其是在您未发起通信的情况下。如有疑问,请致电您的发行人。

-确保您从金融机构收到的任何短信均来自正确的电话号码或短代码。

-仅从可信来源下载移动应用程序。

-如果包含您的财务信息的电话丢失或被盗,请立即向金融机构报告。

 

付款品牌

支付品牌通过了解支付的潜在风险结构,在该新兴渠道的发展中扮演着至关重要的角色,并且事实上,已经具备了应对大量潜在威胁的流程和对策。同时,品牌商应通过确保将风险管理实践扩展到渠道来继续促进移动支付的采用和发展。具体来说,他们应该:

 

-确保对与支付有关的安全标准进行审查和修订,以使它们保持相关性并适用于移动渠道。

-继续建立伙伴关系,并在向行业引入安全支付解决方案方面架起金融机构与移动网络运营商之间的关系。

-继续更新和跟踪第三方应用程序和设备的认证。

 

移动网络运营商

移动网络运营商也可以发挥重要作用。今天,在这个新渠道中,与消费者互动的第一点通常是移动服务提供商。因此,这为运营商提供了绝佳的机会:

 

-将移动安全软件(例如,移动防病毒软件)作为加载到新移动设备上的默认应用程序套件的一部分。

-确保用于近距离支付的手机经过认证并符合支付品牌的要求。

-提供有关移动安全性的一般消费者教育。

 

金融机构

金融机构将在安全过程中发挥作用,特别是在欺诈检测和预防方面。为了确保客户的安全,金融机构将需要:

 

-调整现有的安全方法,防止欺诈警报并跟踪支出趋势,以应对潜在的基于移动的欺诈。

-审查现有的后台流程以支持新兴的移动渠道。

-确保软件应用程序经过认证并符合支付品牌的要求。

 

供应商在移动支付领域

供应商是抵御对消费者的潜在威胁的第一线。为了确保它们得到业界的认可并得到潜在消费者的信任,供应商将需要:

 

-确保满足PCI DSS和PCI PA-DSS中的所有相关要求,包括安装符合EMV的POS系统。

-对敏感数据进行加密,而无需依赖GSM和CDMA等移动协议。而是,移动应用程序应提供端到端加密,作为产品功能的一部分。

-控制分发渠道并将其限制为可信任的来源,消费者可以在其中轻松区分其真实性。

 

总而言之,这些将电话制造商,移动网络运营商,移动应用程序开发人员,支付网络,发行人,收单人和商人聚集在一起的协调行动正在取得重大进展。协同工作,共同承担系统的最终安全责任,为移动支付的广阔前景打开了大门。

单击此处以PDF格式下载本文。

——————————

新品数据: 立即购买,以后再进行消费者研究 

关于: 立即购买,以后付款:千禧一代和PYMNTS与PayPal合作的在线信用的变化动态,研究了对新的灵活信用选择的需求以及消费者(尤其是千禧一代人口中的消费者)如何在线支付。这项研究基于两项调查,共有近15,000名美国消费者。

立即趋势