中付技术于2022年5月成功通了atsec基于标准PCI 3DS Core Security Standard v1.0的符合性评估。
2017年10月,PCI SSC发布了PCI 3DS Core Security Standard标准,全称为Security Requirements and Assessment Procedures for EMV® 3-D Secure Core Components: ACS, DS, and 3DS Server,该标准的安全要求旨在保护执行特定3DS功能或者存储3DS数据的3DS环境,支持3DS的实施。PCI 3DS Core Security Standard由PCI SSC管理和维护,同时EMVCo负责管理和维护EMV 3-D安全协议和核心功能规范(EMV 3-D Secure Protocol and Core Functions Specification),定义了如何实施3D安全协议。
PCI 3DS核心安全要求用于保护3DS功能执行或者3DS数据存储所在的3DS环境。需要保护的特定功能包括:3DS服务器(3DS server)、3DS目录服务器(3DS Directory Server)和3DS访问控制服务器(3DS Access Control Server)。本次中付技术完成的PCI 3DS的合规范围覆盖其3DS 服务器的部分功能,包括收集3DS消息所需的数据元素(Collecting necessary data elements for 3DS messages)功能,验证3DS SDK和3DS请求程序(Validating the 3DS SDK, and the 3DS Requestor)功能,以及确保3DS消息内容得到安全保护(Ensuring that message contents are protected)功能。
中付技术运营经理马女士表示:“此次中付技术3DS产品通过行业内最高安全标准PCI 3DS认证,证明其已符合PCI 3DS核心安全标准,同时也标志着中付技术的支付安全认证技术达到了国际主流水准。中付技术已在行业内耕耘8年,作为国内知名“金融+科技”公司,中付技术一直坚持脚踏实地打磨产品和服务,为跨境电商提供一站式跨境交易及风险合规服务。此次通过认证的中付技术3DS系统有助于收单银行和支付机构降低风险,同时支持本地部署和云服务方式,致力于为客户打造更加安全的支付体验。”
中付技术EMV 3DS方案在全球范围内居于领先地位,符合最新的EMV 3DS 2.2标准,并向下兼容EMV 3DS 2.1标准。中付技术EMV 3DS方案已成功获得包括Visa、MasterCard、AE、Diners Club/Discover,银联国际等国际卡品牌的认证。中付技术致力于通过创新技术,为金融及支付收单机构提供更具安全性,可靠性以及便利性的跨境支付与合规风控解决方案。
atsec资深顾问和PCI实验室主任刘岩先生评论到:“我们很荣幸和中付技术共同努力实现了PCI 3DS的合规。3DS安全协议可以对于CNP交易提供额外的认证方式,使得支付更加安全可靠,而PCI 3DS从数据环境的角度提出了信息安全各个维度的基线要求,而PCI DSS标准也是该标准制定和发展的根基。atsec很高兴能够将我们在这个领域的积累和经验分享给产业内的机构,持续投入于支付安全领域的服务和标准化的研讨”。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec是针对支付卡产业数据安全标准(PCI DSS)授权的合格安全评估机构(QSA: Qualified Security Assessor),授权的认可扫描服务商(ASV: Approved Scanning Vendor),PCI 3DS评估机构,支付应用合格安全评估机构(PA QSA: Payment Application Qualified Security Assessor),PCI取证调研PFI机构(PFI: PCI Forensic Investigators),PCI软件安全框架机构(SSF:Software Security Framework Assessors),PCI点对点加密P2PE(PA)评估机构(POINT-TO-POINT ENCRYPTION ASSESSORS)™以及支付卡产业PIN安全要求(PCI PIN Security Requirements: Payment Card Industry PIN Security Requirements)标准的安全评估机构。atsec提供PCI SSC体系下的完整服务。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑,在PCI产业建立了完善的方法论,以更好的服务于支付卡产业。
关于中付技术
中付(深圳)技术服务有限公司(中付技术 (SHENZHEN) TECHNICAL SERVICES LIMITED)2013年成立于深圳,是一家跨境支付技术、风控及合规解决方案提供商。公司注册资本7000万元,目前在北京、香港、苏州等地设有分公司及办事处。
中付技术目前为中国支付清算协会理事单位、中国支付清算协会反欺诈工作委员会成员、Visa&MasterCard官方授权服务商&TPP及合作伙伴、Austreme中国客户服务中心、Oracle OPN合作伙伴。
中付技术团队成员工作经验涵盖监管合规政策、信息安全、欺诈预防、风险管理、风控建模、数据挖掘及智能分析等多领域,复合型人才近60人。
东莞跨境电子商务协会于2014年6月成立,协会作为政府、跨境电商产业链和生产制造企业之间的纽带,为推动出口外贸产业电商化、跨境电商产业化发挥积极的作用。
此次,中付技术正式加入东莞市跨境电子商务协会,这也标志作为行业内的专业组织,协会对中付技术的产品和服务给予认可。
中付技术已在行业内耕耘8年,作为国内知名“金融+科技”公司,中付技术一直坚持脚踏实地打磨产品和服务,为跨境电商提供一站式跨境交易及风险合规服务。
与此同时,中付技术也具备了较高行业资质与认可。目前为中国支付清算协会理事单位、中国支付清算协会反欺诈工作委员会成员、Visa&MasterCard官方授权服务商&TPP及合作伙伴、Austreme中国客户服务中心、Oracle OPN合作伙伴。
在授牌仪式前,东莞市跨境电子商务协会负责人与中付技术负责人进行了友好交流,就中付技术公司发展、协会的情况,以及跨境电商目前遇到的合规方面的问题以及未来发展趋势等内容进行了深度探讨。
友好交流和探讨结束后,东莞市跨境电子商务协会和中付技术举行了入会授牌仪式,中付技术正式成为中国服务贸易协会会员。中付技术负责人表示,今后中付技术仍会充分发挥自身优势,秉承安全、专业、高效的服务理念,持续为客户创造价值,通过技术创新和跨界融合,打造一流的国际化跨境技术服务品牌,为中国跨境电商保驾护航。
About Us
中付(深圳)技术服务有限公司(SINOPAY (SHENZHEN) TECHNICAL SERVICES LIMITED)2013年成立于深圳,是一家跨境支付技术、风控及合规解决方案提供商。公司注册资本7000万元,目前在北京、香港、苏州等地设有分公司及办事处。
目前为中国支付清算协会理事单位、中国支付清算协会反欺诈工作委员会成员、Visa&MasterCard官方授权服务商&TPP及合作伙伴、Austreme中国客户服务中心、Oracle OPN合作伙伴。
中付技术团队工作经验涵盖监管合规政策、信息安全、欺诈预防、风险管理、风控建模、数据挖掘及智能分析等多领域复合型人才近60人。
什么是EMV 3-D Secure?
EMV 3DS是由EMVCo统一发布的针对CNP电子商务交易的持卡人身份验证协议标准,帮助预防未授权的CNP交易,避免电商商户受到盗卡和欺诈损害。
最新3DS 2.2与以往版本的区别?
目前EMV 3DS最新版本为2.2,相比于2.1,3DS 2.2拥有其所有的功能,并在此基础上进一步优化了消费者的购物体验,支持更多的支付方式与更多的豁免环境。这些都将有效提升支付成功率,并降低消费者放弃订单的可能性。
3DS 2.2版本允许支付服务商或商家应用交易风险分析系统(TRA:Transaction Risk Analysis),向发卡行请求低风险豁免。
TRA豁免其实在3DS 2.1中就有应用,它允许商户或支付服务商在欺诈率低于特定阈值的情况下直接让交易避开SCA校验,但部分发卡行的3DS 2.1版本并不支持该项功能,而3DS 2.2版本则要求发卡行必须支持TRA豁免。需要注意的是,不同的交易金额在申请TRA豁免时所需的阈值也有所不同。
3DS 2.2支持商户发起付款(3RI:3DS Requestor Initiated),这意味着消费者不再需要参加每一个交易步骤。
3RI功能是3DS 2.2与2.1版本的主要区别之一,该功能允许商户在一次交易的身份认证中获得额外的密钥,该密钥可以被商户用来请求一系列有关这笔交易的授权。例如,在消费者进行付费电视频道的订阅,或是购买旅行社的打包产品(包含机票、酒店、及其他涉及多个商家的产品)时。3RI将允许商户仅做一次身份认证就可以使用该授权完成后续的交易,而消费者则无需参与其中。
3DS 2.2版本支持委托认证(Delegated Authentication)功能,该功能允许第三方机构代替发卡行进行身份验证。
委托认证允许商户、支付服务商或是收单行在某些情况下代表发卡行对消费者进行认证,并在数据流的传输中向发卡行告知该笔交易已通过身份验证。这么做的好处显而易见,发卡行可以根据第三方机构的身份认证信息,来免除这笔交易可能会触发的3DS身份认证步骤,从而进一步优化支付流程,降低弃单率。
3DS 2.2版本支持解耦认证(Decoupled Authentication)功能,该功能可以将支付与认证两个步骤分开,适用于消费者无法立即完成身份认证的情况。
解耦认证的出现成功将绑定在一起的支付与认证两个步骤拆分开来,该功能也可应用于上文中提到的3RI,但最重要的是它允许消费者在身份认证时拥有更多选择。例如,消费者在PC浏览器上购买一件商品,但却可以在移动手机上完成SCA认证。除此之外,商家还可以自定义解耦认证的持续时间,以保证消费者有充足的时间来完成身份验证。
信用卡国际组织为规范全球银行部署3DS 2.2进阶验证机制,扩充已运行将近4年的3DS 2.1标准。目前Visa、MasterCard、JCB、AE、DISCOVER与银联国际(UnionPay International)也全面支持EMV 3DS 2.2。
前言
外卡收单(Acquiring), 是指收单机构向境内商户提供的与银行卡有关的本外币资金结算服务,通过国际卡组织收单会员及国际卡组织向境外消费者银行卡所对应的发卡银行发送支付请求获取授权并最终完成资金清结算的过程。产生需求的场景主要是包括:
中付技术外卡收单系统
作为国内领先的外卡收单及风险管理技术服务公司,中付技术为合作伙伴提供提供一站式外卡收单业务解决方案,包括:
交易网关
卡组织文件处理
交易清分服务
商户管理系统
争议管理系统
代理商系统
第三方风控介入
PCI合规支持
其他定制化开发
凭借外卡收单系统的强大能力,可以满足不同类型客户的多样化需求。
五大特色:
支持五大卡组及银行或第三方:Visa /MasterCard/ American Express / DCI / JCB。
集成支付网关:支持EMV 3DS2及3DS、支付令牌、 统一支付接口。
数据安全:符合并通过PCI DSS认证、公安部等级安全保护认证、ISO9001认证 、ISO27001认证。
多种部署方式:SaaS服务模式 、客户本地部署模式等。
集成风控管理:多指标风控引擎、 黑/白名单 、第三方风控快速接入。
三大优势
多数据中心
中付外卡收单系统在全球拥有多个数据中心,分别位于中国深圳、中国香港、新加坡和韩国首尔。数据中心全部配置RAID5数据备份并互相灾备,确保为客户提供高稳定性和数据安全的服务。
分布在全球多个国家和地区的数据中心,凭借优良的网络和服务器性能确保业务高效、稳定、可靠。基于强大数据中心配置的中付外卡收单系统性能优良,拥有毫秒级的网关连接速度,可在数秒内完成全球任意位置交易处理。
中付外卡收单系统整体可用性( SLA )达到99.99% 系统年宕机时间不超过50分钟。
关于中付技术(Sinopay)
中付(深圳)技术服务有限公司创立于2013年,是一家跨境支付服务、风控及合规解决方案的服务提供商。公司注册资本7000万元,目前在北京、香港、苏州等设有分公司及办事处。
目前为中国支付清算协会理事单位、Visa&MasterCard官方授权服务商、TPP及合作伙伴、 Austreme中国客户服务中心,团队主要成员工作经验涵盖监管政策、信息安全、欺诈防控、风险管理、风控建模、数据挖掘及智能分析等多领域复合型人才近60人。
10月20日,经中国支付清算协会批准,中付(深圳)技术服务有限公司(以下简称中付技术,)正式加入中国支付清算协会反欺诈工作委员会。
反欺诈工作委员会成员告知函
中国支付清算协会反欺诈工作委员会成立于2017年4月27日。反欺诈工作委员会的宗旨是通过组织会员单位和社会力量,构建支付行业行之有效的反欺诈体系,完善反欺诈工作自律规则,规范反欺诈相关制度标准,形成更加有效的工作机制和市场合力,有的放矢地制定支付行业反欺诈规则,有效维护金融业持续健康发展,切实保护广大消费者的合法权益。为进一步推进我国反欺诈工作的深度和广度,2019年,反欺诈工作委员会新成立三个专项小组,在政策理论研究、标准制定和平台建设等方面多线程并进。
中付技术将在协会牵头组织下,积极参与反洗钱、反欺诈领域政策研究并建言献策,参与制订相关政策与行业解决方案。作为国内唯一一家专业从事跨境合规及交易反欺诈的大数据技术公司,中付技术目前正积极服务于我国跨境电商行业,通过大数据技术为跨境支付监管机构提供跨境支付风险观察窗口与决策数据支撑。利用中付国际卡收卡网关,跨境交易风控系统,汇率管理以及风险大数据等技术服务,为跨境支付行业提供交易合规解决方案。
作为中国支付清算协会反欺诈工作委员会成员单位,中付技术将凭借自身多年来在跨境合规及反欺诈领域的经验和技术,以及对于国内外反欺诈工作的研究经验及实操基础,积极配合反欺诈委员会的工作,为委员会提供跨境支付领域反洗钱、反欺诈及风险合规建议,帮助委员会及行业伙伴及时识别、预防可疑交易以及欺诈风险,并为伙伴提供事前,事中以及事后的欺诈解决方案,提供更安全的交易体验。
未来,随着强监管时代的到来与市场的进一步规范,中付(深圳)技术服务有限公司(Sinopay (Shenzhen)Technical Services Limited)(Sinocompliance.com)将始终秉持合规经营理念,积极拥抱监管,同时以技术服务为基础,进一步提升服务能力,围绕各行业场景,不断进行技术升级与产品优化,深度赋能跨境经营及反欺诈监管,携手合作伙伴共建共赢生态体系,推动支付产业健康持续发展。
当前,新冠疫情在全球范围内进入到一个新的阶段,疫苗的出现帮助一些国家和地区恢复了正常生活。2021年上半年,随着疫苗接种率的上升,现场活动和重新开业的商店、餐馆以及办公场所的数量也有所增加。在这一新阶段,给各行各业都带来了不同程度变化。NuData安全公司基于全球交易数据进行分析,洞察到全球交易和欺诈的新趋势。
欺诈背景分析
现今的消费市场越来越呈现混合增长的状态,主要的特征包括:
(更多背景分析,请点击https://www.wjx.cn/vj/mynKcx6.aspx)
各行业的全球流量变化趋势
(更多原因分析,请点击https://www.wjx.cn/vj/mynKcx6.aspx)
关于NuData,一家万事达卡安全公司
NuData安全公司属于万事达卡公司。它可以根据用户的在线互动来帮助企业识别用户,并阻止各种形式的自动欺诈。NuData利用行为分析和被动生物识别学的能力,通过每月评估超过17亿个行为事件,使其客户能够将合法用户和高危用户区分开来。这使得客户在关键决策之前验证用户,阻止账户接管,停止自动攻击,同时减少对客户的名誉损害。NuData风险解决方案被世界上众多知名品牌用于阻止欺诈,为各品牌提供更好的客户体验。
中付技术是万事达卡在中国大陆地区合作伙伴,如您想要了解更多关于NuData风险产品的信息,请联系我们。https://www.wjx.cn/vj/mynKcx6.aspx
2021年9月23、24日,作为中国支付清算协会理事单位,中付技术参加由中国支付清算协会举办的主题为《加快支付产业高质量发展,助力构建新发展格局》第十届中国支付清算论坛。
中付(深圳)技术服务有限公司风控合规部、产品运营部等部门的同事与来自全国的商业银行、支付机构、科技公司等上千名业务骨干与支付清算工作人员共同参加了线上论坛。
论坛开始,中国支付清算协会会长、中国银行董事长刘连舸在“第十届中国支付清算论坛”上表示,踏上全面建设社会主义现代化国家新征程,外部形势错综复杂,经济转型明显提速,支付清算行业面临的机遇与挑战同在。他肯定了十年以来中国支付清算协会对于行业做出的巨大的贡献,并提出四点倡议:第一,进一步提高服务“十四五”规划及国家重要部署的自觉性。第二,进一步提高服务实体经济和人民群众需求的针对性。第三,进一步提高支付清算服务的安全性。第四,进一步提高支付科技创新应用的普遍性。
其次,由中国银行董事长,中国人民银行范一飞副行长结合论坛主题和工作实践发表讲话:一是在“十三五”时期,我国支付产业发展成效显著,主要在于(一)支持实体经济发展更加有力(二)是服务民生改善更加精准(三)是支付市场开放稳步推进(四)是支付严监管成为常态(五)是平台企业支付监管成效明显。
二是我们应当立足于新发展阶段,正确认识支付产业发展面临的新形势,包括:支付产业公平发展面临的新的挑战,支付产业高质量发展面临的新的考验,支付产业安全发展面临的新的课题。
三是谋划长远发展,继续推动支付产业融入新发展格局。(一)坚持人民至上,坚决推动支付领域反垄断向纵深发展(二)坚持全局观念,坚定扛起“支付为国”的责任担当(三)坚持深化改革,在更高水平上实现支付服务供求关系的动态平衡,(四)坚持守正创新,共同筑牢支付产业健康发展防线
之后,由央行支付结算司司长,国家外汇管理局总会计师,中国人民银行数字货币研究所所长,以及城银清算,环球融讯,腾讯金融,华为金融以及京东科技的数位代表分别分享了现有的工作经验。
中付技术负责人表示,通过参与本次支付清算论坛,我们了解了协会的工作部署加深了今后支付清算行业发展的认识,并且将根据此次论坛上提出的行业变化及时调整公司产品服务和相关策略,以提供更好的支付技术以及解决方案给行业客户。
作为支付清算协会理事单位,中付技术积极参与协会组织的行业研讨、业务分享等工作,凭借自身在跨境支付行业多年的服务经验,通过跨境支付技术、风控、动态汇率转换等服务手段,为我国跨境电商行业发展持续贡献力量。
2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布,并将于2021年11月1日起生效实施。这是中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。
为何支付行业需要重点关注《个保法》?
支付业务属性决定其必须处理大量用户个人信息甚至敏感信息。因此《个保法》对于支付行业的影响范围主要会涵盖以下几方面:商业银行等金融机构、第三方支付机构等非金融机构、支付及安全技术服务机构等此类涉及到交易数据处理的机构。以上各类机构及公司需要严格按照《个保法》中关于个人信息处理及敏感个人信息处理的要求检查相应业务及系统流程,确保相关数据信息的获取、处理、存储和应用等符合监管法规的要求。
例如支付清算机构为银行业金融机构、第三方支付机构提供转接清算服务,需处理包括身份证号、短信验证码、银行账号等身份认证信息,付款金额等交易信息以及自然人商户信息等。从某种程度上说,清算业务本身就是对个人信息的处理业务。此外,支付清算机构还需要按照人民银行相关监管要求,在履行包括风险监控、交易信息分析等职责时,同样涉及到处理大量个人信息需要按照《个保法》中相关规定进行合规处理。
支付业务中由于风险管控的需要,通常面临尽职调查、反欺诈、反洗钱等问题,需要收集大量交易方的个人信息,以实现对用户、用户设备的身份识别和认证。此类业务中涉及到的个人信息包括但并不限于如下内容:
针对于以上支付行业涉及的个人信息的内容,此次《个保法》的出台对于此类信息的处理规则、合规管理以及处罚等方面均作出了明确规定,具体如下:
《个保法》第二章规定了个人信息处理的八大规则,涵盖处理个人信息的合法性基础、处理个人信息的告知与同意要求,个人信息处理的不同场景(共同处理、委托处理),个人信息处理的不同方式(共享、公开)等。
对于支付业务来说,首先应当在合法的基础上处理个人信息:例如应当取得个人的同意,遵循相关的法律法规(《非银行支付机构条例(征求意见稿)》、《中华人民共和国反洗钱法(修订草案公开征求意见稿)》)合同,规章制度等,在合理的范围内处理个人信息;
其次要遵循个人信息告知与同意的要求:个人信息处理者在处理个人信息前,应以显著的方式、清晰易懂的语言向个人告知特定事项,但根据法律、行政法规规定应当保密或者不需要告知的情形除外。
《个保法》对敏感个人信息的处理规则专门进行规定。在支付业务中,个人敏感信息可能会体现在:个人的身份信息,支付信息,交易信息等。据此在处理这些信息时应当需要遵守的规则主要包括:
《个保法》明确了个人信息跨境提供的基本规则,主要包括以下方面:
法定条件。《个保法》规定向境外提供个人信息应首先满足“因业务等需要,确需向中国境外提供个人信息”的前提,同时还应具备下列条件之一:
对于支付行业来说,主要会涉及个人信息的的场景是将境内用户的个人信息提供给境外机构或者是企业,这就需要首先告知同意要求,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。其次,需要设定保护标准。具体来讲个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。此外,对于其他特定出境情形,《个保法》规定了个人信息处理者向外国司法或者执法机构提供存储于中国境内的个人信息应经中国主管机关批准,并对损害中国公民个人信息权益的境外组织与个人采取负面清单要求。此外,《个保法》还针对在个人信息保护方面对我国采取歧视性的不合理措施的其他国家和地区的规定了对等采取措施的要求。
还需要注意的是,《个保法》还明确了个人信息处理者的合规管理和保障个人信息安全等义务,具体包括:
以上要求需要在实际业务流程中以业务动作、系统功能等方式进行落实。
(五)明确对于个人信息泄露行政处罚与法律责任
此次《个保法》对违法行为加大惩处力度,设置了严格的法律责任。
例如,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。
《个保法》同时对侵害个人信息权益的民事赔偿、刑事责任以及公益诉讼做出规定。具体而言,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。违反《个保法》规定构成犯罪的,追究刑事责任。个人信息处理者侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
总结:
对于涉及金融及跨境支付行业的企业,还应结合相应行业的特点以及监管的特别要求,例如对于个人数据隐私的保护还需要参考《网络安全法》,《非银行支付机构条例(征求意见稿)》以及《中华人民共和国反洗钱法(修订草案公开征求意见稿)》《信息安全技术公共及商用服务信息系统个人信息保护指南》(国标GB/Z28828-2012)等,进行相应的合规整理工作。
相关参考文章:
http://www.junhe.com/legal-updates/1539
https://baijiahao.baidu.com/s?id=1708861305595479015&wfr=spider&for=pc
https://mp.weixin.qq.com/s/uJ5FSqmAB5bQU81KLPbmOQ
https://mp.weixin.qq.com/s/Fu6opV2qrAfVR83oodsB2g
https://www.tc260.org.cn/front/postDetail.html?id=20210105154506
Copyright © 2022中付(深圳)技术服务有限公司. All Rights Reserved
Recent Comments