移动付款被吹捧为最简单的、最方便的资金交换方式,通过移动付款几乎在任何地方都能以电子支付的方式进行购物和支付账单。用户只需单击一下移动设备的按钮或者在销售网点系统附近晃动一下移动设备,就可以进行购物或者支付账单。这对于购买者来说,支付和购物方便了很多;但是它却给提供这个服务的金融机构引入了很大的风险。 这不是移动银行业务第一次亮相了。
几年前,在向电子货币和数字身份证转变的第二个革命性阶段就出现了移动付款的身影。那时移动付款业务的发展受到技术限制和高成本的困扰,不论是消费者还是服务提供商都面临这些方面的问题。无线应用协议(WAP1.0)的普及遭遇了很大的挫折,因为移动设备和移动业务服务提供商……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
移动付款被吹捧为最简单的、最方便的资金交换方式,通过移动付款几乎在任何地方都能以电子支付的方式进行购物和支付账单。用户只需单击一下移动设备的按钮或者在销售网点系统附近晃动一下移动设备,就可以进行购物或者支付账单。这对于购买者来说,支付和购物方便了很多;但是它却给提供这个服务的金融机构引入了很大的风险。
这不是移动银行业务第一次亮相了。几年前,在向电子货币和数字身份证转变的第二个革命性阶段就出现了移动付款的身影。那时移动付款业务的发展受到技术限制和高成本的困扰,不论是消费者还是服务提供商都面临这些方面的问题。无线应用协议(WAP1.0)的普及遭遇了很大的挫折,因为移动设备和移动业务服务提供商之间存在着巨大安全缺口,这一情况被叫做“WAP缺口”。
今天,很多过去的技术限制和安全顾虑都已降低了,而移动付款业务利用这些技术上的进步又一次浮出了水面。其中一个重要的变化是WAP 2.0的使用,它允许在移动设备和服务提供商之间进行端到端的加密。
但是移动付款业务还是存在风险,金融机构采用移动付款程序之前,他们应该考虑以下几个关键的风险区域:
第三方供应商:移动付款服务提供商建立了一个机制,可以让用户把他们存在银行帐户或其它受监管的金融企业中的货币取出来。这些服务提供商是财务中间人,他们提供的服务被列为货币服务业务(MSBs)。货币服务业务提供商必须遵守与其合作的州内的法律。然而,不是所有的州都有监管MSB活动的法律,所以在选择的过程中应该仔细审查。如果你所在的财务公司决定使用MSB进行移动付款交易活动,那么请务必检查MSB提供商实际的信息安全情况,从而让自己放心。
监管和法律责任:美国现在几乎没有能够防止移动付款业务被滥用的安全措施。安全措施的规划和宣传指导方面几乎没有进步,传统的洗钱对策不能充分地处理因移动付款滥用引发的电子银行和无现金服务系统威胁。到现在为止,几乎没有任何基金会去研究和发展法律,从而执行现有的几个监管规则。金融机构必须让他们的法律团队和规则遵从团队制定使用移动付款系统的“交通规则(rules of the road)”。规则应该包括全面的MSB服务提供商实际安全情况审查,全面的支付卡行业数据安全标准(PCI DSS)的遵守情况审查,以及制定一个强有力的涵盖突发事件应对和责任的合同。另外,如果一个金融机构参加了政治活动团体,则一定要教育和告知团体的代表们,让他们清楚为客户开发相关法律和安全措施的必要性。
预防欺诈/损失的措施:金融机构必须能够监视和跟踪可疑的交易活动,这就要求交易活动对金融机构是透明的,以便于其收集情报。这有时候需要得到政府情报机关和政府执法机构的协助。不幸的是,这些组织在移动付款技术方面几乎没有专业的技能。很多国家在通过移动电话进行货币转移领域没有相关的法律和监管政策。移动电话网络有一些安全功能,可以阻止执法部门和情报服务部门检测可疑的非法交易。迅速发展的技术能力正超过政府追踪货币交易的能力,甚至会使金融机构不必再遵守美国爱国者法案(USA Patriot Act)和银行保密法(Bank Secrecy Act)。
由于无线环境中安全威胁的属性和数量的不确定性,金融机构应该对他们的移动付款系统实行独立的、阶段性的安全漏洞评估,评估的重点放在那些能够识别可疑交易活动或者可疑付款活动的检测系统和反馈系统,这项工作非常的关键。另外,金融机构必须命令他们的第三方付款服务提供商也要进行评估,以便于他们进行审查。这些评估应该在每一次大的环境条件改变时进行。移动付款欺诈处理程序应该有利于对检测到的威胁和滥用展开迅速调查以解除威胁。这将帮助执法部门和政府情报机构在必要的情况下对你的企业进行协助。
总体而言,虽然移动付款业务在电子付款的可行性和安全方面已经有了一些显著的改进,但对于金融机构来说,现在采用这个服务还是有几个大的风险。随着培训和安全措施的改进,以及技术在市场上变得司空见惯,一定会浮现出新的风险和威胁来挑战今天的安全改进。移动付款可以更快、更方便、障碍更少,但是这些对于攻击者来说也是如此。金融机构必须权衡风险和利益,然后决定现在时机是否适当,能否出手一搏。
作者
翻译
相关推荐
-
McAfee公司调查证实规则遵从是IT安全的关键驱动力
根据安全巨人McAfee公司近日发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。
-
云安全
云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。
-
调查发现:云计算的风险大于收益
通过对1800多名美国IT职业人员进行调查,发现有48%的人表示云计算的风险大于其收益,有些管理企业内部云计算项目的IT职业人员对云计算表现出了持续的焦虑情绪。
-
保护网银安全:设备标识的工作原理
为什么会出现用户在输入用户名和密码之后不能查看账户信息的情况呢?这是因为银行使用了设备标识来保证账户的安全。那么设备标识的工作原理是怎样的呢?