银行卡检测中心蒋增增:条码支付安全与金融数据保护
来源:移动支付网
4月24-25日,由北京移动金融产业联盟、移动支付网联合主办的2018第二届中国移动金融发展大会在北京召开,本次大会以《严“政”以待,共建移动金融新生态》为主题,在25日上午举办的金融大数据论坛上,银行卡检测中心信息安全服务部高级主管蒋增增发表演讲,畅谈条码支付安全与金融数据保护。
银行卡检测中心信息安全服务部高级主管蒋增增
据蒋增增介绍,金融数据保护不仅仅是保护生产环境的Solid Data,更重要的是分析业务模式和技术实现,全流程地保护Alive Data。以条码支付安全为例,应从业务参与方、技术参与实体、关键技术几个方面展开。
业务参与方。条码支付相比较传统四方模式,还增加了应用服务方,在其非金融APP应用之上叠加支付功能。因此,还应对支付功能部分提出安全保护要求,如输入保护、报文防篡改等。
技术参与实体。支付技术产品应参考中国支付清算协会“支付技术产品认证”九大门类的要求。支付业务设施应符合《JR/T 0122—2014非金融机构支付业务设施技术要求》、《JR/T 0142—2016银行卡清算业务设施技术要求》。
关键技术。蒋增增分析了传统身份认证手段(静态口令、OTP、短信验证码、USBKEY)的优劣势,介绍了统一身份认证协议如FIDO、IFAA等。重点介绍了金融领域国产密码技术的应用,以及按照《商用密码应用安全性评估管理办法》对重要系统开展密评工作。
金融数据的保护与应用
金融数据的保护应采取“分类分级”的思想,按照数据性质、敏感程度等维度进行分级保护,数据保护应贯穿数据采集、传输、存储、使用、销毁等整个生命周期。
,在金融数据保护过程中,部分生产数据严禁脱离生产环节,如系统密钥、数字证书、账户密码、卡(折)磁条信息等,任何情况下不允许脱离生产环境使用。可脱离生产环境使用的生产数据,如客户类信息、业务类信息,应注意进行脱敏处理,保护好客户隐私信息。
在数据脱敏、可进一步使用的情况下,金融数据的应用是目前产业的热门。蒋增增介绍,目前金融数据的应用场景就包括,精准营销。多个维度对用户进行画像,通过数据分析对用户进行差异化服务;风险控制。结合大数据、AI技术,建立反欺诈风控模型;数据增值服务。消费信贷评分等,如银联“火眼”产品。