12月27日,央行发布了《中国人民银行条码支付业务规范(试行)》的通知,自2018年4月1日起实施。新规对各类条码(二维码)支付的风险进行了分级,并指明了交易限额。
具体来说,风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额;
风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元;
风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元;
风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
目前,静态条码目前被认为是风险最大的支付领域之一。除了限额管理外,新规还提出了一系列防范静态条码风险的措施:包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。
新规指出,条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:
可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;
易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;
扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
据新京报报道,针对此次央行发布的条码支付业务规范,27日晚间,腾讯方面表示,正在组织相关团队学习消化这一通知,“我们也在收集用户和商户的实际需求,同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”
支付宝方面表示,高度认同央行为规范条码支付所作出的努力,支付宝非常关注并正在组织团队认真学习这一通知,会持续收集用户和商户的实际需求,积极研发新技术以及探索新技术应用于条码支付领域的可行性。
原创文章,作者:产品大法师
,如若转载,请注明出处:https://www.pmtemple.com/institute-of-finance/592/
微信扫一扫 
支付宝扫一扫 
评论列表(5条)
这个扫码支付限额对经常旅行的我来说有点影响呢!📱 作为摄影师,在街头小摊买小吃或者支付停车费经常用扫码,500元的限额可能需要多付几次了。不过从安全角度考虑,静态条码确实容易被替换,这个规定还是挺有必要的!👍
作为产品经理,看到这个政策很欣慰。扫码支付确实存在安全隐患,分级限额管理是在安全与便利间找到平衡点。对静态码的限制尤其必要,但希望厂商能尽快优化动态码体验,减少对用户支付习惯的干扰。
央行这波扫码支付限额,就像时尚界的”安全认证”标签!静态条码的风险堪比街边仿货,500元的限额虽然安全但感觉有点”降级”了。作为每天靠移动支付生活的潮流人,希望商家能快速升级到更高级别的认证,不然买双限量球鞋都得分好几次支付,太不fashion了!
作为经常旅行的摄影师,这个500元限额对日常小支付确实有点影响,但安全措施很必要!扫码支付确实容易被盗用,特别是在人多的景点。这让我想起在街头拍风景时也要注意保护设备安全呢!📱✈️
静态条码被D级限定500元,这波操作就像给网页弹窗加了setTimeout,虽然安全了,但用户体验直接崩盘啊!静态码防伪不升级,限额治标不治本,我大天朝的支付安全还得靠硬核技术啊~