萬事達卡中國區安全解決方案拓展副總經理諸景瑜

　　中國的數字經濟高速發展并步入黃金期，成為帶動經濟增長的核心動力。截至2017年底，中國數字經濟規模已達27.2萬億元，占GDP的比重達到將近33%。此外，根據萬事達卡財新BBD中國新經濟指數，新經濟投入在2018年8月占整體經濟投入的29.1%。在數字經濟蓬勃發展的背后，我們看到了兩個正在發揮基石作用的關鍵因素，那就是信任與安全。

　　“一旦失去公眾的信任，數字經濟的繁榮也就無從談起。”這是萬事達卡在2017年中國發展高層論壇期間發表的白皮書《數字時代——保障安全，促進發展》中著重提出的一個觀點。值得欣慰的是，自2017年以來，數字信任、數據保護與支付安全等話題受到了前所未有的關注。

　　在中國，《網絡安全法》已自2017年6月1日起施行，在鼓勵網絡技術創新和應用的同時，尤其強調了對個人信息的保護。這對于數據保護、支付安全乃至中國數字經濟的健康發展都具有里程碑式的意義。此外，歐盟《通用數據保護條例》目前也已生效，其影響遠遠超越地理疆域，覆蓋數據流通的全球網絡空間。

　　一、安全第一

　　萬事達卡注意到，數字經濟的發展帶來了消費方式的巨大變化。如今，更多交易通過無卡方式完成，而且交易渠道不僅局限于商戶網站、手機App等互聯網交易渠道，眾多的物聯網設備也越來越多地在日常生活中承擔了支付終端的角色。這些可用于支付的終端數量增長非常驚人。截至2017年底，全球POS終端總數達到1.09億臺。而業界對物聯網的預期是，在未來的3年內，即到2020年，全球可用于支付的物聯網終端將超過200億臺。

　　伴隨著這樣驚人的增長速度，我們看到了構建信任與安全所面臨的新一輪挑戰。無論是現在還是過去，安全問題沖擊的都是信任的根基。十多年前，信用卡消費主要通過磁條卡刷卡完成，不法分子竊取支付信息的手段相對有限，主要是通過磁條信息側錄。而如今，不法分子利用各類技術手段，不斷攻擊支付終端以及數字錢包和綁卡支付等創新支付方式的安全薄弱環節，采用釣魚、木馬病毒、黑客技術和撞庫等方式大規模地竊取客戶信息。

　　以信用卡為例，無論消費者來自世界哪個地方，安全其實都是其首要關心的問題。埃森哲最新發布的《全球消費者動態調研》報告就明確指出，如果個人數據安全得不到保障，消費者寧愿放棄獲得更好體驗的機會。

　　萬事達卡2018 Money 20/20 Asia展臺

　　二、三方面發力智能風控

　　若想構建一個安全的支付體系，增強公眾對數字經濟的信心，全面的安全策略非常有必要。因為支付體系安全策略的有效性是由防范最薄弱的環節，也就是木桶原理中的短板所決定的。從萬事達卡的全球實踐出發，我們認為應當從以下三個方面發力智能風控，組成一套全面的安全策略。

　　1.賬戶真實性

　　確保交易賬戶的真實性是構建安全支付體系的第一步。圍繞這一點，萬事達卡正在與行業伙伴在全球范圍內積極推行EMV標準，推動發卡行將磁條卡向EMV標準的芯片卡遷移。同時，萬事達卡也在努力推動收單行的機具改造和芯片受理以及芯片的非接交易受理。

　　作為交易風險防范的應用基礎，芯片卡從技術角度杜絕了復制卡片信息的問題，最大限度地確保交易賬戶的真實性，進而減少欺詐行為。2017年，萬事達卡與國際芯片卡及支付技術標準組織EMVCo一起建立了基于EMV標準的全球統一的二維碼支付規范，并推出EMV QR產品規范，為二維碼支付在全球的持續健康發展奠定了堅實的基礎。

　　為從源頭切實防范支付風險，2016年，人民銀行下發《中國金融移動支付支付標記化技術規范》，強調自2016年12月1日起全面應用支付標記化技術。實際上，萬事達卡早在2014年就已經將該技術引入數字支付服務中，推出了萬事達卡的數字支付服務(Mastercard Digital Enablement Service，MDES)。

　　萬事達卡數字支付服務提供網絡級的支付標記化服務平臺，幫助發卡行將賬號標記化，生成一個獨特的標記，并在整個交易環節對標記進行管理。在無卡交易中，標記替代真實的個人賬號進行信息傳遞。持卡人銀行卡卡號、有效期等敏感信息并不會儲存在移動設備終端或支持綁卡交易的商戶數據庫里，即使移動設備丟失或商戶數據庫受到攻擊，真正的銀行賬號信息也不會被泄露。

　　2.強化交易驗證

　　越來越多的物聯網設備正成為支付終端，這使得無卡交易場景變得越來越普遍。因而，準確地判斷交易背后是否確實是持卡人本人，對于保障支付安全變得愈發關鍵。

　　無卡支付普遍采用的驗證方式是查驗卡號、有效期和卡片背面的安全碼CVC2。為了更有效地解決卡片信息被冒用的問題，萬事達卡在十多年前推出了通過應用3DS協議的SecureCode驗證服務，即商戶收到持卡人的支付請求后，通過萬事達卡網絡聯系發卡行，由發卡行與持卡人通過短信驗證碼或預留網上支付密碼來進行驗證，核實當前交易的真實性，防止卡片冒用交易的發生。目前，全球已有122個地區的100多萬個網上商戶支持SecureCode。

　　隨著移動互聯網在人們生活中的深入滲透，基于瀏覽器的3DS技術規范已經難以適應移動終端上的在線交易需求，2016年，萬事達卡與業界伙伴合作制定了EMV 3DS技術規范，也稱3DS 2.0技術規范。相對于1.0的技術規范，新規范的主要改變體現在以下幾個方面。

　　第一，3DS的驗證范圍有所擴大，不僅可支持瀏覽器，還可支持手機瀏覽器及手機App。在支持付款驗證的同時，也支持卡片驗證。

　　第二，要求商戶為發卡行提供更多的信息，如持卡人在商戶端的交易環境信息、在商戶的消費歷史是否良好等。

　　第三，支持發卡行根據商戶提供的信息做出風險評估(Risk based authentication，RBA)，并基于風險評估的結果決定采取何種驗證流程。當商戶信息評估結果為低風險交易時，直接判定為驗證通過，這一操作在EMV規范中明確定義為“frictionless流程”;當商戶信息評估結果為中風險或高風險時，系統會要求進一步與持卡人進行核實，如輸入短信驗證碼等，也就是EMV規范中的“challenge流程”。

　　第四，發卡行與持卡人的驗證方式可采用不同形式，更貼近移動設備的用戶體驗。

　　第五，商戶、交易網絡、發卡行之間的驗證信息交互流程更加優化，減少了數據傳輸對驗證結果的干擾。

　　EMV 3DS不僅著眼于提升網上交易的安全性，還更注重在移動互聯趨勢下為持卡人提供良好的客戶體驗。

　　目前，萬事達卡積極地在全球推進這一規范的應用，在中國市場也從2018年開始全力推廣這一新的安全技術規范。考慮到新規范在全面推向市場的過程中不同參與者的進度難以保持一致，萬事達卡還將于2018年10月推出網絡級代評估(Stand-in RBA)服務，當發卡行和商戶的EMV 3DS規范實施進度出現不同步時，為低風險的交易提供體驗良好的驗證服務。

　　內部帶有支付芯片的智能指環

　　3.交易本身的真實性

　　數字經濟的發展以及社會信息的增加使數據數量爆炸式增長，各行各業均在積極地挖掘數據的潛力。隨著數據分析的作用逐漸凸顯，無論是數字化還是非數字化的交易，其關鍵支付安全環節——對交易本身真實性的判斷已經進入一個新的發展階段。

　　自2012年起，萬事達卡就觀察到全球范圍內針對發卡行的欺詐攻擊案件有持續增長的趨勢。隨著磁條卡的EMV遷移工作在全球推進，以往不法分子通過側錄磁條制作假卡的作案方式逐漸轉向網上無卡交易的欺詐;欺詐攻擊也從ATM取現發展到利用BIN段攻擊、撞庫襲擊等，干擾發卡行正常的授權處理及內部控制機制。在發生于2015年的一起案件中，我們看到有30個國家的近100家金融機構同時遭受到來自300多個IP地址發起的攻擊。

　　萬事達卡在2017年新加坡金融科技節上進行“智慧城市模型”展示

　　三、全面的安全策略

　　通過充分利用交易網絡的大數據資源，萬事達卡安全網(Mastercard Safety Net)為萬事達卡的全球交易提供了網絡級監測，可識別發卡行或交易處理商系統遭到的網絡攻擊，并有針對性地采取措施。目前，萬事達卡安全網服務已覆蓋全球。在交易轉接過程中，萬事達卡安全網對疑似有欺詐攻擊特征的交易進行實時預警或攔截。同時，萬事達卡安全網還將通知發卡行、收單行采取不同級別的響應措施，提供獨立于發卡行或交易處理商系統的外部防御層，防范在短時間內多個地點并發的欺詐風險。2017年，萬事達卡安全網服務在全球成功阻止的來自面對面交易、網上交易和ATM渠道的欺詐攻擊金額超過460億美元。

　　一直以來，交易反欺詐都是發卡行處理交易授權時關注的焦點。通過充分利用全球網絡的交易授權、清算以及欺詐上報數據，萬事達卡在十多年前就利用神經網絡技術構建了網絡級實時交易評分模型(Expert Monitoring System，EMS)，針對不同交易渠道為發卡行提供實時的交易欺詐風險評估。在此基礎上，萬事達卡于2016年首次引入人工智能技術，推出了智能決策解決方案(Decision Intelligence，DI)。在交易轉接的過程中，萬事達卡智能決策解決方案可結合客戶價值細分、風險分析、交易時間、交易類型、非面對面交易的商戶和使用設備等信息，為發卡行提供實時的交易級綜合評估，判斷交易是否符合持卡人的行為特征，幫助發卡行提升交易授權的準確性，減少因誤判而拒絕交易的情況的發生。

　　萬事達卡創新實驗室工作人員演示自動販賣機的支付功能

　　數字生態下信任機制的建設，需要我們以全新視角去理解安全問題。圍繞支付安全的創新是萬事達卡的首要任務之一，支付領域前所未有的變革正推動著萬事達卡安全創新路線圖的進一步升級。

　　通過投資和創新長期引領行業發展，萬事達卡建立了多層次的安全支付體系。比如最近收購了生物識別行為分析廠商NuDataSecurity和美國AI領域的領軍企業Brighterion，這兩家高科技公司的先進技術已經被充分融合到萬事達卡提供的安全解決方案之中。

　　未來，萬事達卡將繼續貫徹創新與合作戰略，充分利用智能風控手段為消費者、商家、金融機構和各界合作伙伴的支付安全提供保障，針對不同的支付場景打造更安全、便捷和智能的支付體驗，助力數字信任機制的構建。