余韻巻き

決済機関が開始したクイック決済のビジネスモデルは、「Alipayクイック決済」と「UnionPayオンラインクイックペイメント」に代表payment gateway internationalされる2つのタイプに大別されます。 両モデルともネットワーク決済事業の範囲に属し、共通する部分もあるが、認証方法や実装の仕組みの細部には違いがある。

I) Alipayクイック決済モード

アリペイの「クイックペイ」事業は、ネットワーク決済を簡略化した事業である。 ユーザーが初めてサービスを利用するために申し込む。 アリペイの個人アカウントは、銀行口座情報、身分証明書情報、携帯電話番号に拘束されます。 ユーザーの本人確認は、インターネットを介して決済機関と銀行の双方で行われます。 サービス開始後、ユーザーがクイック決済ツールを使って決済を行う場合。 Alipayの個人アカウントと決済パスワードを入力するだけで、本人認証を実現します。 ユーザーの本人確認後、アリペイは銀行の決済ゲートウェイに支払い指示を出し、銀行は支払い指示に応じてユーザーの銀行口座の資金を受取人の指定口座に振り込み、支払い手続きを完了させます。

(2) 銀聯オンラインエクスプレスペイメントモード

銀聯オンラインが提供する「クイックペイメント」事業は、中国銀聯が運営する銀行間カード決済システムに依存しています。 アクワイアリングビジネスをオフラインからオンラインに拡大。 オンライン加盟店向けのカードレス決済プラットフォームを通じて、カード会員に便利なサービスを提供しています。 ユーザーがエクスプレス決済サービスの開設を申請する場合、まず「認証決済」の手続きを行う必要があります。 ユーザーはまず、銀聯のオンラインプラットフォームを通じて、銀行カード情報と携帯電話番号をカード発行会社に送信し、本人確認を行う「認証支払い」ステップを完了する必要があります。 カード発行会社が利用者の本人確認を行った後、利用者は銀聯のオンラインプラットフォームで登録を完了することができます。 クイック決済サービスを開始します。 サービス開始後、決済が発生した際にプラットフォーム上で登録情報を入力することで、オンライン決済を行うことができます。 決済プロセスは、銀行カードのオンラインアクワイアリングビジネスモデルであるインターバンクトランスファーシステムを通じて実現されます。

エクスプレス決済事業は、従来のネットワーク決済のあり方を変えた。 新しい決済の概念である。 商業銀行のオンラインバンキング事業や他の決済機関の決済手段との比較。

エクスプレス決済には以下のような特徴があります。

i) 一回限りの認証。 繰り返しの使用

エクスプレス決済サービスは、「一度の認証で何度でも使える」という特徴があります。 "1回認証 "です。 つまり、ユーザーが初めてサービスを申し込むときです。 決済機関と預託銀行の両方が、携帯電話番号、有効な身分証明書の種類と番号、銀行口座、その他の情報によってユーザーを識別する必要があります。 "繰り返し使える"、つまり開業後、決済行動が発生した際に、ユーザーは最初のアプリケーションでより複雑なプロセスを繰り返す必要がない。 初回申し込み時に面倒な本人確認作業を繰り返すことなく、決済プラットフォームの登録情報を入力するだけで本人確認ができ、決済が可能になります。 高速決済のビジネスモデルは、取引時間の短縮を実現します。 ユーザーエクスペリエンスを高め、インターネットマイクロペイメントの分野での応用に適しています。

(2) 実名認証情報へのアクセスの容易化

高速決済ビジネスが始まる以前は、決済機関がオンライン決済の仲介役を担っていた。 主にネット通販でカード会員に代金を振り込む機能を持ち、商業銀行のネット決済チャネル拡大を支援する役割を担っていた。 クイック決済のビジネスモデルは、銀行のサービスインターフェース(オンラインバンキング)をお客様の決済プロセスから遮断し、銀行は「帳簿管理人」の役割しか果たしません。 決済機関からの指示を受動的に処理し、ユーザーの本人認証やユーザーの決済行動の制御を行わなくなる。 銀行はユーザー決済のフロントオフィスから第三者清算のバックオフィスに退き、銀行決済サービスチャネルの優位性は常に弱体化している。 このエクスプレス決済ビジネスのサービスモデルにより、銀行の実名認証ユーザー情報が決済機関に大量に流れ込み、決済機関は複数の銀行との連携により、異なる銀行の実名認証情報を集約して膨大な金融データ資産を生み出し、決済機関のデータマイニングを深化させることができるようになりました。

(iii) モバイルクイックペイメントビジネスを発展させるための条件整備

モバイル通信技術の急速な発展とスマートターミナルの普及に伴い、クイックペイメントに代表される各種決済アプリケーション(ペイメントアプリケーション)は、インターネット端末での利用に限定されなくなり、個人携帯端末が決済アプリケーションの新しいキャリアとして徐々にユーザーに受け入れられてきています。 クイック決済サービスは、オンラインバンキングの様々なセキュリティポリシーの制約を受けません。 エクスプレス決済サービスを利用する際、ユーザーは認証のためにUSB-Keyなどのハードウェアを挿入する必要がない。 異なるOSやブラウザを利用できるため、モバイル端末への拡張も可能で、決済機関がモバイル遠隔決済の分野に参入するための土台となるものです。

ファストペイメントが抱えるセキュリティの問題

高速決済は、お客様に便利で迅速なサービスを提供する一方で、決済セキュリティの面でも問題を抱えています。 高速決済が抱えるセキュリティの問題

セキュリティの問題は、主に次のような側面があります。

(i) 支払いプロセスにおける認証の弱さ

クイック決済のビジネスモデルでは、最初の認証は別として、決済プロセスでは基本的にユーザー名+パスワードという「知っていること」ベースの認証方式が採用される。 パスワードは静的データであるため、認証の際にコンピュータのメモリ内やネットワーク上を移動する必要があり、コンピュータのメモリ内に常駐するトロイの木馬やネットワーク上の盗聴器などに容易に傍受される。 このような認証は、金銭のやり取りが発生する高速決済では強度が低く、決済パスワードが盗まれると金銭授受のリスクが発生する。 USB-Keyは、マイクロコントローラやスマートカードチップにユーザーの鍵や電子証明書を格納し、内蔵の非対称パスワードアルゴリズムを用いてユーザーと商業銀行間の認証を実現するもので、商業銀行のインターネットバンキングサービスでは主にUSB-Keyベースの認証技術が使用されています。 インターネットバンキングを利用して決済を行う場合、ユーザーはハードウェアデバイスを接続して本人認証を完了させる必要があります。 エクスプレス・ペイメントに比べ、手続きは若干面倒だが、認証はより強固で信頼性が高い。 エクスプレス・ペイメントは、商業銀行がオンラインバンキングを中心に設定したこれらのセキュリティ対策をスキップしており、セキュリティは多少損なわれている。

(ii) 機密情報保管・送信の漏洩リスク

エクスプレス決済の業務プロセスに基づき、決済機関と商業銀行がエクスプレス決済を契約する際、銀行は銀行支店での対面署名で得た実名顧客情報と機密情報を決済機関に送り、共同で実名本人確認を完了させる。 多数の銀行の完全な顧客・口座情報を入手した後、決済機関が顧客の許可なく他の目的に情報を流用すれば、深刻な法的リスクとユーザー情報漏えいの隠れた危険性が発生する。 また、インターネット環境では、決済機関から銀行や銀聯への支払い指示の送信時に情報漏えいのリスクがある。 支払行為が発生した場合、支払人は支払機関を通じて預託銀行に支払指示を提出し、銀行口座の金銭資金を支払人の指定する口座に振り込む。 支払指示書には、支払人名、銀行口座番号、取引額、顧客の有効な身分証明書の種類と番号などの機密情報を含める必要があります。 決済機関から銀行決済ゲートウェイへの決済指示の送信過程で。 情報漏えいの危険性があります。

(iii)決済アプリケーションの信頼性の判断が難しい

インターネット端末であれ、個人用モバイル端末であれ、決済アプリケーションのセキュリティは効果的に保証される必要があります。 インターネット決済の分野では、決済機関は通常ブラウザ/11〜サーバ(Browser/Ser.)モードを使用してユーザーに決済サービスを提供している。 ユーザーは、決済アプリケーションのURLを正しく入力する限り、フィッシングサイトを効果的に回避し、決済アカウントやパスワードなどの機密情報の盗難を防ぐことができる。 モバイル決済の分野では、決済アプリケーションはアプリケーションプラットフォーム上でアプリケーションソフトウェア(APP)の形でリリースされることが多く、ユーザーはモバイルインターネットを通じてアプリケーションプラットフォームから個人端末にソフトウェアをダウンロードします。 現状では、モバイル・スマート端末の一定範囲にマルウェアやトレントが存在しています。 アプリケーションソフトウェアが安全で信頼できるものであるかどうかを判断するために、ユーザーが有効な技術的手段を講じることは困難である場合が多いのです。 特に、金融取引を伴う決済アプリケーションの分野では、ユーザーが悪意のあるソフトウェアをダウンロードすると、機密情報が盗まれる危険性があります。 迅速な決済ビジネスの特性と情報セキュリティに対応するため、ユーザーID認証メカニズムの強化、情報伝達のセキュリティ保証、リスク防止と制御システムの構築の改善、アプリケーション提供者と公開者の相互信頼メカニズムの確立などの戦略を採用することができます。 資金取引の信頼性を確保し、ビジネスリスクを低減する。

(i) ユーザーID認証の仕組みの強化

クイック決済ビジネスにおけるユーザー名+パスワードの認証方式は、認証強度を高めるために二要素認証の仕組みを採用することが推奨されます。

二要素認証(2FA)とは、パスワードと物理的なもの(携帯電話のSMS、トークン、指紋などの生体認証マークを含む)の両方でユーザーを認証する方法である。 インターネット決済ビジネスの分野で広く利用されています。 エクスプレス決済事業において。 ユーザー名+パスワード認証方式をベースに、携帯電話のSMS認証リンクを追加することで、ユーザーの本人確認を補助することができます。 ユーザーは、ユーザー名とパスワードを基に、決済機関から携帯電話のSMSプラットフォームを通じてユーザーに送信される認証コードを入力し、認証を受けた後に決済を完了する必要があります。 この方法はよりシンプルで、ユーザーエクスペリエンスに影響を与えることなく認証の強度を高めることができます。 資金取引の信頼性を確保する。

(ii) 機密情報セキュリティの確保

決済サービスチャネル提供者として、決済機関および商業銀行は、決済指示および付随する情報の安全な伝送を保護し、決済情報の完全性および信頼性を確保し、顧客情報の漏洩および決済指示の改ざんを防止するために、通信プロセスにおいて効果的なセキュリティ対策を講じる必要があります。 一方では、決済機関と商業銀行の両方が、情報の完全性と信頼性を確保し、二次的なデータ解析のコストを削減するために、決済指示のデータ形式とインターフェースを標準化すべきである。他方では、決済機関と商業銀行間の専用データ伝送回線にハードウェア暗号化装置を導入し、データセキュリティを確保することが検討され得る。

(iii) リスクの予防と管理システムの構築の改善

また、送信処理だけでなく、決済機関内で保管・処理する際にも、機密性の高いユーザー情報の漏洩や不正改ざんのリスクがある。

したがって、決済機関は包括的なリスク防止・管理システムを構築し、内部スタッフの日常業務を規制・監査する必要があります。 包括的なリスク防止および管理システムの構築は、一方で決済業務処理システムと連動し、決済情報の送信、処理、保管、使用におけるデータの完全性および信頼性の変化を綿密に監視する必要があります。 決済情報の不正利用防止

違法な改ざんや不審な加盟店・取引に注意する一方、決済機関の内部担当者の日常業務を監査する。 決済情報の改ざんにつながる行為を適時に特定し、停止させる。

(iv) 決済アプリケーションプロバイダーと出版社の相互信頼関係の構築

モバイルスマート端末に適用されるクイック決済サービスの場合。 アプリケーション提供者と公開者との間の相互信頼メカニズムの確立を促進するために、効果的な技術的手段を用いなければならない。 通常、アプリケーションの提供者は通常ソフトウェア開発者であり、決済アプリケーションは決済機関が提供することがほとんどである。

アプリケーションパブリッシャーは、AppleのApp Storeに代表されるスマートターミナルメーカーのアプリケーションショップや、いくつかの有名なソフトウェアサービスプロバイダーのアプリケーションプラットフォームから、携帯電話ユーザーにソフトウェアをダウンロードするサービスを提供しています。 例えば、バイドゥの「バイドゥアプリケーションオープンプラットフォーム」です。 Apple App Storeモデルを例にとると、アプリケーションパブリッシャは、アプリケーションプロバイダに便利で効率的なソフトウェアダウンロードのプラットフォームを提供し、モバイルスマート端末ユーザーの個人向けソフトウェアに対するニーズに適応し、ソフトウェア開発者の熱意を十分に動員し、モバイルソフトウェア産業の発展を促進することができます。 アプリケーションの安全性と信頼性を確保するためには、アプリケーションプロバイダとアプリケーションパブリッシャが相互に信頼できる協力モデルを構築する必要がある。 一方、アプリケーションがプラットフォームに含まれる前に、アプリケーション発行者は、アプリケーション自体をチェックする技術的な措置を講じる必要があります。 アプリケーション自体の安全性をテストするための技術的な手段を講じる必要があります。 ユーザーアカウント情報を含む決済アプリケーションの場合、アプリケーションプロバイダが中国人民銀行から決済事業ライセンスを付与された決済機関であるかどうかを判断するために、法的身分も確認する必要があります。一方、アプリケーション発行者は、実際の状況に応じて、様々なタイプの携帯電話ユーザーに基づいたアプリケーションを開発・公開することも可能です。 一方、アプリケーションパブリッシャーは、モバイルインターネット環境におけるユーザー情報のセキュリティを確保するために、携帯電話ユーザー向けの各種オペレーティングシステムに基づいたセキュリティコントロールを開発・公開することも可能です。

相關文章:

ペイメントプロダクトについてご紹介します。

乾電池は！？ 決済システム全体のアーキテクチャの詳細説明

Top 5 Global Blockchain Payment Gateways for 2019