2016年银联卡认证企业年会上,中国银联就银联卡受理终端和创新支付标准相关工作作出安排部署,并公布了《银联卡销售点(POS)终端技术规范》(修订)、《中国银联移动支付技术规范》(修订)和《中国银联生物认证技术指引》(新编)三大标准规范。通过在技术标准、创新产品、认证管理等方面推出相应策略,为基于金融ic卡的各类创新产品与应用提供技术支撑,进一步推动和扩大金融IC卡和移动金融产品在各领域的全面受理。
POS终端:重点支持云闪付与小额免密免签
近年来,银联联合产业各方正大力推动金融IC卡的多应用,通过加强非接受理市场建设,不断地完善与改造受理环境,以扩大金融IC卡在各领域的影响力。通过去年银联标识产品企业资质认证办公室发出相关通知,要求自2015年7月1日起,所有新申请的以及已通过申请到期要续证的银联卡受理终端需具备非接IC卡功能,有力的推动了银联“闪付”、“云闪付”受理环境的改善。据了解,截至2015年底,全国具备非接受理能力的POS终端已达840万台,占全部POS终端的37%,金融支付逐渐进入闪付时代。
此次公布的《银联卡销售点(POS)终端技术规范》(修订),在对POS终端支持非接受理IC卡功能上,就重点支持云闪付、小额免签免密以及营销活动作出要求:通过支持CDCVM、试点优先挥卡,提升云闪付和非接IC卡受理体验;优化交易体验、远程新增借记卡bin的功能,实现小额免密免签业务全面推广;优化签购单、结算单、界面流程,重点开展营销活动。为重点营销活动而进行体验上的优化,也意味着银联更加注重B端商户和C端消费者的使用体验。
去年11月,中国银联正式推出小额免密免签服务,实现银联IC卡及移动支付设备在支付时实现300元以下免密免签。截至目前,全国范围内所有银联IC信用卡卡和12家全国性银行的IC卡借记卡已支持单笔300元以内的交易免密免签。《银联卡销售点(POS)终端技术规范》(修订) 新增远程借记卡bin的功能,新增借记卡bin和免密卡bin黑名单可多次下载,助力实现小额免密业务二期到全面推广阶段。为防止部分主要银行在全面推广阶段无法正常上线,规范设置免密卡bin黑名单控制,黑名单内卡bin在全面推广阶段不参加免密。
另外POS终端以及终端打印的签购单、结算单新增加免密提示语,进一步提升大众认知;免密免签免密交易联机拨号从挥卡结束拨号提前至输金额结束拨号,有效减少终端交易处理时间,优化交易体验。同时要求持卡人和收银员强制挥卡,培养用卡习惯;原POS终端提示语“请挥卡、插卡或刷卡”进一步优化,建议采用“请挥卡,使用云闪付”。在云闪付的推广当中,此类强硬措施或能优化非接受理环境。据了解,银联已经在杭州、武汉地区部分商户开展试点验证工作,将在试点验证后,纳入统一版终端程序。
移动支付:突出HCE增加联机ODA功能
去年12月,中国银联联合20余家商业银行共同发布了“云闪付”产品,HCE作为银联云闪付系列产品中的重要一员,很好地拓展了支持云闪付的手机范围,增加了云闪付的覆盖面。为完善HCE产品的功能,提高用户的支付体验,《中国银联移动支付技术规范》(修订)对云闪付HCE产品进行升级,并在规范中修订了《基于主机卡模拟技术的非接移动应用规范》和《基于主机卡模拟技术的云端支付平台系统实现要求》。
为明确规范定义,避免云等概念给使用者带来误解,混淆规范内容,《中国银联移动支付技术规范》(修订)变更规范名称,突出HCE(主机卡模拟)概念,将《基于云端支付平台的非接移动应用规范》变更为《基于主机卡模拟技术的非接移动应用规范》;《基于云端支付平台的系统实现要求》变更为《基于主机卡模拟技术的云端支付平台系统实现要求》。
值得一题的是,《基于主机卡模拟技术的非接移动应用规范》和《基于主机卡模拟技术的云端支付平台系统实现要求》都同时增加对联机ODA功能的支持。ODA即脱机数据认证,联机ODA功能可使终端在进行联机qUICS交易时,无需获得发卡行的授权响应,通过脱机数据认证判断卡片的真伪,为如地铁等特定行业提供新的支付解决方案。据悉去年伦敦地铁实施的移动支付就采用ODA技术,对国内复杂的金融IC卡与移动支付应用来说,增加ODA功能可以不再使用电子现金模式,持卡人无需圈存以及担心闪卡问题。同时避免了行业密钥问题控制权问题,且终端无需频繁改造,后台系统可实现精确匹配和折扣促销。
另外,银联也要求增加CDCVM对HCE的支持。CDCVM是指消费者在自有设备上输入指纹、密码等个人信息,并在有设备上进行并完成验证。该应用规范进一步完善CDCVM验证,是加强版的小额免密,即在自由设备上交易时,CDCVM验证通过不需输密码。
生物认证:基于安全芯片或TEE
近两年移动支付迅猛发展,与正在崛起的生物识别技术不无关系。对移动支付而言,身份认证与密码安全至关重要,传统数字密码易窃取易遗忘,而生物特征具有唯一性、遗传性以及终身不变性,无论是二维码支付或是nfc支付,以生物特征作为身份和密码认证的方式给用户带来了更加安全与便捷的支付体验,有力地推动了移动支付的发展。鉴于国内尚没有面向金融行业的统一的生物认证标准,银联此次公布《中国银联生物认证技术指引》(新编),有望终结此前各金融行业自行定义的混乱局面,为产业链各方发展指明方向,缩短应用落地周期。
《中国银联生物认证技术指引》(新编)从技术框架、安全体系、软硬件要求以及接口数据四个部分对线上与线下交易的生物识别认证技术作指引,技术框架包括对当前市场主流的指纹识别、人脸识别、虹膜识别三大生物识别产品与应用作统一的标准规范,并对其他生物识别技术的扩展与应用预留技术支持,便于日后可以更简单和快速的接入其他生物识别技术。
为满足金融支付领域的高安全要求,同时为持卡人提供更加安全快捷、简单方便的支付方式,银联生物认证技术框架要求生物识别技术应用基于安全芯片或TEE,以保证设备底层各模块在安全可信的环境中运行;建立安全通道及密钥机制,保证生物特征模版、密钥、证书等机密数据的安全通信及存储;采用证书及数字签名,保障对比结果在传输过程中的不可篡改性及不可抵赖性,并认证设备合法性;认证关键数据环节采用生物识别结合业务流程认证用户身份合法性。
生物识别安全环境流程
银联生物认证技术指引重点对指纹技术的身份识别及安全服务作出规范。自苹果支持指纹识别技术后,大众消费者对智能设备支持指纹技术的诉求明显增长,越来越多的手机也开始加入指纹识别功能。然而由于没有统一的标准,产业各方也难以达成共识,不同的手机厂商采用的指纹识别解决方案及采集技术的都大不相同,诸如采用按压式、滑动式、触碰式等多种不同的识别方案,给用户体验带来一定的困扰。
此次银联生物认证技术统一采用按压式指纹识别方案,要求线上交易支持无卡支付、有卡支付、支付网关,按压指纹后可直接支付;线下交易激活指纹服务后可进行NFC支付,或通过CDCVM直接完成支付,将大大提升支付体验及安全性。