新闻来源:中国证券报 2014年3月15日
PCI DSS安全标准是当前最权威的数据安全保护措施,它由PCI安全标准委员会(创始成员为visa、mastercard、American Express、Discover Financial Services、JCB五大国际卡组织)制定,是国际上采用一致的数据安全措施。
具体来讲,PCI DSS对于支付网的安全方面作出标准要求,其中包括安全管理、策略、过程、网络体系结构、软件设计要求的列表等,全面保障交易安全。在进行网络交易时尽量使用已达到PCI DSS合规建设的商户,以确保让安全支付过程保持最大化。
PCI DSS数据安全标准合规的审核非常严格,且会落实到具体的技术实现细节,在国内,目前只有为数不多的企业通过了该项标准的合规评估和验证,其中包括民生银行、工商银行、中信银行、首信易支付、快钱、易宝支付、南航、去哪儿网等。
相比这些严苛的安全标准,大数据在保障支付安全方面显得更“聪明”。快钱已经连续第六年获得PCI证书,副总裁顾卿华表示,以大数据时代为背景迅猛发展的互联网金融,对数据安全和系统稳定性的要求达到一个前所未有的高度。要想为企业客户提供有效、创新高效的服务,注重网络安全是先决条件。“我们设立了专业技术团队,基于大数据建立风控系统,对互联网金融行业面临的各类风险进行识别、评估、处置与控制。”
利用大数据保障支付安全可通过多条路径实现,设备行为就是其中之一。
用户在网络上的行为都会留下“信息”,比如在什么时间支付、购物的金额、使用什么样的网络。行为在一段时间之内形成规律,就好比某个人习惯用左手写字。通过分析这种行为习惯,就可以知道用户的真实身份。
在网络上,一个人能获取到的设备是有限的,一般是办公室电脑、家里电脑、手机等。如果在一个“可信”的设备上登录系统,那么当前行为的可信度就较高。那么设备是行为分析中的关键点。
我们可以给每部设备一个“可信度”,用户的行为与设备进行关联,每次用户的行为都可以动态的改变“可信度”。一次可信的、合法的行为会增加可信度,一次不可信的、非法的行为会减少可信度。
除了可以改变用户直接使用的设备的可信度,还可以通过“设备”与“设备”之间的关联关系,动态改变设备的可信度。比如,用户A使用手机A,使用声波支付给用户B的手机B转账1000元,那么除了手机A的可信度提升,手机B的可信度也可以相应提升。
通过设备行为分析的方式去控制风险,只是通过大数据的方法去进行风险控制的一种。在国外paypal就没有数字证书、硬件盾这样的安全产品,就是靠分析用户与设备的行为去控制风险。在中国的环境下,用户对安全的要求更高,安全感更差,之前国内领先的第三方支付公司更多采取安全产品、校验码这些用户能够明显感知到的安全认证方式。但设备行为分析这样的新方式已经起步。
这个世界上没有绝对意义上的安全,互联网也是如此。但不论是要降低风险发生率本身,还是要提升风控过程中的用户体验和效率,互联网的方式、大数据的方式都要优于传统方式。
新闻链接:
http://stock.sohu.com/20140315/n396633777.shtml