×关闭背景

中金国盛聂丽琴:移动金融技术服务认证制度

2015-04-23 10:21:08      来源:移动LABS       

移动金融

【摘要】【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。中金国盛副总经理聂丽琴分享移动金融技术服务认证制度。

【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。中金国盛副总经理聂丽琴分享移动金融技术服务认证制度。

中金国盛副总经理聂丽琴

演讲速记:

我是今天首要来给大家介绍一下移动金融技术服务认证。我所介绍的内容分两个部分。第一、移动金融技术服务认证的建立背景。第二、我们这一项认证制度的简单介绍。

首先,它的建立背景在于移动金融产业的快速发展。那么,咱们从2014年人民银行发布的相关数据可以看出来。全国共办理非现金支付业务627.52亿笔,金额是1817.38万亿元,同比分别增长25.11%和13.05%,这里面其中电子支付保持一个增长的态势,这个数据可以看到是333.33亿笔,金额1404.65万亿元,分别增长19.28%和30.65%。在这个电子支付的业务中,其中移动支付的业务是快速增长的。移动支付的业务是45.24亿笔,金额22.59万亿元,同比增长170.25%和134.30%。

从这六个数据的对比大家可以看出来,移动金融、移动支付发展的空间和前景是很大的。另外,也可以看出来它的发展是非常迅猛的。

三年前我们都谈的是移动支付。之后一直大家有听说互联网金融,然后移动金融。但是,事实上现在在移动手机,移动端所承载的应用和业务里面,除了移动支付之外,其实更多的一些移动金融的产品和应用也在发展。所以,现在人民银行提出来移动金融产业,移动金融这个概念。所以,我们今天主要还是讲更大的一个,比移动支付范畴更大的移动金融的这个范畴。

移动金融产业要快速和健康发展,我认为有三个关键内容:

第一、便捷的应用。目前尤其是互联网企业开发了很多的边界的支付应用,充分发挥了线上线下天然的纽带优势,很有针对性,贴合消费者需求的便捷的创新应用非常多。像支付宝钱包、微信支付等等,都实现了用户的快速的渗透。这个便捷的特点是非常的突出的,这是移动金融产业健康发展其中的一个关键。

第二、稳定的商业模式。移动金融产业链各环节之间形成稳定的合作模式,构建起开放、创新的生态环境,快速推进产业发展是非常重要的。那么,这块主要是对于有卡支付,有卡支付所涉及到的产业链的环节比较多,所以这个产业链各个环节之间要形成一个稳定的合作模式来构建开放的生态环境就非常重要。

第三、安全性。因为移动金融涉及到国家的金融信息的安全和个人资金信息的安全。这个是金融的生命线,也是赢得消费者信心的前提。通过相应的技术和管理手段,有效来降低风险,提高可靠的安全保障,才能使移动金融产业健康和快速的发展。

那么,对于移动金融这个发展的情况来看,便捷的特点是非常突出的。但是,安全是令人担忧的。因为目前这个安全的问题还不是很突出。因为整个的攻击手段等还没有完全关注到这一块,但是后面他们一定会随着移动支付和移动金融的发展,安全的形势会越来越严峻。

移动金融健康安全发展它的难点我们认为主要有四个方面:

第一、如何保证资金安全,以及个人信息的安全。

第二、如何形成有效的合作模式。

第三、如何完善产业设施。

第四、需要统一的技术标准。

针对这些产业发展的难点,人民银行,然后相关政策,然后国家的相关部委,制定相应的政策解决这些问题,这一块简单跟大家介绍一下。

首先,2012年12月17日,人民银行主导的《移动金融支付标准》出台,确定了联网通用安全可信架构下的多个企业TSM并存的生态环境。2013年8月份,国务院印发《关于促进信息消费扩大内需的若干意见》,将大力发展移动支付,建设移动金融安全可信公共服务平台列入促进信息消费与扩大内需的重要内容。2013年10月份,移动金融安全可信公共服务平台,也就是MTPS正式上线试运行,加快了移动金融支付标准的实施落地。这一系列的举措都是为了推动移动金融的健康发展,解决移动金融在健康发展过程中的一些问题。2014年5月份,发改委、人民银行联合印发《关于组织开展移动电子商务进科技服务创新试点工作的通知》,明确要加快推动移动金融基础设施建设。2015年1月,人民银行印发抓关于通过移动金融技术创新健康发展的指导意见》,明确了移动金融技术创新的基本原则。

那么,从这里面可以看出来,政策推动主要还是一个是安全方面,另外一个是相关企业商业创新模式,商业模式的一个探索。像这个试点工作,这个试点工作在五个试点城市,像宁波、深圳、贵阳、成都等等,几个大的城市,几个具有特点的城市进行试点,探索相应的移动金融的商业模式发展。这个是它的业务发展和政策推动的背景。

另外,国外的一个认证的情况。国外的EMVCo的认证,全球一家认证机构,受理12家检测机构。它的运行模式是以这样一个闭环。首先是制定标准,然后进行检测、认证,然后进行应用。应用过程中发现的问题,再促进标准的调整和修改,使得这个体系不断的完善,这是它的运行机制。

目前,EMVCo对于移动支付或者移动金融相关的认证,有关于安全单元SE的认证,有手持设备,手机终端的认证,有非接口支付应用的认证,以及相关的受理终端的认证。

国内业务发展需要安全方面的一些措施,国外也有相应的认证的案例。所以,在这种情况下,认证在移动金融的健康、安全发展过程中作为一种措施引入移动金融健康发展的手段里面。认证是认证机构来证明产品、服务、管理体系符合相关技术规范,相关技术规范的强制性要求或者标准的合格评定活动。它是一种市场化的,利用社会的专业力量,和相应的检测机构,认证机构辅助社会管理的一种手段。

通行的认证模式主要有这么几种:第一、型式检验,生产之前的检测,检测符合相应标准,才能投入生产。第二、质量管理体系的审核。这个产品是OK的,设计是OK的,它在生产过程中,是否能够持续保证它的质量和安全。第三、证后监督,当这个证书,当这个产品被认证是符合安全和标准要求的,它是否持续的会一直符合相应的标准和要求。所以,要有证后监督,证后监督是由工厂抽检,市场抽检,以及质量管理体系的符合,这是通行的认证模式。

认证所能起到的作用。第一、推广落实标准的有效手段,来提升标准化水平。第二、辅助监管的有效手段,承担社会管理职能。第三、增强被认证企业的技术和管理能力,提升其竞争力。因为有明确的标准要求。那么,如果没有达到相应的标准要求是不给予颁发相应的证书。所以,就迫使这个企业必须得努力提升自己的技术和管理能力,达到相应的标准要求。第四、保障国家安全和消费者权益的有效措施,降低社会风险。因为被认证的产品用于广大消费者,保障消费者权益,他个人的资金安全,会降低社会风险,类似于有机产品的相应的我们要吃到什么放心肉等等这样的一个要求。

所以,在这种情况下,人民银行在2015年发布11号文,11号文里面,推动移动金融健康发展提出五个保障措施。其中一项保障措施,就是推动移动金融的检测认证,以提升服务质量。其中有说检测认证是落实标准和信息安全要求,保证移动金融标准符合性和安全性,提升移动金融服务质量的有效手段。自2016年1月1日起,各商业银行和银行卡清算机构开展移动金融服务所采用的TSM、SE、嵌入式应用软件等软硬件产品原则上应符合相关标准。并通过移动金融技术服务认证,相关认证机构名录可通过国家认监委网站查询。

这项认证制度从2010年就开始探索,2010年人民银行开始组织移动支付标准的制定,然后在2012年的时候进行发布。这个准主要原则是联网通用,安全可信。联网通用指的是什么呢?在移动支付的相应的这个产业,这个生态圈里面,企业的TSM要采用统一的技术标准,互联互通,降低企业级两两互通的对接成本。这是联网通用。可信方面,所有发布在公共服务平台上面的应用和服务要统一经过检测认证,保障这个应用和服务是可信的。安全是整个生态圈以及架构的安全,以及所有交换数据交换过程安全的保障。

在这个原则下,2012年发布《中国金融移动支付技术标准》,该标准涵盖了应用基础、安全保障、设备、支付应用、联网通用等五大类标准,从产品形态、业务模式,联网通用和安全保障等方面明确了系统化的技术要求,覆盖中国金融移动支付各个环节的基本要素,安全要求和实现方案。这个也是我们认证的依据。因为认证本身是要评估被认证的产品,或者被认证的服务是否符合标准要求,所以这个标准是我们最根本的依据。

认证活动开展的时候依据《移动金融技术服务认证实施规则》,我们依据技术标准对被认证产品进行认证,我从事这个认证活动,要依据《移动金融技术服务认证实施规则》进行实施,这个实施规则里面所包含的内容,涵盖从认证申请及受理、文件审查、检测、现场检查、认证决定,直至颁发证书,以及获证后监督的完整的认证流程,同时规定了认证证书及认证标志的使用。这个是认证实施活动的要求。

依据这些认证的保准和认证的实施规则,我们所认证的对象包含哪些?根据安全可控的要求,移动金融的认证应该是全流程的认证。全流程的认证主要包括六大类。有可信服务管理系统类,也就是TSM系统的认证。安全单元类的,也就是SE的认证。有移动金融受理终端类的。还有移动金融业务系统类,以及移动金融的客户端软件类,六大类的认证对象,都是应该要通过认证的。

目前重点开展的首先是TSM系统,就是可信服务系统。这个可信服务系统认证主要关注两个方面:第一、它的功能和性能方面。第二、它的安全方面。功能方面它根据TSM平台的不同类型,具有不同的功能。比如像SE发行方的TSM,功能主要包括有安全单元的生命周期管理,辅助安全域的生命周期管理,以及客户端联动功能及通信接口等功能,就是功能方面的认证。信用安全方面包括物理安全、网络安全、主机安全、应用安全等等。对于应用提供方的TSM,主要实现应用的生命周期管理,应用的管理以及应用提供方的管理,应用查询下载功能,以及通讯接口的功能,这是针对TSM系统的。

下面这个是关于安全单元的。安全单元的是根据人民银行所发布的11号文里面五项保障措施里面的第一项,确保移动金融帐户介质的标准符合性。这个帐户介质的标准符合性主要包括这么几个层面。第一、最根本的是芯片要安全。因为芯片是最底层,最根基的安全保障。然后,在芯片的基础上有SE的安全,SE平台功能级相应的安全。SE上面嵌入式软件安全,嵌入式软件安全进一步保障SE中应用的安全属性,然后就是各类支付应用功能的实现。

客户端的软件类。主要分为三大类:一个是无SE的移动支付客户端软件产品。第二、移动支付客户端安全控件产品。第三、基于SE的移动支付客户端软件产品。主要对他们的支付功能、帐户操作以及安全性三个方面进行相应的检测和认证。

认证的机构,认证最主要的首先得由相应的认证机构来从事这项工作,认证机构根据国家认证认可条例,国务院认证认可监督管理部门应当公布依法设立的认证机构名录。

另外,检测活动由认证机构自己做,还是由相应的别的检测机构去做,两者都是可以的。在当前的环境下是由相应的检测机构来实施。这个检测机构是由与认证机构签约的检测机构,因为最终的认证证书是由认证机构颁发的,认证机构对此要进行质量和有效性的保障。为此,认证机构要对检测机构进行管控,保障检测的质量。所以,只能签约的检测机构来进行检测和开展检测工作。目前有五家检测机构,分别可以开展的检测的对象主要包括TSM系统、安全单元、安全载体和嵌入式应用软件。

大家可能会比较困惑,检测和认证的关系。那么,检测是认证的环节之一。大家可以看到,认证的整个流程,认证申请授予之后,首先要去检测,然后要进行文件审查,现场审查和证后监督,其中检测是认证全流程里面的一个环节。另外,检测只对被检测的产品负责,认证是对系列产品负责。这个检测,比如这一批产品可能要进行抽样,抽因规则由认证机构来确定,根据认证规则进行抽样,被抽取的样品要进行检测,检测只对被抽取的样品,就是他检测的这个产品负责任,但是认证是对整个系列产品负责任。

认证流程,大家都比较清楚,就不详细介绍了。目前移动金融的认证实施已经获证的机构有五家,都是SE方面的,有中钞SD卡,中清怡和SD卡,天喻SIM卡,恒宝SIM卡,握奇SIM卡。也有一些机构正在积极申请过程中,目前就是这样一个状态。

最后,希望和产业链的相关机构一起来共同推动移动金融的健康发展,谢谢大家!

声明:所有会议记录均为现场速记整理,未经演讲者审阅,本站刊登此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。

更多会议的精彩内容,请关注专题:http://labs.chinamobile.com/mpays_2015

(责任编辑:王砾瑟)
共 1 页
分享到: 0

评论

全部评论我的评论

Supperman2015-04-23 10:35

很好很强大,学习了!