电子支付风险控制发展趋势_[全文].doc

Hong Kong 1>. Thailand . Singapore . Philippines . China . Macau . United Kingdom 电子支付风险控制发展趋势 Trend of Online Payment fraud control A s i a P a y L i m i t e d目录电子支付行业安全交易体系 完善的风险控制系统 风险和欺诈管理框架 风险控制系统适用平台 优秀的风控系统实现支付交易“零”成本 关于 AsiaPay 联款通 电子支付公司安全标准 - Maintain a policy that addresses information security for employees and contractors- 维护针对雇员和承包商信息安全的政策6. Information Security Policy 信息管理政策 - Track and monitor all access to network resources and cardholder dataRegularly test security systems and processes with vulnerability scans and penetration testing-定期监控网络和测试网络 -定期测试安全系统和流程并使用弱点扫描和 穿透测试 5. Monitor and Test Networks 监测和测试网络 - Restrict access to cardholder data by business need-to-know - Assign a unique ID to each person with computer accessRestrict physical access to cardholder data将对系统组件和持卡人数据的访问限制为只有工作需要访问这些数据的人 为每位拥有计算机访问权限的用户分配唯一的 ID 限制对持卡人数据的物理访问 4. Access Control Measures 接入控制措施 - Use and regularly update anti-virus software or programs - system components and software have the latest vendor-supplied security patches installed.-使用并定期更新杀毒软件或程序 -所有系统组件和软件都安装了最新的供应商提供的安全补丁 3. Vulnerability Management 攻击管理Limit cardholder data storage and retention time Render PAN unreadable anywhere it is storedEncrypt transmission of cardholder data across open, public networks使持卡人数据存储最小化并制定数据保留和处理政策 PAN 在存储的地方不可读 在开放型的公共网络中传输持卡人数据时会加密 2. Protect Cardholder Data 保护持卡人信息 Maintain a unified threat management configuration to protect cardholder data维护统一威胁管理系统以保护持卡人信息Do not use vendor-supplied defaults for system passwords and implement security parameters for all system components不使用供应商提供的默认密码和并设置符合行业接受的系统安全标准 1. A secure Network 安全的网络 Internet with SSL Acquring Bank Bank Interface ProgramFirewal 防火墙 l Web Server Database Server Application Server Load Balancer Internet with SSL Merchants Online Shop SMS to Mobile Phone Wireless POS PDA with mCert Notebook with Wireless device Telco Inter-operability with Extended Validation (EV) SSL standard协同扩展确认 SSL 认证 Unified threat management 统一威胁管理系统- network intrusion prevention 深度包检测签名服务 - gateway antivirus (AV) 网关防毒- gateway anti-spam 网关处理垃圾信息 - VPN - content filtering 内容过滤服务 - Reporting 报告 Industry approved standards cryptography for data store 符合行业标准的密钥管理和强效加密法 Private LeaseLine Industry approved web application firewall符合行业标准的应用防火墙 Restrict access by access control system实施自动访问控制系统 ISO 20000:2005 and 27001:2005 dual certification Data centreISO 20000:2005 (资讯管 理服务)及 ISO 27001:2005 (资讯安全管理系统) 双重认证互联网数 据中心 安全网络 A s i a P a y L i m i t e d安全平台 兼容于: 1. VISA – VISA Account Information (AIS) Programme2. MasterCard – MasterCard Site Data Protection (SDP) Programme 3. 支付卡行业安全标准委 员会 - PCI Data Security Standard (PCI DSS) 专用点到点的 Frame-relay 专线连接 防火墙、数据库和网络保安 系统和网络 用户 ID 和密码控制以及无效重试日志 功能授权控制，访问追踪审查 访问控制 实时的潜在欺诈交易预警 阻止信用卡过度交易卡信息屏蔽 运营控制 实时拒绝被盗/丢失卡 实时的 VISA/Master/JCB 3D 认证 CVV/CVC 验证 商户维护在潜在欺诈卡和 IP 上 支付验证 128 位 SSL 加密交易交易起源地的 IP 跟踪和报告 交易安全理想的安全平台应具备全面完善的风险控制系统 有效地防范和降低网上交易带来的各种风险：提供实时有效的交易风险预警，提供对各种交易智能分析报表 允许商户自定义交易规则和黑名单，进行多项和离线交易分析 通过 IP/国家地址位置侦查，识辨交易来源和交易风险 识别拦截可疑 IP 位置及重复使用量过多的信用卡交易 支持 3D 和非 3D 交易，有效提高支付成功率 有不断改进和更新的亚太区失卡盗卡、IP、黑名单数据库 有经验丰富、完善的欺诈案件处理机制 A s i a P a y L i m i t e d风控系统处理流程支付验证2. 可疑/限制认证 可维护的控制在屏蔽黑卡、黑 IP、高风险国家、交易处理限制、3D 认证等4. 潜在风险警告 实时的交易分析，特别是对交易来源、无效尝试、频率检查等欺诈部分的模式反馈和阻止实时报告和邮件预警（支持短信）5. 付款/授权 报告批准或 拒绝由于遗失、盗卡、金额不足或其它… 风险控制系统 检查格式: - 卡号长度, MOD10, 姓名输入 ...等 认证: - CVV2/CVC2, 3D-Secure …等3. 欺诈模式分析 控制 监测 预警 A s i a P a y L i m i t e d全面完整的系统报告 RBS research in 2009 .travelweekly.co.uk/Articles/2009/02/05/30150/credit-card-fraud-online-travel-experts-on- secure-sales.html交易撤销 交易退款 遮蔽信用卡资料 IP 地址追踪 Card / IP 黑名单设置 高风险国家追踪 及时交易状况 综合卡种显示 不同收单行 支持消费和预授权交易 CVC 验证结果ECI 验证结果 交易/卡 发行国家 交易拒绝原因 支付渠道 全面完整的系统报告低风险 中度风险 高风险 全面完整的系统报告 应提供了智能化欺诈实时监测，评估风险程度并告诉您这些交易应该被核查的原因。

系统欺诈报告 付款行为分析报告 全面完善的支付分析和信息管理工具 A s i a P a y L i m i t e d每小时交易流量分析 各个国家交易分析 付款行为分析报告 付款欺诈管理控制 CVV2、高风险国家检查，持卡人姓名检查，拒绝来自同一 IP 的交易 A s i a P a y L i m i t e d- 自助选定的来自高风险国家的交易 A s i a P a y L i m i t e d付款欺诈管理控制—高风险国家控制仅允许 Visa 认证的 3D 卡进行交易 仅允许 MasterCard 认证的 3D 卡进行交易 付款欺诈管理控制—3D 安全认证 - 自助选定启用/禁止 3D 安全认证 - 自助设置每日/每月限额 付款欺诈管理控制—额度过滤 屏蔽卡和 IP(在商户层面) 付款欺诈管理控制—卡/IP 过滤提供多种欺诈管理工具 -实时更新的欺诈管理信息/ 新闻 风险和欺诈管理框架 商户培训 运营控制 欺诈监控服务 PayAlert – 欺诈检测及警示PayAlert 风险支付过滤 支付验证 安全交易处理 行业市场更新 商户信息采集控制 PCIDSS 认可的系统 和网络管理 风险和欺诈管理 以顾问式的支持，含风险管理和培训研讨会 Know Your Business (KYC)了解您的业务 商户网站审查 与商户和合作伙伴分享最新的技术和欺诈预防措施 128 位 SSL 加密所有卡信息; 交易发生 IP 地址追踪和综合的报表 实时拒绝失卡和盗卡; CVV2 / CVC2 验证 ; Visa, MasterCard and JCB 3D 验证 经风险过滤（含卡号前缀，频率等）后确认的支付 对于潜在的欺诈交易有实时的 Email 警示，例：卡多次试图支付, 来自高风险国家的交易 交易监控和分析支持 屏蔽卡信息以防范来自内部的风险;在商户层面可设置屏蔽信用卡和 IP 地址 先进的防火墙 ;加密所有敏感数据 应适用于综合模式支付平台 A s i a P a y L i m i t e d Acquirers across the globe CENTRALISED INTEGRATED PAYMENT PLATFORMPROVIDER 集成支付平台供应商 Credit Card Acquirers 信用卡收单 币种处理 用户 Internet 互联网 Phone In Retail / kiosk 零售/自助终端 MERCHANTS SYSTEM商户系统 MOTO 订购/邮购 Debit CardOther Payment options 其他支付方式 优秀的风控支付系统不仅仅保障安全 A s i a P a y L i m i t e dOriginal Credit Card Transactio。