中国,北京 – 移动支付又称手机支付,是通过移动通信网络,以手机、PDA等移动设备为工具实现交易的一种现代化手段。面对即将商用的巨大市场和产业发展的关键时期,为了给移动支付产业搭建一个展示、分享、交流、合作的商务平台,了解移动支付行业现状、技术方案、发展趋势、商业模式,中国通信学会于2009年7月24日成功举办了“2009中国移动支付产业高峰论坛”。
相关主管部门,运营商,金融机构、组织,终端厂商、第三方平台商、芯片方案商、智能卡商、系统集成商、咨询机构、媒体代表纷纷出席了该次论坛。atsec作为独立的第三方咨询评估机构也应邀设立了展览展示专区,方便广大支付产业链上的与会企业和个人就信息安全领域相关问题进行咨询和探讨。
以下是笔者参加本届高峰论坛的一些感受。
统一、专业的标准
移动支付为用户带来方便与快捷的同时,也带来了一系列安全问题和隐患,例如:手机丢了怎么办?SIM卡被复制盗用怎么办?手机上网后的病毒攻击及恶意窃取怎么办?支付的数据被盗怎么办?用户不承认支付怎么办?SP(服务提供商)的不负责行为怎么办?把整个支付体系过程中任意一个环节单独拿出来,就可以找出无数个安全问题。目前移动支付技术领域发展非常迅速,如果安全问题得不到解决和落实,将会成为整个行业发展的一个瓶颈。
通过本届产业论坛,产业链各界同仁进行了初步的协商与研讨,为今后的合作打下了良好基础。在会上大家提出了一个共同的声音,移动支付标准的统一化!标准统一化的制定需要相关主管部门、运营商、产业界的共同努力和推动。然而,标准的统一尤其是相关安全标准的统一,是一个漫长和曲折的过程。atsec认为目前国际上可供参考的并且被业界认可的权威标准包括:由五大卡品牌(美国运通(American Express)、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和Visa国际组织)组成的支付卡行业标准委员会(PCI SSC)所维护的支付卡行业数据安全标准(PCI DSS )和支付应用数据安全标准(PA DSS)以及面向密码模块产品或者密码算法的美国联邦信息处理标准FIPS140-2。我们可以通过借鉴和参考国际标准的最佳实践和经验,结合中国的现实国情,制定出符合中国移动支付安全领域的行业规范和标准。
银行卡检测中心范贵甫副总经理在会上发言,表示中心正在积极筹备相关支付标准的安全检测工作。同时,国家金卡工程协调领导小组主任、中国信息产业商会会长张琪在会上恳切地呼吁: “制定中国自己的移动支付标准是刻不容缓的,我再次恳请和拜托我们的三大通信运营商,以及我们的中国银联,希望在以你们为核心骨干成立的国家金卡工程多功能卡应用联盟的标准工作中,加快推动我国统一的移动支付标准的制定,共同站在国家全局的高度,力促其早日问世!”atsec作为一家全球化发展的专业信息安全公司,也希望结合国际支付安全领域的丰富经验和先进积累,为中国的统一专业的支付标准作出自己的贡献。
合规评估体系的规范化
有了行业标准之后,为了将标准充分应用和切实落实,需要相关国家主管部门出台一套完整的合规评估体系,包括相关的制度、流程以及合规评估机构的规范和统一。
在合规评估体系的建设工作中,同样可以借鉴国际上对于标准评估认证的管理办法。比如,由政府职能部门联合运营商、卡商以及中立的第三方评估机构共同合作开展合规评估规范工作。对于审核方加强管理办法,制定严谨的评估体系,严格依据标准进行规范化审核。
中国信息安全认证中心陈晓桦副主任也到会为本次论坛进行致词,并强调了针对移动支付信息安全的重要性和必要性。来自中心的张剑博士也在本次论坛上提出“安全认证护航移动支付”的讲演,详细地就目前国内对于移动支付的安全认证体系进行了说明,并广泛的对于信息安全领域的认证体系进行了介绍。
atsec作为独立的第三方咨询评估机构,经过多年的实践经验,不论在安全产品的评测方面还是信息安全体系建设方面已经拥有了一套将信息安全标准进行整合且完美实施的方法论。同时atsec希望可以与各方专家一同为我国移动支付的合规评估体系提出有效的建议。
通力合作,共赢共进
移动支付产业链上的角色涉及到了多个领域,包括支付卡品牌、移动运营商、银行、商户、终端厂商、芯片厂商、智能卡厂商、第三方支付机构等。角色的多样性决定了移动支付所涉及的安全问题也是多方面和多层次的,包括手机等终端设备本身的安全,用户的银行帐户和个人身份等敏感信息,通过手机和商家的网站、支付网关、读卡器、有线网、无线网等传输、处理和存储的安全等等。
移动支付安全问题的备受关注,使得本次论坛吸引和汇聚了众多业界安全专家和优秀企业为移动支付安全保驾护航。面临众多复杂的移动支付安全问题,atsec作为一家独立且基于标准的IT安全咨询和评估服务公司,在支付产业领域拥有丰富的国内外经验和优秀的技术。atsec愿意与业界同仁一起,结合国际标准的最佳实践和atsec中国本土的专业化服务,共同致力于推动移动支付行业的发展,“相信只要我们坚定信心,充分利用有利条件,抓住发展机遇,我国ICT产业就一定能够尽快度过国际金融危机的严冬,迎来应用与市场蓬勃发展的春天。“这也是中国信息产业商会张琪会长在论坛上给予的希望。
关于艾特赛克(atsec)信息安全
atsec是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它拥有丰富的技术知识和国际经验,为客户提供具有商业导向的信息安全解决方案。 2000年1月,atsec首先成立于德国慕尼黑。随着在国际范围业务的迅速发展,atsec先后在美国、瑞典、中国壮大。
atsec提供代码的安全性审查,ISO/IEC 27001 ISMS咨询,以及渗透测试和扫描服务。
atsec还提供IT安全正式认证的评估和测试服务,包括美国,德国和瑞典通用评估准则(Common Criteria)体系的评估,美国NIST(National Institute of Standards and Technology)和加拿大CSEC(Communications Security Establishment Canada)体系的密码模块和密码算法评测,支付卡产业(PCI: Payment Card Industry)数据安全标准的符合性评估。
atsec的客户包括全球首屈一指的公司如IBM、Oracle、Apple、Microsoft、Hewlett-Packard、华为、Cray、宝马、SGI、Vodafone、Swisscom、RWE和 Wincor-Nixdorf等。