-支付安全知识-

PAY SAFETY KNOWLEDGE

摩宝微店保护支付敏感信息对资金安全的重要性

随着互联网行业的快速发展，欺诈风险逐渐向线上交易转移，在以往的线下交易中，银行卡被复制盗刷是高发案件。而在线上交易中，尽管不存在银行卡被复制盗刷的风险，但是交易仍需提供卡号和有效期等敏感信息，很容易给欺诈团体带来可乘之机，犯罪分子还可以通过骗取验证码或者挂失手机号等方式获得支付授权把钱转走。这些支付敏感信息的泄露已成为支付安全风险的源头，资金安全面临更为严峻的挑战。那么我们如何保护好敏感信息来确保我们的资金安全呢？

下面给大家列举5种方法：

1. 不透露：妥善保管好自己的身份证件、银行卡、网银U盾、手机，不轻易向外透露身份证件号、账号等信息。

2. 不乱丢：不要随意丢弃银行卡刷卡消费或使用ATM设备的交易凭条，谨慎进行网络操作。

3. 不轻信：对于接收到的异常电话和短息，不轻信、不回拨，不点击可疑链接。

4. 勤关注：妥善设置银行卡及其他关联账户的密码，关注账户变动情况。

5. 升技术：提高个人银行结算账户信息核验方式和风险等级，将银行卡磁条卡更换为芯片卡。

以下这些异常情况更是需要我们高度警惕：

1. 手机异常：收到银行发送的非本人行为的异常交易短信；收到冒充银行的短信，且个人信息和卡片信息均正确；已开通银行账户变动短信提醒，但手机在一段时间内无法收到任何短信

2. 网络操作异常：在不能确认安全的网站上输入了银行卡信息，或不慎点击可疑短信中的木马链接。

3. 信用卡使用不当：在商户POS刷卡或ATM上使用银行卡时发现设备有异常；在发生过风险的场所或地区使用过银行卡，接到银行的风险提示。

常用支付方式的安全特性和风险点

随着电子商务的蓬勃发展，网上购物、在线交易对于消费者而言已经从一个新鲜未知的事物变成了日常生活的一部分。下面给大家介绍几种常用的支付方式：

1. 手机银行：是利用移动通信网络及终端办理相关银行业务的简称。作为一种结合了货币电子化与移动通信的崭新服务，手机银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务，而且极大地丰富了银行服务的内涵，使银行能以便利、高效而又较为安全的方式为客户提供传统和创新的服务。手机银行是网络银行的派生产品之一，它的优越性集中体现在便利性上，客户利用手机银行不论何时何地均能及时交易，节省了ATM机和银行窗口排队等候的时间。

2. 云闪付：以智能手机为基础，基于NFC的HCE和Token技术的一种支付方式。不需要“解锁、亮屏幕、打开APP”等步骤，直接亮屏即可“刷手机”支付；而扫码支付则需要打开微信和支付宝的APP，启用摄像头和对应的扫码功能，联网确认后才能完成支付。优势在于手机与银行卡合二为一，代替实体银行卡享受一拍（手机）即付的快速支付体验，并且采用令牌、动态密钥、云端支付等技术，来确保账户信息和支付安全。

3. 快捷支付：一种全新的支付理念，具有方便、快速的特点，是未来消费的发展趋势，其特点体现在“快”。快捷支付指用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户手机号上，用户输入正确的手机动态口令，即可完成支付。如果用户选择保存卡信息，则用户下次支付时，只需输入第三方支付的支付密码或者是支付密码及手机动态口令即可完成支付。支付方式采用双重密码保护，支付时需要支付密码以及手机动态口令才能完成支付操作。

4. 金融IC卡：又称为芯片银行卡，是以芯片作为介质的银行卡。芯片卡容量大，可以存储密钥、数字证书、指纹等信息，其工作原理类似于微型计算机，能够同时处理多种功能，为持卡人提供一卡多用的便利。金融IC卡的外形与磁条卡相似，不同的地方在于数据存储的媒介。磁条卡是通过卡上磁条的磁场变化来存储信息的，而金融IC卡则是通过嵌入卡中的集成电路芯片来存储数据信息的。与传统的磁条卡相比，金融IC卡具有更明显的优势。比如，具备一卡多用的革命性优势；具备很强的抗攻击能力，很难被复制与伪造，安全保密性好于磁条卡。

5. 磁条卡：是一种卡片状的磁性记录介质，利用磁性载体记录字符与数字信息，用来标识身份或其它用途。磁条卡由高强度、耐高温的塑料或纸质涂覆塑料制成，能防潮、耐磨且有一定的柔韧性，携带方便、使用较为稳定可靠。磁条上的信息比较容易读出，非法修改磁条上的内容也较容易，卡的保密性和安全性较差。另外，磁条卡受压、被折、长时间磕碰、曝晒、高温，磁条划伤弄脏等也会使磁条卡无法正常使用。同时，在刷卡器上刷卡交易的过程中，磁头的清洁、老化程度，数据传输过程中受到干扰，系统错误动作，收银员操作不当等都可能造成磁条卡无法使用。

6. 二维码支付：一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下，商家可把账号、商品价格等交易信息汇编成一个二维码，并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码，便可实现与商家账户的支付结算。最后，商家根据支付交易信息中的用户收货、联系资料，就可以进行商品配送，完成交易。具有支付便捷、成本较低、使用简单等优势。

摩宝微店身份认证方式的安全强度

为了解决网络应用中的身份假冒、授权管理等问题，身份认证方式是首当其冲的问题，作为安全的第一道大门，是各种安全措施可以发挥作用的前提。在互联网应用的业务系统中采用的认证方式主要包括：用户名+口令、动态口令认证、生物识别方式、数字证书文件、数字证书Usbkey等。大家经常见到和使用的，“账号+密码”身份验证方式中提及的密码为静态密码，是由用户自己设定的一串静态数据，静态密码一旦设定之后，除非用户更改，否则将保持不变。这样很容易造成密码泄漏。而互联网发展至今，几乎我们每个人都会在不同网站或者APP上注册账号，随着账号的增加设置的密码难免相同，非常容易被攻击者在得知一个账号密码后在别的平台实施撞库，致使其他平台的信息遭遇泄露的风险。于是出现了手机短信验证，动态的验证码不易被泄露，但是存在手机中毒被截取的危险，而且有的时候验证信息无法发出，用户体验度大打折扣。

-系统安全-

PAY SYSTEM SECURITY

安装系统漏洞补丁程序

各类操作系统，均会定期发现可被利用的系统漏洞。例如IE文本漏洞，注册表可能被篡改，邮件系统漏洞可能受到蠕虫病毒攻击等等，这些都可以对电脑重要资料造成损坏。因此，建议摩宝微店用户应该定期检查安全公告，尽早获得安全信息和安装系统补丁。

加强密码管理

a.不同场景不同上网场合需要设置密码的地方很多，如网上银行、上网账户、交易网站等。建议应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄；

b.设置密码要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符、数字和特殊字符相结合的密码；

c.不要贪图方便选择“保存密码”或“记忆密码”选项，并定期修改密码，以防密码泄露。

定期备份重要数据

如果系统不幸遭遇攻击，操作系统和应用软件可以重装，而重要的数据 就只能靠您的日常备份了。所以，无论您采取了多么严密的防范措施， 也不要忘了随时备份您的重要数据，做到有备无患。

谨防网络钓鱼

网络钓鱼指的是不法分子通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、ATM PIN 码、CVV2、信用卡有效期等）的一种攻击方式。我们建议可以下载一些正规IE插件来防范钓鱼，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。

谨防病毒和防间谍软件

间谍软件是一种附着在共享文件、可执行图像以及各种免费软件当中，能够在用户不知情的情况下偷偷进行安装，且安装后很难被发现的恶性软件。找到其踪影，能够潜入用户系统并悄悄把截获的信息发送给第三者的软件，间谍软件能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。某些有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。要避免间谍软件的侵入，可以从下面三个途径入手：

a.把浏览器调到较高的安全等级，将IE的安全等级调到“高”或“中”可有助于防止下载；

b.在计算机上安装防止间谍软件的应用程序，时常监察及清除电脑的不知名间谍软件，以阻止该类软件对外进行;

c.对将要在计算机上安装的共享软件进行选择。在安装共享软件时，不要总是心不在焉地一路单击“OK”按钮，而应仔细阅读各个步骤出现的协议条款，特别留意那些有关间谍软件行为的语句。

 只在必要时共享文件夹

不要以为您在内部网共享的文件绝对安全。这些文件公众可以自由地访问，并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码，一旦不需要共享时立即关闭。 一般情况下不要设置文件夹共享，如果确实需要共享文件夹，一定要将文件夹设为只读。 “访问类型”不要选择“完全”，因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。

 坚持三勿原则

请勿下载来路不明的软件及程序，请勿打开来历不明的邮件及附件，请谨慎使用公共电脑，以免遭受病毒邮件的侵害。

-信息安全知识-

INFORMATION SECURITY KNOWLEDGE

您在金融机构或特定非金融机构办理金融业务时提交的个人身份信息，发生的金融交易等信息都是您个人的重要金融信息，但如果出现与这些信息有关的不当行为，不但会造成您的个人金融信息泄露，还会让您的合法权益受到侵害。本章将向您讲述个人金融信息安全方面的基础知识和防范技巧

个人金融信息概述

什么是个人金融信息

个人金融信息是指银行业金融机构在开展金融业务、提供金融服务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的财产信息、账户信息、信用信息、金融交易信息以及在这些信息基础上整理加工所得的衍生信息等。广义的个人金融信息应包括所有金融机构及特定非金融机构在与自然人建立业务联系、销售金融产品和提供金融服务的过程中产生、获得的所有个人信息的总和。

个人金融信息保护范围

个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。那么到底哪些个人金融信息受保护，也是我们大家关心的问题。根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号），个人金融信息保护的范围包括：

（一）个人身份信息。包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；

（二）个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；

（三）个人账户信息。包括账号、账户开立时间、开户行、账户余额、账户交易情况等；

（四）个人信用信息。包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；

（五）个人金融交易信息。包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；

（六）衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；

（七）在与个人建立业务关系过程中获取、保存的其他个人信息。

个人金融信息安全管理

个人金融信息保护法律规定

目前，我国尚未出台专门的个人金融信息保护的法律，但在《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等法律法规中，都有保护个人金融信息的条款。例如：

（一）《商业银行法》第六条规定：商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定：商业银行办理个人储蓄存款业务，应当遵循为存款人保密的原则，对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。

（二）《中华人民共和国反洗钱法》第五条规定：对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。

（三）《刑法》修正案七规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

（四）《征信业管理条例》第十三条规定：采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外。第十四条规定：征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息，但征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意采集的除外。第二十六条规定：信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的，可以向所在地的国务院征信业监督管理部门派出机构投诉，信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的，可以直接向人民法院起诉。

（五）其他规范性文件。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）规定，银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。特别在收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时，应当符合收集该信息的目的，不得出售个人金融信息，不得向本金融机构以外的其他金融机构和个人提供个人金融信息（但个人书面授权同意、以及法律法规另有规定的除外），不得在个人提出反对的情况下，将个人金融信息用于产生该信息以外的本金融机构其他营销活动。

金融监管部门保护措施

2011年1月21日，中国人民银行印发了《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号），要求商业银行强化个人金融信息保护工作，并从商业银行自身建设、个人金融信息的收集和使用、外包管理、商业银行报告义务和法律责任等方面提出了明确规定。

2012年3月27日，中国人民银行印发了《关于金融机构进一步做好客户个人金融信息保护工作的通知》（银发〔2012〕80号），要求各银行业金融机构在制度、内控管理、信息安全防范、员工教育等方面采取措施，进一步加强个人金融信息保护，并在全国银行业金融机构开展个人金融信息保护自查工作。各级人民银行分支机构适时开展了对银行业金融机构个人金融信息保护工作的专项检查，对未履行客户个人金融信息保护义务，侵害客户合法权益的，根据有关规定严肃处理。

金融机构保护措施

（一）采取物理隔离、防火墙等措施加强技术防范，杜绝外部非法入侵系统窃取个人金融信息；

（二）建立内控制度，对可能出现的个人金融信息泄露的环节进行排查；

（三）形成相互监督和制约的管理机制，切实防范信息泄漏事件的发生；

（四）履行客户身份识别义务，依法使用、保存和销毁客户原始凭证资料；

（五）规范查询本人、代理查询他人金融信息的程序，审核客户有效身份证件或有关法律文书；

（六）建立员工行为准则，加强员工培训教育，与涉密岗位人员签订书面保密承诺书。

金融消费者要强化个人金融信息风险的防范

在金融业虚拟化和网络化程度不断提升的现代社会，个人金融信息安全面临着前所未有的挑战，除了金融机构加强个人金融信息安全管理外，广大金融消费者也应增强防范意识，妥善采取保护措施，确保自己的个人金融信息等隐私信息不受侵害。

（一）切勿把自己的身份证件、银行卡等转借他人使用。

（二）在日常生活中切勿向他人透露个人金融信息、财产状况等基本信息，也不要随意在网络上留下个人金融信息。

（三）尽量亲自办理金融业务，切勿委托不熟悉的人或中介代办，谨防个人信息被盗。

（四）提供个人身份证件复印件办理各类业务时，应在复印件上注明使用用途，例如：“仅供申报**信用卡用”，以防身份证复印件被移作他用。

（五）不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等，对写错、作废的金融业务单据，应撕碎或用碎纸机及时销毁，不可随意丢弃，以防不法分子捡拾后查看、抄录、破译个人金融信息。

（六）不要轻信来历不明的电话号码、手机短信和邮件。警惕向您询问个人金融信息的电话及电子邮件，在任何情况下，法院、警方都不会要求您告知银行账户、卡号、密码或向来历不明的账户转账，如遇到此类情况，应予以拒绝，必要时立即报警。