近日,全国金融标准化技术委员会(以下简称“金标委”)发布关于征求《聚合支付安全技术规范》(征求意见稿)的通知,目前该规范正处于委员会投票阶段,或不久将对外公布。
《聚合支付安全技术规范》
该规范提出了聚合技术平台的基本框架,规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。
聚合支付的发展
2016年,聚合支付横空出世,突然一时间,聚合支付遍天下,到处都传闻着聚合支付的艳事,耳熟能详!那么,聚合支付究竟是什么?百度百科上,聚合支付又叫融合支付,聚合也好,融合也罢,字面上理解,顾名思义,就是把支付汇总起来合在一起。
在财付通和支付宝两大巨头背后,是一个个微小的聚合支付机构。所谓聚合支付,就是依托银行、三方支付或清算组织的支付通道与清算能力,为客户提供接口、集成、对接、订单处理、数据统计等的支付服务机构,它们通常不具支付许可牌照,它们的业务团队穿梭于大街小巷,为小微商户提供技术支撑和营销服务。它们中的很大部分,是将不同小微商户的多个二维码聚合到一个二维码上,可同时收取消费者从支付宝、微信等第三方支付渠道的付款,并能够完成清算、结算、对账等功能。
2017年央行45号文件《关于持续提升收单服务水平,规范和促进收单服务市场发展的指导意见》,明确提出了鼓励聚合支付,对于聚合支付带给商户的价值给予明确肯定。
聚合支付的模式特点
聚合支付根据服务对象不同,聚合支付可分为线上型和线下型。监管此前曾鼓励收单机构为特约商户提供聚合支付服务。在正常的交易中,用户向商户发起交易,商户将交易上送至收单机构,收单机构通过银联,将交易送至发卡行,发卡行扣款之后通过银联将资金清算至收单机构,收单机构根据比例进行分润并将资金分配至商户。
做这样的二维码聚合支付产品主要有两个主要环节,一个是交易通道(微信支付、支付宝、快捷支付、百度钱包等),另一个是代付通道(银行、银联、第三方支付公司),交易通道的接入必须要有大商户作为载体,而大商户的真实性一直是央行监管的重点。
如今绝大多数的二唯码支付品牌都是接的银行的微信支付宝通道,因为银行的另外一个身份就是微信支付宝的服务商,还有一个身份就是金融机构拥有资金清算的资质(民生银行厦门清算中心因为越界被监管关停),最后一个身份就是作为垫资方,将二维码支付T 0秒到包装成一个业务提供给二维码聚合支付服务商。
以大商户模式接入后,就轮到代付通道了,将用户通过通道交易的资金清算给B端。而聚合支付企业一般没有支付许可牌照,也不进行资金清算,目前有部分披着聚合技术服务商(如云付、盛树宝)涉嫌无证从事支付结算业务,扰乱了市场秩序,需要加以规范。
聚合支付标准即将出台
在本次由商业银行、支付机构、中国银联、检测机构等角色组成的标准工作组拟定的《聚合支付安全规范》草案中,聚合技术服务商被定义为经工商行政管理部门批准成立,接受支付服务机构、商户委托,利用自身的技术与服务集成能力,提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。
在数据留存和应用安全方面
除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外,标准还对聚合支付的数据留存问题有较高的要求。
在应用软件的运行安全方面还要求:聚合技术服务商应通过白名单、提醒等方式,确保聚合技术服务商应用访问聚合技术服务商web站点进行安全控制;聚合技术服务商应用应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力;聚合技术服务商应用应能检测并向后台系统反馈手机支付环境安全状况,作为风控策略的依据。
除以上要求外,该标准还对通信安全、受理终端安全、报文接口安全等方面有更加细化的要求。
管理和风控方面要求
在风控方面,聚合支付应该满足《银行卡收单业务外包管理的通知》(银发〔2015〕199号)要求。2017年年初,央行将聚合支付定性为银行卡收单外包服务商之后,另外对于交易系统在风控层面和管理层面也有了更高要求,例如,聚合技术服务商应建立应对套现、欺诈、洗钱等方向的风险监控模型及系统,对异常交易进行及时预警并通过预警及时反馈支付服务机构;应针对批量或高频登录等异常行为,应利用IP地址、终端设备标识等信息进行综合识别,及时采取附加/验证、拒绝请求等手段;资金类等高风险业务,通过短信等方式实时告知客户和商户其资金变化情况。
聚合支付路在何方
上半年以来,多家银行发布通知表示因为人民银行针对无证经营支付业务整治工作(也就是217号文),将对四方聚合支付进行全面整改清退,全面关停无证支付机构的渠道号,部分银行分行甚至直接停止运营移动支付通道业务。不过值得注意的是,此次银行系整治关停支付通道,直连微信或者支付宝的商户不受影响。
而目前看来,或将有一大批机构和商户将被主动或被动关停。这些聚合支付机构,也在经历行业的大变局。随着监管落地,已在夹缝中求生的聚合支付将面对更为残酷的现实。
未来的合规聚合主要将表现在三个方面,一是不审商户;二是不碰资金;三是不做系统对接。前两者是无条件的,第三个可以适当放宽。
后续聚合支付机构可能寻求转型,充分发挥在市场一线展业的机会,在解决了中小微企业基础的支付需求之外,还需要为中小微零售企业提供金融解决方案,包括贷款,信用卡办理,收款资金理财,更深层次地介入中小企业供应链金融上下游。
而作为通道方的银行,应着力在完善通道功能的同时,加强合规和风控的管控,设计灵活的产品更好地支持聚合支付和电商平台的服务,并叠加更多金融产品给这些场景拓展企业,实现互利共赢。
过去的野蛮生长不可长久,未来,将是一个更加考验运营和精耕细作的时代,只有让用户觉得好,提升用户体验度,增加产品粘性,产品才可以长久。