我们生活在一个数字交易已成为常态的时代。在大多数情况下,几乎不需要访问实体支付服务提供商(PSP)来进行金融交易,PSP 现在可以全天 24 小时提供服务。通过银行应用程序,用户只需点击一下按钮,就可以收发款项或进行支付。随着使用量的激增,确保交易的安全性和可信度变得前所未有的重要。
收款人验证 (VoP)(或收款人确认 (CoP))是保障支付安全的一项关键措施,它可以验证收款人的身份,确保将款项支付给正确的收款人。VoP 要求的更新和 合格网站认证证书 (QWAC)的作用正在重塑监管格局。
在本博客中,我们将探讨 VoP 要求、QWAC 的重要性以及第 2 号支付服务指令(PSD2)在不同地区支付安全中的作用。
了解导致 VoP 的收款人确认(CoP)
英国是 2020 年首批推出收款人确认(CoP)倡议的国家之一。 由英国支付公司(Pay.UK)牵头,CoP 法规的主要目的是防止误导支付和欺诈性支付。其本质是在付款完成前核实收款人的姓名和账户信息是否与付款人提供的账户信息相符。如果详细资料不符,它就会提醒发件人可能出了问题。
这项举措取得了巨大成功,完成了超过 25 亿次 CoP 检查,使欺诈案件大幅减少。
欧洲支付理事会 (ECP) 紧随其后,于 2024 年 10 月推出了收款人验证计划。欧洲支付委员会现已指示,在单一欧元支付区 (SEPA) 内提供即时支付或信用转账的所有 PSP 必须在 2025 年 10 月前实施 VoP。
CoP 与 VoP - 区别何在?
CoP 和 VoP 计划在减少支付欺诈和误导支付方面有着相同的基本原则。不过,它们的验证要求不同。就 CoP 而言,收款人身份是通过个人或企业名称、银行分类代码和账户号码来验证的。而对于 VoP 交易,身份验证使用的是账户名称或明确的账户标识符,如法人实体标识符(LEI)或税号。
合格网站认证证书(QWAC)在 VoP 和 CoP 交易中的作用
那么,QWAC 从何而来?QWAC 是合格网站身份验证证书,是 PSP 根据《客户身份验证监管技术标准》(RTS)和《通用安全通信技术标准》(CSC)必须执行的强制性要求。
QWAC 是一种合格的数字证书,可为金融机构之间交换的数据提供强大的身份验证、加密和完整性保护。它们用于确保银行、PSP 和 API 之间的通信安全。它们有助于满足监管和安全要求,特别是 PSD2 和开放银行框架下的要求。
QWAC 在确保 VoP 和 CoP 交易安全方面发挥着至关重要的作用:
- 它们通过验证银行、PSP 和第三方提供商 (TPP) 的身份来确保相互认证。
- 它们对机密数据进行加密,防止中间人攻击和数据泄露。
- 它们符合 PSD2 对银行和金融技术提供商之间安全 API 通信的要求。
PSD2 的影响
《支付服务指令 2》(PSD2)是欧盟制定的一项法规,旨在促进数字交易中的安全实践、促进竞争和保护消费者。PSD2 的关键是 “客户身份验证”(SCA),它能确保支付协议的验证和安全。
PSD2 对 VoP 有重大影响。它规定银行和 PSP 必须确保处理交易的安全通信。这可以通过使用 QWAC 的 mTLS 身份验证来实现(因为 mTLS 证书提供了两个端点的相互验证)。它还要求 PSP 在与开放银行 API 集成通信时使用 QWAC 验证身份,以便在授权交易前验证收款人详细信息,从而实现安全支付。
您可以在我们的博客或电子书中阅读有关 PSD2 的更多信息。
什么是 PSD2 的 RTS SCA/CSC?
客户身份验证监管技术标准 (SCA) 和通用安全开放通信标准 (CSC) 详细规定了金融机构和 TPP 为遵守 PSD2 而必须满足的具体安全措施和实施要求。
RTS 的一项核心原则是所有相关方之间进行共同和安全的通信。支付服务提供商和金融机构之间的所有交易都必须通过安全渠道进行,并确保数据的真实性和完整性。
VoP 计划的全球采用情况
全球都需要避免误导国内和跨境支付,同时保持支付处理的速度。
各国都在探索和实施 VoP 计划,以打击欺诈和确保交易安全。2024 年 8 月,澳大利亚银行协会 (ABA)完成了 CoP 服务的设计阶段,将于 2025 年推出。
包括亚太地区、中东和非洲以及拉丁美洲在内的其他地区正在越来越多地探索支付验证(VoP)计划,并促进 PSP 与金融科技公司之间的合作,以提高支付安全性和效率。与地区支付基础设施相匹配的定制 VoP 系统是满足独特市场需求和支持安全交易流程的关键。
随着 PSD2 等法规对全球支付格局的影响,VoP 计划和 QWAC 证书对未来安全可信的支付交易至关重要。随时了解监管更新并实施必要的安全措施非常重要。
