作者:中国农业银行科技与产品管理局 李宽 王鹏
“滴”一声之后,或是按压指纹验证,或是输入密码验证,甚至小额无密支付,一次支付交易就完成了,这样的支付场景已经深入中国老百姓生活的方方面面,甚至在中国西部的某个小县城,扫描支付已经遍布大街小巷。现如今,交通、出游住宿、饮食等绝大多数生活场景,无论是耄耋之年的老人,还是初识文字的小孩,只要一部智能手机就可以满足这些场景的交易需求,这就是第三方支付(Third Party Payment,TPP)给我们带来的生活便利。
那么,如何确保TPP的安全性,既能保护“钱袋子”,又能适应TPP的发展?在国内,我国2015年就推出了GB/T 31502-2015《信息安全技术电子支付系统安全保护框架》,为构建、运行安全的公共电子支付系统,包括第三方支付的模式,提供了基本框架。
同时,第三方支付也引起了ISO的重视,国际标准化组织金融服务技术委员会(ISO/TC68/SC2)组织由挪威专家牵头制定的ISO/TR 21941《第三方支付服务提供商》,界定了第三方支付的若干基本概念,并对全球第三方支付的总体情况进行初步的概括和分析,且根据挪威的情况,给出了一个第三方支付的参考模型。
2016年ISO/TC68/SC2决定成立研究组,研究第三方支付的安全目的,并考虑第三方支付的安全框架。
研究的组织
第三方供应商研究组(ISO/TC68/SC2/SG1)由法国专家担任研究组召集人,人民银行科技司和农业银行派员参与该研究组。人民银行科技司对此项工作十分重视,多次派专家参加ISO电话会议,并组织国内蚂蚁金服、财付通的专家一并参与工作,在网联清算有限公司成立后,全国金融标准化技术委员会(以下简称金标委)秘书处又积极协调其派出了专家直接参与了研究组的工作。
2018年,ISO/NP 23195《第三方支付信息系统的安全目的》国际标准提案通过ISO立项。为推动ISO/NP 23195标准编制工作,ISO/TC68/SC2组建第三方支付服务供应商的相关安全工作组(ISO/TC68/SC2/WG16),法国专家担任工作组召集人,人民银行科技司李伟司长为ISO/NP 23195项目负责人。同时,为保持该编制工作的延续性和一致性,金标委秘书处组织推荐农业银行、网联清算有限公司、蚂蚁金服、财付通的5名专家加入该工作组,其中农业银行的专家已经由ISO注册为工作组秘书支持团队。
标准主要研究过程
2016年ISO/TC68/SC2/SG1研究组成立之初,由于研究组的召集人事先并未准备方案,中国专家经过研究后,认为GB/T 31502-2015《信息安全技术电子支付系统安全保护框架》是以ISO/IEC 15408-1:2009(采标为GB/T 18336.1-2016)为基础编制,标准中安全目的(含)之前的内容具有通用性,且符合国内第三方支付的状况,故经与国际工作组的其他成员沟通,由农业银行专家执笔,在蚂蚁金服、财付通专家的共同努力下,以GB/T 31502-2015为基础起草了《第三方支付信息系统的安全目的》国际标准草案。在这个研究组中,比较活跃的除法国召集人和中国专家外,还有瑞士和挪威专家,所有的讨论均围绕中国专家起草的文档草案展开。
在2017年5月召开的ISO/TC68/SC2的年会上,由召集人授权农业银行专家对研究成果进行了汇报。2017年SC2年会决定,在前期研究基础上起草《第三方支付信息系统的安全目的》新工作项目提案(NWIP),由农业银行专家担任提案起草人,通过SC2/SG1提交ISO/TC68/SC2秘书处。随后,在金标委秘书处的统一组织协调下,中国专家准备了NWIP和标准草案,并根据中国网联的发展,在标准草案中反映了符合中国实际情况的第三方工作的模式。
2018年初,TC68/SC2启动ISO/NP 23195《第三方支付信息系统的安全目的》NWIP阶段投票。投票结果为:9票赞成,9票弃权,其中来自澳大利亚、中国、南非和英国赞成提案并推荐专家参与后续标准编写工作。为达到5个P成员国推荐专家才能成立在ISO立项并成立新工作组的条件,在2018年ISO/TC68年会期间,金标委秘书处积极与ISO/TC68各成员国代表沟通,最终ISO/TC68/SC2会议决定再次发起投票,向SC2的P成员国征集专家。在金标委秘书处的不断努力下,韩国、日本均同意派出专家参与此标准编制工作,满足了新成立工作组的要求。
2018年7月,ISO/NP 23195《第三方支付信息系统的安全目的》形成国际标准委员会草案(CD),通过SC2秘书处发起CD阶段的投票工作。
一次借船出海的体会
1.技术储备是参与国际标准化工作的基础。《第三方支付信息系统的安全目的》由于机缘巧合,在TC68/SC2提出研究第三方支付的安全目的时,正好GB/T 31502-2015《信息安全技术电子支付系统安全保护框架》刚刚发布,且该标准基于ISO/IEC 15408-1:2009(采标为GB/T 18336.1-2016)编制,因此,该标准具有比较好的基础,不易被驳倒。
2.在国际标准中体现我国标准的核心技术观点而不是原封不动地照搬原来的框架和文字。在与国外专家的讨论过程中,有大量的时间和精力用在了标准的范围和术语方面。因此,这一部分内容往往难与原来国家标准中的内容在形式上保持一致,此时,需要参与研究的技术人员找到异同点,在核心问题上反映我国立场。
3.抓住机会向国际标准化界展示积极参与的意愿。由于SC2/SG1的召集人未能参加2017年的年会,在得悉中国农业银行专家将参加2017年的年会后,要求农业银行专家代表研究组在会议上汇报研究基本情况,在汇报并回答了与会专家的问题后,SC2年会决议由农业银行专家担任标准新项目的起草人,也正是这样的机会,使得中国专家能够有机会在标准草案中反映中国在实施了网联之后的系统框架。
4.所有的技术性和参考性内容均应在标准中反映。由于国际标准并没有编制说明的概念,而ISO新工作项目提案的申请表(Form4)均是要求针对几个特定的方面进行简短的说明,因此,如果要对某些事宜进行分析、比对、阐述,则应充分利用标准的引言、注释和资料性附录机制进行说明,目前也可以看到,一些已经发布的国际标准中,也有在正文中插入一段内容对某些观点进行阐述的。本次在起草NWIP的过程中,中国专家对标准与法规在TPP业务方面的影响、本标准应定位于IT范畴的理由等进行了分析,但是由于在标准之外单独提供了附件,因此并未达到应有的效果。
5.通过参与国际标准的制定进一步熟悉和掌握国际标准制定的规则。在第三方支付的信息系统的安全目的基本确定后,召集人曾提出要求中国专家起草一个第三方支付的安全框架,为此,蚂蚁金服和财付通的专家分别提供了其安全逻辑框架,由农业银行专家整合为一个通用的逻辑框架。在提交给召集人后,召集人便不再讨论这一问题,转而讨论第三方支付安全框架涵盖的范畴。中国专家建议的TPP安全标准族的概念,即第一层为安全目的,第二层为安全需求,第三层为设计约束,第四层为开发应用指南,也仅仅是口头得到了认可,并未启动后继的实质性研究。因此,通过在国际标准的实践中学习召集人和秘书的工作方式,也是促进我们能够积极有效地参与国际标准化活动的重要方面。
本文节选自《金融电子化》2018年10月刊
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。