第三方支付安全的技术保障主要有5种:交易方自身网络安全保障技术、数据传输安全保障技术、交易用户身份识别与认证、交易方的支付安全、加强资金的监管和风险准备。
(1)交易方自身网络安全保障技术。
①用户账户管理和网络杀毒技术。交易双方在进入系统之前须输入账户密码,在获得系统认可后才能在规定的权限内使用系统,使用密码登录技术是最直接的安全防范措施。
②防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。要进行电子支付,企业就不得不把内部网络连接到Internet上,这意味着与网上成千上万的计算机建立通路,为了维护企业内部网络和信息的安全,就需要防火墙这一技术手段的应用。
(2)数据传输安全保障技术。数据传输安全保障技术主要体现在数据加密技术上,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破解所采用的主要技术手段之一。在进行支付的过程中,贸易双方在网络上相互通信,主要的安全威胁来自非法窃听。
(3)交易用户身份识别与认证。身份认证是判别和确认贸易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。数字签名与CA认证技术是主要的身份认证技术。
①数字签名。数字签名的作用是区分真实数据与伪造的、被篡改过的数据。使用加密技术,通过加密函数加密的密文将随着文件的变化而变化,因而可以利用数字签名来鉴别文件在传输过程中是否遭到破坏或篡改。
②CA认证技术。在电子交易中,无论是数字时间戳服务还是数字证书的服务,都不是靠贸易双方自己完成的,而需要由一个具有权威性和公正性的第三方来完成。CA承担网上安全电子贸易认证服务,为贸易的参与方提供了安全保障。
(4)交易方的支付安全。目前有两种支付协议被广泛地采用和应用,一个是SSL,另一个是SET。
①SSL协议。SSL协议可以提供Web上两台机器间的安全通道,它首先要利用认证技术识别各自的身份,在客户机向服务器发出要求建立连接的消息后,SSL要求服务器向浏览器出示数字证书,客户端验证后确认合法性。客户端利用加密技术保证通道的保密性,利用数字签名技术保证信息传送的完整性。
②SET协议。SET协议是一个复杂的协议,涵盖了信用卡在电子交易中的交易流程、应用信息的保密和资料的完整以及CA认证、数字签名等技术标准。其作用主要是保证付款信息和付款过程的安全,保证付款过程遵守相同的协议和格式标准。
(5)加强资金的监管和风险准备。
①加强资金的监管。对滞留在第三方支付公司内部的客户资金,通过法规明确其所有权属于客户,严格区分客户自己的资金和第三方支付公司自身的资金,禁止将客户资金用于第三方支付公司的运营或者其他目的。
②加强风险准备。第三方支付公司应建立风险准备制度,以作为防范风险损失的最后防线和生存的保障。在第三方公司不能主动管理风险的情况下,只能由法律规定强制建立风险准备制度。
