概述
支付系统会采取许多安全技术措施,包括数据加密、隐私保护、安全传输、访问授权与验证、物理硬件隔离等,提供必要的安全保障;同时提供子系统对交易过程中的信息流和资金流进行合规检查、风险识别、分析、业务决策和流向控制,降低用户的交易风险,保障交易的正常运行。
安全措施
数据加密
个人信息数据
账户数据
订单数据
系统配置文件
日志数据
交易记录数据
传输安全
专用网络
基于专用的传输协议和网络通信交换机设备,为各个金融机构提供数据报文制定、数据传输、交换等基础功能。
安全协议
开放网络环境中采用HTTPS进行数据传输,HTTPS是一种以安全为目标的HTTP,基于HTTP进行身份认证和传输加密保证了传输过程中的安全性。
访问授权
是一个获取授权、申请访问资源、审查授权、授权及备案的过程;如果没有合法的使用身份、网络、访问授权及正确的安全访问通道,则所有数据都将以密文状态保存、传输,通过其他非法手段无法访问、窃取或篡改。
硬件隔离
采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。
交易合规检查
数据合法性检查
编码格式检查
缺失检查
顺序检查
特殊字符检查
数据格式检查
RSA算法加签验签检查
交易重复检查
利用订单查询机制以及异步通知补偿机制来避免订单重复提交。
账户检查
根据风控系统账户相关数据决定是否允许该账户进行交易。
设备检查
根据设备的固有信息由风控系统辅助验证交易用户的真实性和合法性。
环境检查
根据网络环境和交易时间数据,通过查询数据库IP,确认交易者身份是否合法和安全。
用户行为检查
根据用户行为数据,包括下单、交易流水、访问记录、频繁操作次数等,基于这些用户行为数据,可以完善用户画像,通过场景计算模型(在线实时模型和离线模型)作出决策,判断用户行为是否安全。
