跨境电商产业的快速发展，带动了国内商家全球销售的跨越式扩张。而在此过程中，跨境支付这个环节对于我们所有人都有着重要意义。

跨境支付作为商家销售链条中的“临门一脚”，决定着整个商业闭环的成功与否，跨境支付风险给经营带来的负面影响逐渐成为了众多国内商家难以跨越的鸿沟。

近期我国推出的《中华人民共和国反电信网络诈骗法》（以下简称《反电信网络诈骗法》），其中一些条例对于降低跨境交易风险具有重大意义。该法自2022年12月1日起施行。

《中华人民共和国反电信网络诈骗法》

第三条 打击治理在中华人民共和国境内实施的电信网络诈骗活动或者中华人民共和国公民在境外实施的电信网络诈骗活动，适用本法。

境外的组织、个人针对中华人民共和国境内实施电信网络诈骗活动的，或者为他人针对境内实施电信网络诈骗活动提供产品、服务等帮助的，依照本法有关规定处理和追究责任。

第十五条 银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务，和与客户业务关系存续期间，应当建立客户尽职调查制度，依法识别受益所有人，采取相应风险管理措施，防范银行账户、支付账户等被用于电信网络诈骗活动。

第十八条 对监测识别的异常账户和可疑交易，银行业金融机构、非银行支付机构应当根据风险情况，采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。

跨境支付有哪些风险呢？

一、跨境支付有退单和拒付风险。退单是为了保护消费者，发起退单后支付款会直接退给消费者账户，然而相比退单，拒付更令卖家头疼，拒付率过高需支付高额罚金，还会影响跨境交易通道的使用。

二、跨境支付有冻结账号的风险。比如商家抄袭其他同类竞争伙伴的商品，被举报封号。

三、跨境支付受汇率波动影响。如果宏观经济环境和全球局势不稳定，各国之间汇率波动相差大，行业竞争或者销售端没有根据汇率调价的情况下，就可能导致卖家承受汇率损失。

《反电信网络诈骗法》对电信、金融、互联网等行业在治理方面提出了新要求，其中，第三条规定分别对中华人民共和国境内、外实施的电信网络诈骗的行为做出了相应处理规定，另外针对目前金融行业诈骗行为层出不穷的现象，第十五、十八条规定针对银行业金融机构、非银行支付机构建立了条纹框架，强调其治理责任，并给予相关风险管理措施。

这一系列政策手段，在一定意义上打击了跨境贸易背景下的洗钱行为，对金融机构、非银行支付机构和企业的健康发展也有重大意义。除国家政策之外，中付技术的国际支付网关、网站合规监测、全球风险名单、外卡收单行系统、EMV 3DS2、国际信用卡拒付预警与处理……一系列产品服务也为降低跨境支付风险做出了贡献。

中付技术具有丰富的跨境交易及风险合规经验，可为客户提供海内外一站式服务，具体产品服务如下：

保护跨境支付安全不仅是国家的责任，也是企业、商家和个人的责任，国家出台新规，通过有效手段打击不法分子潜藏在跨境支付下的不法犯罪行为，对于商家和个人，应该选择合规的支付平台，保障自己的权益；作为企业，中付技术为跨境电商用户提供安全可靠的跨境支付产品和服务，在此提醒大家注意防范跨境支付风险，保障自身的利益。

by Emma Zhang

Services

NuData Intelligent Risk Control: Enumerating Attacks in New Scenarios of Fraudulent Transactions

2022年10月13日

在近期的收单机构风险会议上，Visa再次强调了VAMP项目中类型为“枚举攻击”的欺诈交易应对。2022 年4月1日，Visa 针对收单行的欺诈交易添加了一个新场景即枚举攻击（Enumeration Attacks），Visa 将枚举攻击定义为“系统自动或有规律地向 Visa 提交无卡交易以获取支付信息进行欺诈交易”。例如卡测试、暴力测试、卡片生成器等。

枚举攻击检测项目风险阈值表

表格分析说明

1.枚举的风险阈值均以自然月为计算单位；

2. 枚举交易的返回码（Respond Code）为59；

3.收单行触及高风险阈值后将被纳入VAMP监控项目直至其满足退出条件，退出条件可参照Visa Rule(2022) 中的10.4.4。

风控措施

1.健全的商户入驻政策及措施，如EMV 3DS，实时监测小额多频率交易以及异常峰值。

2.收单行应在收到Visa发出的早期预警时及时解决枚举风险，早期预警的阈值为：枚举交易≥1,000笔，且枚举率≥10%，或枚举交易≥50,000笔，枚举率≥1%。

对收单机构的影响

一方面在对失败交易进行重新提交时需要注意频次，避免被识别为枚举攻击；另一方面针对卡测试、暴力测试等欺诈攻击，需要有合适的防护方案，拦截掉这些欺诈攻击，避免将此类交易未识别的情况下提交给卡组织。

解决方案：NuData智能风控

NuData从⽤户终端环境收集⼤量数据，再将数千个数据实时分析，识别⾃动化攻击、帐户接管、设备和连接异常引起的风险，并在⾝份验证中识别⽤户⾏为，继而根据识别的风险等级，实时评估是否增加或取消额外验证，最后利⽤智能技术实现业务流程的⾃动化，减少欺诈并⽆缝处理可信⽤户。

NuData适用于商户和金融机构：针对金融机构—主要通过以下三点来⽆摩擦解决⽹络和特定客户的威胁：第一，通过改进用户体验来提高用户忠诚度和收入。第二，通过深⼊了解⽤户行为特征及被动⽣物识别，减少从账户接管到应⽤程序欺诈的⼈为和⾃动攻击，达到增强风险管理的目的。第三，减少与客户服务摩擦，包括账户访问问题和密码重置等相关的运营成本。针对商户—帮助他们解决账号盗用、积分欺诈、支付欺诈、自动化攻击、新账户欺诈等风险，另外还增加了设备识别的功能。

NuData的优势在于其提供了实时持续性的动态验证，使用混合设备ID、行为分析、被动生物行为辨识和行为信任联盟技术，借助机器学习和数十亿数据，持续更新模型、特征和规则，即使在终端数据不可用时，也可以覆盖100%的交互事件，最终以最优的交易验证方案，帮助客户优化用户体验。

by Emma Zhang

News, Services

中付技术EMV 3DS方案获PCI 3DS权威认证

2022年6月10日

中付技术于2022年5月成功通了atsec基于标准PCI 3DS Core Security Standard v1.0的符合性评估。

2017年10月，PCI SSC发布了PCI 3DS Core Security Standard标准，全称为Security Requirements and Assessment Procedures for EMV® 3-D Secure Core Components: ACS, DS, and 3DS Server，该标准的安全要求旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI 3DS Core Security Standard由PCI SSC管理和维护，同时EMVCo负责管理和维护EMV 3-D安全协议和核心功能规范（EMV 3-D Secure Protocol and Core Functions Specification），定义了如何实施3D安全协议。

PCI 3DS核心安全要求用于保护3DS功能执行或者3DS数据存储所在的3DS环境。需要保护的特定功能包括：3DS服务器（3DS server）、3DS目录服务器（3DS Directory Server）和3DS访问控制服务器（3DS Access Control Server）。本次中付技术完成的PCI 3DS的合规范围覆盖其3DS 服务器的部分功能，包括收集3DS消息所需的数据元素（Collecting necessary data elements for 3DS messages）功能，验证3DS SDK和3DS请求程序（Validating the 3DS SDK, and the 3DS Requestor）功能，以及确保3DS消息内容得到安全保护（Ensuring that message contents are protected）功能。

中付技术运营经理马女士表示：“此次中付技术3DS产品通过行业内最高安全标准PCI 3DS认证,证明其已符合PCI 3DS核心安全标准，同时也标志着中付技术的支付安全认证技术达到了国际主流水准。中付技术已在行业内耕耘8年，作为国内知名“金融+科技”公司，中付技术一直坚持脚踏实地打磨产品和服务，为跨境电商提供一站式跨境交易及风险合规服务。此次通过认证的中付技术3DS系统有助于收单银行和支付机构降低风险，同时支持本地部署和云服务方式，致力于为客户打造更加安全的支付体验。”

中付技术EMV 3DS方案在全球范围内居于领先地位，符合最新的EMV 3DS 2.2标准，并向下兼容EMV 3DS 2.1标准。中付技术EMV 3DS方案已成功获得包括Visa、MasterCard、AE、Diners Club/Discover，银联国际等国际卡品牌的认证。中付技术致力于通过创新技术，为金融及支付收单机构提供更具安全性，可靠性以及便利性的跨境支付与合规风控解决方案。

atsec资深顾问和PCI实验室主任刘岩先生评论到：“我们很荣幸和中付技术共同努力实现了PCI 3DS的合规。3DS安全协议可以对于CNP交易提供额外的认证方式，使得支付更加安全可靠，而PCI 3DS从数据环境的角度提出了信息安全各个维度的基线要求，而PCI DSS标准也是该标准制定和发展的根基。atsec很高兴能够将我们在这个领域的积累和经验分享给产业内的机构，持续投入于支付安全领域的服务和标准化的研讨”。

关于艾特赛克(atsec)信息安全
艾特赛克信息安全（atsec information security）是一家独立且基于标准的信息技术（IT：Information Technology）安全服务公司(www.atsec.com)，它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年，并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec是针对支付卡产业数据安全标准（PCI DSS）授权的合格安全评估机构（QSA: Qualified Security Assessor），授权的认可扫描服务商（ASV: Approved Scanning Vendor），PCI 3DS评估机构，支付应用合格安全评估机构（PA QSA: Payment Application Qualified Security Assessor），PCI取证调研PFI机构（PFI: PCI Forensic Investigators），PCI软件安全框架机构（SSF：Software Security Framework Assessors），PCI点对点加密P2PE（PA）评估机构（POINT-TO-POINT ENCRYPTION ASSESSORS）™以及支付卡产业PIN安全要求（PCI PIN Security Requirements: Payment Card Industry PIN Security Requirements）标准的安全评估机构。atsec提供PCI SSC体系下的完整服务。atsec的渗透测试、应用安全、ASV（Approved Scanning Vendor）服务和信息安全咨询服务，作为评估服务工作的有力支撑，在PCI产业建立了完善的方法论，以更好的服务于支付卡产业。

关于中付技术

中付（深圳）技术服务有限公司(中付技术 (SHENZHEN) TECHNICAL SERVICES LIMITED)2013年成立于深圳，是一家跨境支付技术、风控及合规解决方案提供商。公司注册资本7000万元，目前在北京、香港、苏州等地设有分公司及办事处。

中付技术目前为中国支付清算协会理事单位、中国支付清算协会反欺诈工作委员会成员、Visa&MasterCard官方授权服务商&TPP及合作伙伴、Austreme中国客户服务中心、Oracle OPN合作伙伴。

中付技术团队成员工作经验涵盖监管合规政策、信息安全、欺诈预防、风险管理、风控建模、数据挖掘及智能分析等多领域，复合型人才近60人。