標籤:

智能POS對於商戶使用,有沒有什麼安全疑慮?

12-29

隨著移動支付技術的普及,傳統刷卡POS機也面臨著新的挑戰——智能POS機的出現和普及。智能POS機隨著互聯網技術的成熟而具備了傳統POS機所不能實現的功能,可以說完全兼容了傳統POS機,但是作為商家,我們最關切的是智能POS機是否有安全方面的隱患?

首先說明我本人不是POS機行業的專家,僅是近期工作原因對於智能POS進行了一些調研,作者擬從什麼是智能POS,為什麼會有智能POS,智能POS帶來哪些新的問題,智能POS的未來會怎樣,這四個方面來寫寫我本人的看法。

1.什麼是智能POS?

智能POS時相對於傳統POS來說的一個概念,傳統的POS想必大家都見過,一般都是黑白的界面,採用的是嵌入式的操作系統和專用的處理晶元,一般來說在智能POS上進行開發,需要專業的技術人員進行。而智能POS則突出了智能二字,相對於傳統POS,其操作系統採用了安卓等通用型操作系統,並且具備了在上面安裝其它各種智能軟體的能力。簡單來說,智能POS就是一款搭載了智能操作系統,具備處理除支付功能以外其它能力的POS機。

2 為什麼會有智能POS?

傳統POS發展到現在,更多的時候僅僅是作為一個支付工具存在,應該說之前這些年POS機一直沒有太大的變化,有的不過是處理能力的增強,或者是外觀的改變而已。一款POS機從研發完成投入市場開始,到最後被新的一款機器替代退出市場一般要經過數年的時間。到了互聯網時代以後,傳統的POS機也成了被顛覆的對象,從我個人角度覺得出現智能POS的原因有二:

第一是硬體本身的升級換代,傳統的POS機器是在嵌入式系統上開發的,隨著信息技術的進步,智能設備已經成為了標配,這種情況下,傳統的POS機器也有同步進行硬體升級的必要;

第二則是互聯網思維對於傳統POS的改造,POS機是一個獲取商戶的良好入口,傳統POS機僅僅能完成支付的功能,而智能操作系統平台的出現,使得對於商戶其他服務功能可以疊加在POS機器上,比如說會員管理,積分管理等等。通過POS機可以切入到商戶服務領域,這比起僅僅是簡單的支付來說,賦予了POS機更多的意義。

3 智能POS帶來哪些新的問題

應該說,智能POS具備了多應用的能力,對於商戶來說不必像以前一樣維護多個業務系統,僅需要將所有的功能APP化安裝在智能POS上即可。從這個角度來說,智能POS是方便和美好的。筆者認為智能POS可能帶來如下新的問題:

第一是安全,智能POS集成了多種功能,但從根本上說,它最基礎的功能是支付。提到支付,不可避免的就是安全問題。目前的智能POS大多搭載在安卓操作系統上,該系統本身的安全性就需要加強。另外有不少款式的智能POS是沒有硬體密碼鍵盤的,在通過PCI等認證時也會遇到一些問題,又如由於智能POS本身會安裝除支付意外的應用,如何確保這些應用的安全性也會是個問題等。技術上這些問題都是可以解決的,比如通過增強智能POS操作系統底層的安全性,禁止Root,將支付相關應用和其它應用隔離等方法來實現。

第二時如何整合的問題:支付本身是一個標準化的產品,可以大規模複製。然而一旦涉及到了商戶的其它應用,則變成了一個需求千變萬化的領域,很難有一套完全通吃的方案。這就註定了如何去搭建智能POS的生態體系的問題,目前智能POS領域存在著卡組織、POS廠商、行業應用開發者、收單行、商戶服務方等多個角色,如何在這個體系里做到互相配合,是一個比技術問題更加困難的業務問題。

4 智能POS的未來會怎樣

首先不可否認,智能POS肯定是有未來的。就和我們經常說到的移動支付一樣,智能POS的未來在於如何構建出一個各方互利共贏的產業鏈。這方面我相信大家還是在探索,但有幾個趨勢應該目前可以看的清楚和明白的了:

第一是智能POS的出貨量會逐步增大,最終完全替代傳統POS。從產品發展的角度,隨著硬體成本的下降,傳統POS終將消失,屆時市面上所有可以採購的POS機都將成為智能POS;

第二是隨著智能POS機取代現有傳統POS機具,整個生態的基礎平台就將搭建完成,會吸引各類應用開發者和商戶服務方基於智能POS平台開發各類應用;

第三是行業內部各大佬通過不斷嘗試,確定業務開展模型,形成類似於現有傳統POS的一個可以持續的產業鏈。

先寫這麼多,作者會隨著自己工作中的見識不斷思考,並補充這個話題的。

先說結論:

-智能POS總體來說是安全的,而且便捷好用;

-如果是受理銀行卡服務的智能POS終端,請確認是否通過銀行卡檢測中心的認證;

-智能POS帶給商家很多的想像空間,明年將會是智能終端爆發的年份。

1、什麼是POS

POS(Pointofsales)的中文意思是「銷售點」,全稱為銷售點情報管理系統,是一種配有條碼或OCR碼技終端閱讀器,有現金或易貨額度出納功能。其主要任務是對商品與媒體交易提供數據服務和管理功能,並進行非現金結算。

POS是一種多功能終端,把它安裝在信用卡的特約商戶和受理網點中與計算機聯成網路,就能實現電子資金自動轉帳,它具有支持消費、預授權、餘額查詢和轉帳等功能,使用起來安全、快捷、可靠。大宗交易中基本經營情報難以獲取,導入POS系統主要是解決零售業信息管理盲點。連鎖分店管理信息系統中的重要組成部分。[1]

傳統意義上的POS,人們大部分情況下等同於銀行卡受理終端,一般搭建在嵌入式單片機系統上,相對封閉,採用電話線或者2G Sim卡進行通信,外表如下圖:

圖為聯迪E530移動無線終端

2、什麼是智能POS

我們常見的理解,將智能POS定義為搭建在安卓系統上的,可以接受WIFI或3G通路的,開放型多應用終端。

在Copy To China的世界裡,讓我們先看一下美國的智能終端是什麼樣的——這個就是著名的終端「Poynt」

Poynt 呈彎曲狀,前後各有一塊屏幕,一塊收款方使用,一塊消費者使用。機身上有卡槽,可以讀取信用卡,也內置了 NFC、信標、藍牙等,支持目前主流的移動支付方式。設備支持 Wi-Fi、3G、4G 網路,以及 USB 擴展,電池可以續航 8 小時。它還自帶印表機,列印收據。也就是說,商家無需其他任何外置設備,一台
Poynt 可以提供全套收款服務。Poynt 有自己的軟體平台
Poynt OS,基於 Android 內核,內置三款應用,會定期推送更新。

我們可以通過一個短片來認識一下,智能終端是什麼樣的。

【氪TV視頻】Apple Pay改變移動支付 Poynt要革POS機的命—在線播放—優酷網,視頻高清在線觀看

3、智能終端相對傳統終端的好處

  • 傳統終端的封閉VS智能終端的開放

-通常我們看到的傳統終端一般是封閉的,無法與其他設備有效關聯,也沒有很多與外設相通信的手段,是一個專業化終端,用於獨立的收銀體系。

-智能終端是開放的,可以方便的與收銀系統,ERP管理系統,會員系統連接,來實現一些不同系統之間的信息聯動,幫助商家更好地建立數據通信,降低業務成本,減少人工差錯,增強內控服務等。

  • 傳統終端的單一服務VS智能終端的多樣服務

-絕大部分的POS傳統終端只用於受理銀行卡交易,無法進行其他的服務;

-智能終端現在已經成熟的應用服務包括:銀行卡受理、移動支付受理、團購券核銷、外賣接單、列印排隊單據、積分兌換等,可以容納一個商家所需求的大部分業務需求。加上O2O業務的飛速發展,成了店家開店的必備服務終端之一。

  • 傳統終端的升級VS智能終端的升級

-傳統終端的升級需要通過TMS的主控在一個2G甚至更差的網路情況下進行升級,成功率極低。如果通過連線的方式進行升級,由於業務的專業性,需要專業的維護人員到終端所在地進行升級,運營成本極高。

-智能終端的升級藉助安卓平台和便捷的網路環境,可以達到快速升級,遠程服務的目的,運營成本遠低於傳統終端。

4、智能終端的安全

相比封閉的傳統終端,智能系統接觸的人更多,再加上安卓系統本身的特性,相對來說,人們的感知是這個存在一定的安全隱患。

那麼這個智能終端是不是真的那麼不安全呢?我們來了解下:

  • 操作系統

操作系統是大家所熟知的安卓操作系統,POS終端廠商都會針對系統底層進行安全性的開發,以提高原操作系統的安全,降低被攻擊的幾率。

  • 硬體實施

既然是用於支付服務的終端,那麼硬體上自然要增設有應的安全服務模塊,來保障PIN碼輸入,密鑰管理等。(這裡單指接受銀行卡受理的智能終端,由於成本原因,市面所有無銀行卡受理的智能終端均不存在此模塊)

  • 應用市場

應用市場是防範外部風險的一個點,所以大部分智能POS終端,只接受自己認可的程序進行安裝,並不接納用戶自行選擇程序並安裝。

  • 銀行卡業務受理的安全

銀行卡的受理服務有詳細的規範及要求的:

《銀聯卡受理終端PIN輸入設備安全規範》(QCUP 007.6-2010)

《銀聯卡受理終端安全規範-第8部分-雲支付終端安全規範》20130408

文中對操作系統、讀卡器管理、加密方式、保存方式、密碼輸入、內存管理、密鑰管理、防攻擊、反攻擊等信息有詳細的規範和說明。

達到上述標準的智能終端才可以印刷銀聯標識,可以受理銀行卡交易。

終端是否通過銀聯標準可以在銀行卡檢測中心網站上進行查詢:銀行卡檢測中心

  • 移動支付業務受理的安全

這裡所說的移動支付指支付寶、微信等掃碼支付方式,該支付很好的結合了互聯網的特性,在傳輸信息保密、防重放、防交易篡改等方面更優於傳統的銀行卡模式,很多需要保密的隱私信息並不需要在交易過程中進行傳輸,再加上業務本身的加密和簽名服務,能夠較好地保障移動支付服務的安全。

  • 其他互聯網服務

基本和在您的手機上使用相同,不會有太多安全上的問題。

5、關於終端安全使用上的一些建議

  • 請採購知名品牌公司的產品,智能POS產品品質參差不齊,品牌普遍代表了公司的研發能力和產品水平。
  • 如果可以受理銀行卡的智能POS,最好選擇國內頂級POS終端廠商通過銀聯認證的產品,如新大陸、聯迪、百富等公司的POS終端產品。同時為確保資金安全,請選擇品牌第三方機構或銀行的收單服務。
  • 作為生意上的生產工具,與您的業務資金直接關聯的設備,請務必不要進行ROOT,只安裝授權的服務程序,保障終端安全。
  • 相比擔心外部的風險,良好的內部人員終端管理流程,會更有保障。

6、個人比較喜歡的一款國內終端

個人推薦拉卡拉12月8日新上市的終端:POS+,999元/台。

可以看看視頻來了解一下:

視頻封面拉卡拉互聯網POS 宣傳片—在線播放—優酷網,視頻高清在線觀看視頻

[1]pos機_百度百科

題主提到的安全,主要還是指資金安全。選擇市面上好的平台受理商(微信、支付寶等支付平台),基本不會出現資金安全的問題。

由於商戶的財務每天都會扎帳,每天都會對賬,所以,一旦有問題,也可以很快發現,及時找微信申訴,讓微信懲罰不好的受理商。

通常來說,並且受理商的代理體系作案風險太高,而且時間也最多只有1天,並且其賬戶是T+1結算,基本不太能作案一天,提現跑路。

就我目前工作的情況看,安全風險並不高。

相對於傳統POS機,智能POS機的安全性能更高。正如題主所說,智能POS機是基於移動支付技術的發展而出現的新一代支付終端,按照支付技術形態的不同, 通常把移動支付分為三類:遠程支付、掃碼支付和NFC支付。這三種技術形態掌握在兩大企業群體當中。分別是主推遠程支付和掃碼支付的互聯網企業群,以及主推NFC支付的銀聯、銀行和運營商等相關企業群。

移動互聯網遠程支付:互聯網企業利用其在電子商務領域的網上支付經驗、藉助移動互聯網和移動智能終端的飛速發展,將桌面互聯網的模式照搬過來,實現手機端轉賬、消費等。掃碼支付:一種基於賬戶體系搭起來的新一代無線支付方案,通過掃描二維碼、讀取條碼中的支付數據,然後藉助網路實現遠程支付,掃碼支付是互聯網企業主導並推廣的支付手段,目前在日常生活中最為常見。NFC支付:又稱近場支付,這一類支付方式的主導方是具有國家背景的銀聯、銀行和移動運營商。NFC支付是通過電子設備間進行非接觸式點對點數據傳輸,實現脫離互聯網的線下支付。

所以可以看出智能POS機和傳統POS機的技術基礎是不同的,就安全性而言掃碼支付成本較低,技術成熟,而NFC產業鏈非常長且構成複雜,包括移動運營商、銀行、終端設備製造商、應用開發商、系統集成商、商戶以及移動終端用戶等等,產業鏈過長導致合作與利益分成的協調成本極高,技術標準也難以統一。

作為業內人士來答一記吧,判斷智能 POS 是否安全,外行人就不要分析那麼多什麼安卓啊虛擬鍵盤啊是否 ROOT 啊一類的問題了。記住只認準兩點:

1. 如果是在國內銷售的智能 POS 機,可以查一下是否有通過 UPTS2.0 安全認證;

2. 如果是在國外銷售的智能 POS 機,可以查一下是否有通過 PCI4.0 的安全認證。

這兩項認證屬於當前主流的安全認證標準,通過認證的產品基本可以滿足所有的安全要求。不管是安卓,虛擬鍵盤還是 ROOT 諸如此類的安全隱患,已經有專家幫你們做過全面評估了。

通過國外的 PCI4.0 認證機器的型號列表可以在這個網站查詢:

Official PCI Security Standards Council Site

國內的 UPTS2.0 認證機器列表……很遺憾目前官網上的過檢產品型號列表並不全,大家可以直接用想要了解的產品型號名稱+UPTS2.0為關鍵詞進行搜索。沒有廠家會明明過了這個認證而不作為賣點宣傳的。而沒有通過以上兩個認證的機器,謹慎一點就不要糾結對方什麼「我們能過,只是沒做」的借口,直接拒收吧。

統POS機也存在一個很大的安全隱患,就是盜刷,但是這個是針對消費者的。而智能POS機一般都是通過掃碼支付,例如掌貝智能POS機、支付寶POS機等,直接掃描手機二維碼支付,對消費者而言是非常方便和安全的。所以在消費者來看,更傾向於選擇智能POS機付款,商戶也不用擔心支付過程或者用戶信息出現問題,像支付寶POS機和掌貝POS機都是行業領先的產品,在安全方面也不可能砸自己的招牌吧。

個人覺得pos機還是應該做自己最擅長的領域,不要去想著去做移動支付方面的事情。因為你競爭不過別人的專業的做移動支付的公司類似於支付寶和微信。很多POS機資訊可以到這個網站去看看,還是挺多的。成都易科士POS機

智能pos機一般是很正規的pos機,不會出問題。智能pos機是支付行業的一種創新產品,能夠利用網路做各種事情,其實就是類似於一個智能手機,不過專門用來做支付用的,有各種解決方案,提升商戶產業鏈的效率,這個東西的缺點就是,很多功能似乎還沒那麼實用,而且價錢較高,不過用是沒問題的,樓主想要了解多一點可以去公眾號pos圈(posquan)裡面搜一下智能pos機的文章,那裡有市面上所有正規pos機的介紹。

選擇大品牌,有支付牌照就相對安全,正規渠道購買。

世界上沒有絕對安全的設備,只有相對安全的體系。安全與否並非完全由pos終端決定。

單說終端,銀聯是有相關認證標準的,達標的是安全的終端,但還是那句話,沒有絕對安全的設備。但概率一定是很低犯罪成本一定是很大的。

對商戶來說,基本都是可以免責的,除非收銀員真有問題,完全沒必要擔心。

那麼如果有一種智能pos能幫你提高效率,減少運營成本,幫你引流。(這才是智能pos會逐漸發展的方向)缺點是被不法分子利用的概率高了很小的一點點,而且你基本不用承擔責任,只是幫忙調查。那麼你用還是不用?

拉卡拉的售後,無敵了,

安全性是指哪方面,對於商戶來講丟失pos丟失的是前台的結算賬號密碼,用的是安卓系統,後台管理用的是雲平台,在pos機上的第三方軟體,包括支付寶、微信類,都是要經過審核才能上線的,存在漏洞不存在不合規,並且在後台有監控,移機會警報,侵入後台不僅僅是智能pos的問題吧,能被侵入後台用什麼pos都會有損失。所以對於通過銀行正規審核的商戶,並不存在比傳統pos更大的風險。

對於客戶來說,丟了手機問題很大。

我認為智能POS機相對傳統的POS機存在一定的安全隱患,傳統POS機所採用的是銀聯的支付體系,操作系統和界面雖然較為單調,但是對於支付功能來說是較為安全的,而且發展了這麼久,技術成熟穩定。智能POS基於移動支付的新一代POS機,操作系統和界面相對人性化,而且可以兼容很多其他軟體,功能也較為豐富,但是安全性存在一定問題。對客戶的信息保管不利,就可能造成大量用戶消費信息的泄露。不過我覺得這種東西是一個趨勢,而泄密這種事情雖說不無可能但是也是需要建立在互信的基礎上,無可否認無現金化的市場智能POS是一個必然的導向。

智能POS機對商家最重要的吸引點是其能夠帶來大量的消費者的消費行為數據,在安全性方面,智能POS機和傳統POS機都存在有一定的安全隱患,畢竟沒有絕對的安全。但是不論是傳統POS機還是智能POS機,吸引消費者的,最主要的並不是安全性的問題,而是那種POS機可以帶來更好的附加服務,在這點上,智能POS機要更勝一籌。所有消費者的消費行為,因為智能POS機的移動支付功能而被完整地記錄了消費軌跡。在「移動支付即大數據」的理念核心下,以移動支付為基礎,在C端消費者授權的前提下,平台把部分大數據將向商家進行開放。商家可以根據消費者的行為軌跡,進行更加精準的營銷,大幅降低營銷成本,極大地提升營銷精準率與客戶滿意度,創造企業在「互聯網+」時代的新價值。

對於安全性的問題,智能POS確實會有一些隱患,但是跟傳統的POS機相比,智能POS機目前沒有任何安全問題被報道,但是這也可能與它在市場上出現的時間較短有關。從技術層面來講,屬於不同的技術體系,智能POS是基於安卓操縱程序,跟智能手機的操作界面非常類似,支付過程中出現風險的可能性非常小,但是對於商家更重要的用戶消費信息可能要加強保護。

智能POS畢竟是基於互聯網技術所誕生的硬體設備,所以一旦遭到病毒程序的侵入,其所儲存的數據會受到影響,而且智能POS一般基於安卓系統來開發,相對比較開放,這是它兼容性強的一個優點,但是也為其安全帶來隱患。

今天累了,關於這個問題我先說一下梗概

第一,國家不允許銀行做這個東西,要支付只能支付,POS機不能幹太多其他的事情。

第二,所有這類支付公司都是第三方支付公司,但有牌照的第三方支付機構全國可以數的過來的就那麼幾家,因此這些公司都是掛靠在這些公司下地小公司甚至是多層掛靠。不排除未做大的企業攜款跑路的現象

第三,設備直接就是Android的設備,運行各類安卓應用,極其容易被入侵,造成極大的安全隱患。

第四,現在大多數都是賣設備的,或者租設備的,一個月要交一定的費用的

推薦閱讀:

銀聯商務安裝的pos機和銀行上門安裝的pos機有什麼區別?
使用 POS 機刷卡,銀行對商家收取的手續費率受匯率影響每日浮動?

TAG:支付寶 | 移動支付 | 支付 | POS機 | 商家 |