[生活]拉卡拉手机刷卡器安全设计说明(1)

[生活]拉卡拉手机刷卡器安全设计说明(1) 拉卡拉手机刷卡器安全设计说明 拉卡拉手机刷卡器是基于音频加密传输技术开发的全新的个人支付终端产品，其安全主要涉及硬件及手机客户端、交易平台、安全管理等四大部分。 1. 硬件及手机客户端 拉卡拉手机刷卡器的安全设计包括: , 安全芯片，一机一密、一次一密。每次交易时对银行卡磁条信 息进行加密。每一个终端在出厂时预录了安全密钥，确保一机 一密。在用户登录时，客户端会动态下载工作密钥，从而满足 银行卡磁条信息和密码的加密要求。 , 通过HTTPS实现手机客户端与服务器间的数据安全传输。 , 客户端与服务器端的交互采用安全证书的方式相互认证及对 工作密钥的加密下载。 , 通过自定义密码键盘输入密码，使用工作密钥进行加密。 , 客户端与手机刷卡器之间采用双向认证的方式实现相互信任 关系。 目前，拉卡拉手机刷卡器已经通过了银行卡检测中心的自助终端检测。银联公布了最新个人支付终端安全，现在拉卡拉正按银联 最新认证进行手机刷卡器的安全认证工作，预计9月底可以完成产品安全认证。 2. 交易平台 拉卡拉的核心交易平台符合中国银联银行卡联网通用安全规范，并通过银行卡检测中心检测评估和中国人民银行的验收，于2011年获得中国人民银行颁发的“支付业务许可证”。 3. 运管管理 拉卡拉公司通过系统运行部、作业中心、风控部、研发部和客服中心等多部门的联动管理，后台设置安全的业务规则，并通过一套有效的风险控制体系确保手机刷卡器在使用过程中的安全性，保障持卡人合法权益，拉卡拉业务管理、风险管理和运行管理通过了中国人民银行和中国银联的验收。 (1)拉卡拉业务规则 , 终端设备必须开通后才可以使用。开通过程需要用户的详细身 份资料，拉卡拉同时对用户进行实名认证。 , 管理及限制终端各业务每日、每周、每月或特定周期内的交易 次数及金额。 , 每个终端绑定转出卡数。 , 根据业务限制终端用户可使用的银行卡类型。 , 可以管理终端用户可使用的业务种类。 (2)拉卡拉风险控制体系 , 交易前对终端设备进行开通，并进行实名认证。 , 交易过程中对交易、交易笔数、交易金额以及卡数进行限制。 , 发生交易后对交易数据进行处理，对可疑交易与中国银 联、银行联动调查，同时规律，及时调整业务规则降低风 险。 4. 总结 北京拉卡拉网络技术有限公司是首批获得央行颁发《支付业务许可证》的第三方支付公司，是中国便民金融服务的开创者和领导者，是中国最大的线下支付公司，是联想控股旗下金融服务板块的旗舰企业。 拉卡拉6年多的运营经验，十几亿笔的交易和和良好口碑证明了拉卡拉终端产品及后台交易系统的安全、稳定、可靠。在手机刷卡器产品上的设计上，我们始终坚持“安全第一”，从硬件及客户端、交易平台及运管管理等角度进行了全面的安全研究和设计，确保手机拉卡拉的安全可靠，为用户提供安全易用的创新产品。 2012年8月10日 北京拉卡拉网络技术有限公司