印度电子信息部质询NPCI,牵扯WhatsApp支付数据安全
近期,MeitY(印度电子信息部)再次上呈一纸文书,矛头直指 WhatsApp 的数据存储政策。印度电子信息部对此事相当重视,并写信给印度国家支付公司 NPCI 询问此事。WhatsApp 是 Facebook 旗下的全球通讯应用程序,该应用计划于本月在印度正式上线,不过有关该 App 电子支付服务的更多详细信息还在测试当中。
早前,MeitY 就曾因 WhatsApp 的支付服务问题向 NPCI 寻求解释。两位了解细节的官员透露,MeitY 本次写信的目的是为了询问美国服务的数据存储政策以及用户数据与母公司共享方式的细节。这封信件的副本已经被送至印度储备银行。
除了表达对用户数据管理方面的担忧,MeitY 还指出 WhatsApp 没有遵从印度中央银行的要求,缺少规范的双重认证程序。
尽管 NPCI 已经就 MeitY 四月的第一封信件做出回应,前文涉及的官员认为,“NPCI 的表态并不十分使人信服,此次新信就是对前次的补充,指出的问题也更加直接。”
他还补充到,在第一封信被送出后,RBI 就宣布了数据本地化政策,该政策要求所有支付服务供应商在印度境内的服务器上存储数据。“关键点在于印度储备银行打算如何确保印度存储数据的过程安全无误,我们要求他们对此事尽可能清晰、明确的进行回答,不要混淆视听。”
由于监管机构不允许支付公司与第三方共享用户数据,与 Facebook 共享的数据种类也成了外界关注的问题。“虽然 NPCI 已明确表态数据不应与第三方共享,但还有一些不重要的数据可以共享,我们正在咨询这些数据的分界标准。”
NPCI 属于印度统一支付界面 UPI 的管理机构,目前政府已经向该支付公司寻求解释,不过他们并没有直接给 WhatsApp 或 Facebook 发书面文件。
WhatsApp 的发言人也对ET的问题做出回应,“我们当前还处于测试阶段,不对支付问题进行表态。”不仅如此,用户不需要密码就可以打开付款申请,只有转账时才会再次用到密码,这也导致当局对 WhatsApp 的支付服务缺乏双重认证一事忧心忡忡。与之相反的是,像 Google Tez 这样的 UPI 应用,用户还得在登录应用和做最终交易时输入密码。
一位不愿意公布姓名的官员透露,“WhatsApp 将手机上的应用程序安装看作是身份验证的第一道端口,也就是所谓的装备绑定。”
他还表示,“政府已经就各家UPI支付应用安全协议要求等级不一致的情况向 NPCI 咨询。”
显而易见,当用户在 WhatsApp 上付款时,这些指令将在 Facebook 安全支付基础结构的支持下,被发送给它的支付服务提供商。一位了解 WhatsApp 政策的官员宣称,WhatsApp 上的支付信息将不会被 Facebook 用作商业用途。
为了提高安全性,WhatsApp 还提供了两步验证功能,对于用户而言这个功能是可选的。NPCI 的发言人也对 ET 的咨询邮件做出回应,“按照 2018 年 3 月 16 日发布的第 15 号通知,WhatsApp 从提及的合规日期开始就符合 NPCI 的互操作性需求。”
发言人还表示,“目前,已经有三家银行通过 WhatsApp 连接了支付应用 BHIM 的 UPI 支付,第四家银行将在未来几周上新。”
在提到双重认证的问题时,他解释到,“BHIM 的 UPI 服务的每笔交易都会涉及到双重认证,包括用户所有的(设备绑定)和用户认知的(UPI 密码)。”不过,NPCI 方面并没有对 WhatsApp 数据存储和数据共享计划的有关事宜做出回应。
然而,2017 年 9 月的一份通知或许给出了答案,该通知允许应用程序在其系统上存储客户数据,同时加密 UPI 交易数据。通知还显示,公司应该将账户记录和客户支付身份验证数据存储在有支付服务供应资格的银行中。直到文章发表,印度储备银行 RBI 一直没对此事进行表态。
作者:Kyon
【本篇文章属于白鲸出海原创,如需转载:需联系授权方可,未经授权严转载!】
友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!