某公司网络支付业务项目可行性研究报告 42页

'某公司网络支付业务项目p（一）网络支付产业相关概述1.网络支付相关概念1.1.网络支付的定义网络支付是指电子交易的当事人，包括消费者、厂商、和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。主要包括有电子货币类，电子信用卡类，电子支票类。1.2.网络支付的特征1.2.1.数字化网络支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体是流转来完成款项支付的。1.2.2.因特网平台网络支付的工作环境是基于一个开放的系统平台（即因特网）之中；而传统支付则是在较为封闭的系统中运作。1.2.3.通信手段网络支付使用的是最先进的通信手段，如因特网、Extranet，而传统支付使用的则是传统的通信媒介。网络支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其它一些配套设施，而传统支付则没有这么高的要求。1.2.4.经济优势网络支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机，42 便可足不出户，在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。网络支付可以完全突破时间和空间的限制，可以满足24／7（每周7天，每天24小时）的工作模式，其效率之高是传统支付望尘莫及的。1.3.电子支付的分类1.3.1.我国法规定义根据中国人民银行2010-06-14发布的《非金融机构支付服务管理办法》规定：非金融机构支付服务，是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：（一）网络支付；（二）预付卡的发行与受理；（三）银行卡收单；（四）中国人民银行确定的其他支付服务。所称的网络支付，是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。所称的预付卡，是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。本办法所称的银行卡收单，是指通过销售点（POS）终端等为银行卡特约商户代收货币资金的行为。1.3.2.电子支付产品分类按照支付方式的不同，网络支付分为以下几种：网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他网络支付。网上支付：网上支付是网络支付的一种形式。广义地讲，网上支付是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其它服务提供金融支持。42 电话支付：电话支付是网络支付的一种线下实现形式，是指消费者使用电话（固定电话、手机、小灵通）或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。移动支付：移动支付（MobilePayment，简称MPayment）是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。2.我司拟从事支付行业范围2.1.拟从事业务类型根据中国人民银行2010-06-14发布的《非金融机构支付服务管理办法》规定，我司拟从事的业务为“网络支付”，是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。2.2.业务范围我司拟开展的网络支付业务计划在全国开展。（二）中国网络支付产业环境分析1.网络支付行业发展环境逐步完善艾瑞咨询研究认为，从支付的各个环节，包括支付主体、支付工具、渠道等各个方面来看，中国的网络支付行业都处于一个良好的发展环境中，尽管仍存在安全、信用、习惯等不利因素，但相信随着政策、技术等的完善，网络支付行业整体环境将逐步改善。2.价值链角色分配有待合理合法化国内网络支付行业的价值链初步形成，主要由用户、商户、银行、第三方支付服务提供42 商、政府组成。艾瑞咨询研究发现，目前来说，中国的网络支付产业链仅是基本形成，还存在很多需要解决和完善的地方，诸如银行和第三方支付平台在支付结算体系中既存在某些分工合作，也存在角色重合和竞争，专业分工还没有完全明确，双方之间的利益分配也视合作程度和具体合作情况而定。国内网络支付产业链存在的问题与当前网络支付的政策环境不完善紧密相关。《支付清算组织管理办法》作为规范网络支付市场的重要法律法规，因种种原因而迟迟未出台，这使得第三方支付企业的法律地位、角色定位、权利义务、资格认证等各方面均得不到法定的政策指导，在限制第三方支付企业发展的同时，对整个网络支付行业乃至金融行业都是一个阻碍。中国网络支付产业价值链的角色和利益分配还有待在政府法规的指引下，不断走向合理合法化。3.中国网络支付行业市场规模发展状况截止2009年Q3，第三方支付企业多达300余家，涵盖互联网在线支付、电话支付和手机支付等，在央行报备的企业有130多家，12月首批进入央行公示程序的申报名单只有1742 家。越来越多的企业进入网络支付行业，同时我国网络支付行业的规模总量呈现爆发式增长，进一步促进行业完善与竞争差异化。3.1.中国网络支付处于快速成长阶段2005年是中国网络支付元年，政府部门加快了支付相关法律法规的建立健全，《电子签名法》、《电子认证服务管理办法》、《网络支付指引(征求意见稿)》等相关法律文件相继产生为国内网络支付的发展提供了政策和法律方面的保障，促使中国网络支付步入快速成长阶段，2006、2007年是网络支付行业突破和创新的时期，市场处于快速增长和调整洗牌之中。预计，2010年左右，随着网络支付行业法律法规的健全，中国网络支付行业将步入稳定的成熟阶段，市场格局基本形成。3.2.2007年交易额规模突破1千亿元实现翻倍增长在政策鼓励及第三方网络支付企业的努力和创新下，近年来网络支付市场发展十分迅速。艾瑞咨询研究显示，2006年中国第三方网络支付市场交易额规模为500亿元，2007年交易额规模迅速增长并突破1000亿元，增幅达100%。根据艾瑞对行业的研究及企业访42 谈数据显示，2008年国内网络支付市场预计仍将保持100%以上的增长，达到2100亿元。3.3.2010年交易额规模突破1万亿元交易额超过100%的高速增长，反映出国内网络支付市场广阔的发展空间。艾瑞认为，内部的支付需求、用户基础，外部电子商务的推动，共同促进了网络支付市场的快速发展。支付需求旺盛：一方面，中国经济的快速稳定发展创造了巨大的财富，这是支付需求产生的基础；另一方面，庞大的互联网用户、手机用户群保证了网络支付的巨大市场需求。电子商务推动：中国电子商务的快速发展是推动网络支付前进的巨大动力。目前中国网络购物和B2B电子商务市场都处于快速发展阶段，交易额规模增长很快。电子商务涉及到很多方面的问题，支付问题、诚信问题、物流问题等等，支付问题可谓是制约电子商务发展的关键因素之一。占电子商务交易额规模95%以上的B2B，目前仍以银行汇款为主，网络支付的应用远未发展和成熟。中国电子商务无疑具有广阔的发展前景，这也预示了作为关键环节的支付市场也必将迎来与之匹配的发展空间。根据易观智库的《2010年第3季度中国第三方支付市场季度监测》数据显示，2010年42 第3季度中国第三方支付市场整体交易规模达到3031亿元，环比增长23%，其中互联网在线支付业务达到2896亿，第三方市场交易主要为互联网在线支付。到2010年底，国内第三方支付市场规模将轻松突破1万亿元。另据易观智分析，2010年第三方支付中的互联网在线支付市场交易规模将达到10,710亿元，环比增长93%，注册账户数7。97亿；2013年在线支付规模将达到36,460亿，注册账户规模也将达到13。22亿。4.中国网络支付行业竞争情况分析4.1.市场竞争高度集中当前中国的第三方网络支付市场中，企业集中度非常高。非独立的第三方支付平台，如支付宝、财付通，依托自身C2C购物网站交易额的不断攀升以及背后集团公司的强大资源和实力支持，在商户和用户的开拓方面进展都很迅速，直接拉动其交易额规模的快速增长。艾瑞咨询研究数据显示，2007年支付宝的交易额规模高达476亿元，排名第一；占整个网络支付市场近50%的份额。相比较而言，独立的第三方支付平台交易额规模少，但数量众多，2007年就分散在1042 家左右的主要平台上，相互之间的竞争十分激烈，表现在商户及用户的争夺、以及产品服务的创新等方面。至2010年Q3为止，互联网支付仍然是第三方支付市场最主要的支付方式，支付宝、财付通、快钱、易宝支付等民营支付企业占据八成以上的市场份额。主要竞争对手市场占比数据在2007年至2010年变化不大，市场格局已经逐渐明晰，各支付产品所针对的用户群与产品特色已经形成并相互区分。4.2.网关支付仍为当前主流支付模式目前中国的第三方网络支付平台，特别是独立第三方平台中，网关支付仍占据主流位置。艾瑞咨询通过企业访谈了解到，主要的支付平台如上海环讯IPS、首信易支付等，网关支付基本会占到一半左右。如果以排名靠前的中国银联网络支付为例，网关支付占100%，是绝对的主流。艾瑞咨询研究认为，第三方支付平台产生之初即大多以网关支付为主，一直发展至今；而网关支付下支付企业的业务模式单一、产品和服务同质化严重，造成的价格战已经影响和制约了支付企业的长期发展，支付企业也逐步意识到这个问题，从网关支付向账户支付的转42 变趋势也逐步展开，主要方向。4.3.主流网络支付运营商分析4.3.1.各运营商产品创新性竞争2006-2007年，在产品同质化严重、价格战愈演愈烈的情况下，第三方支付企业逐步意识到产品差异化竞争的重要性，开始致力于创新支付模式和支付产品，打造多元化的支付平台。2006-2007年，各主要的第三方支付平台在多元化方面都做出了很多的尝试，无论在支付手段多元化还是支付服务创新方面都有很大进展。4.3.2.各运营商差异化运营竞争4.3.3.各运营商行业拓展战略差异网上支付行业是一个相对集中的行业，近十家运营商占据了整个市场就成以上的份额，并且呈现一家独大的现象。交易份额排名在十名以内的第三方支付公司无论在商户端和用户端都存在比较激烈的竞争，而一些更小的运营商则艰难地生存。为了避免由竞争引发的价格战，各运营商采取差异化的发展战略。2009年主要运营商出了涉足航空领域外，行业拓展也深入到了生活支付、信用卡还款等领域，而2010年主要运营商在行业拓展战略上也将各42 有侧重。但是部分细分行业内部的竞争还是存在的。比如以航空客票为重点发展行业的第三方支付公司就有五家以上，一旦行业需求饱和，第三方支付公司将在一次面临争夺商户的激烈竞争。因此，各运营商在深入发展既有行业的基础上，需积极拓展新兴支付领域，例如火车票支付、保险、基金等创新的支付领域。4.3.4.行业深挖，解决方案成为亮点正如以上提到的，细分行业内部也会存在激烈竞争。因此行业深挖是竞争中取得领先优势的根本策略，如部分第三方支付企业正通过ti9gong行业整体解决方案的方式，惊醒行业纵深挖掘，例如，支付宝与日本Tenso（物流）合作，为Tenso的国际物流业务提供结算支持；财付通推出企业大额支付系统，着手解决集团企业间的清结算问题；新进入者联支付联合工商银行、金蝶软件等十余家企业提供电子商务解决方案等。（三）中国网络支付发展趋势预测分析1.2008-2014年中国网络支付的发展前景分析据iResearch艾瑞咨询即将推出的《2010-2011年中国网上支付行业发展报告》的统计数42 据显示，2010年中国第三方网上支付交易规模达到10105亿元，同比2009年增长100。1%，实现全年翻番。在2008至2010年短短的三年间，第三方网上支付交易规模翻了近4翻，增速惊人。而电子商务、旅行预订等支付相关行业的繁荣发展，带动支付行业的快速成长。根据艾瑞咨询的研究数据，2010年中国网络购物市场交易规模达到4980亿元，同比增长89。4%，旅行预订行业2010年全年实现交易规模621。7亿元，较2009年增幅明显。网上支付相关行业的快速增长，推动了资金流转电子化的进程，在很大程度上带动了支付交易规模的增长。预计2014年，我国网上支付市场规模将达到4万亿的规模。2.网络支付终端业前景广阔2010年4月12日，支付宝宣布，阿里巴巴集团将在未来五年内，继续向支付宝投资50亿元人民币。阿里集团方面表示，50亿投资是基于对中国电子商务、互联网发展以及线上消费市场潜力的充分信心和积极期望。阿里巴巴对支付宝的战略性投资，旨在打造一个全球化、高标准的支付体系。42 2010年10月22日，支付宝CTO李静明在北大进行校园招聘宣讲时透露，支付宝用户已经超过4。7亿，日交易笔数已经达700万笔。他还表示，支付宝系统后台实际上已经支撑了全球最大的第三方支付交易。据了解，2010年3月份支付宝注册用户刚刚突破3亿，从3亿到4。7亿，支付宝仅用了半年左右的时间。2010年以来，中国网上支付行业步入快速发展的轨道，这体现在：一方面，国家政策对行业监管逐步明朗、细化，支付行业在监管层面已经获得相关部门的认可，行业已经获取了一个健康的外围发展环境；另一方面，第三方支付应用领域不断向外延展，交易规模也呈现持续放大的稳健发展态势。艾瑞咨询综合网上支付行业在2010年发生的热点事件，总结了六大热点，通过对六个方面事件的点评，将能够帮助大家更好地理清行业的发展脉络，更好地把握行业发展趋势。展望2011年，互联网和金融服务行业都将发生深刻变化，同时也会有更多的用户体验到更加便捷、完善的支付服务，网上支付服务也将渗透到更多的应用服务领域中，相信在未来，网上支付行业的发展将更加精彩，让我们拭目以待，共同见证行业42 的蓬勃发展。3.网络支付呈现多元化趋势2010年5月24日，支付宝今日宣布，已在上海、杭州、重庆、成都、南京等城市开通手机客户端缴费服务。据了解，目前可以选择缴费的类型主要有水、电、煤、固定电话及宽带、手机话费缴费，诺基亚、多普达、苹果iPhone等品牌智能手机都已支持该项服务。2010年10月份，中国人民银行与三家电信运营商已就“手机支付的标准问题”进行商讨，并最终达成共识——由中国移动牵头，将手机支付标准统一调整为“基于13。56MHz的、符合金融行业标准的技术标准”。一直以来，国内手机支付标准面临着互不兼容的13。56MHz和2。4GHz两大频率的选择问题，这意味着题突然“柳暗花明”，整个手机支付行业亦有望就此进入快速发展的通道。2010年11月23日，国内领先的第三方支付公司支付宝正式宣布启动针对用户的“聚生活”战略，即建设无形的开放平台，让随处可见的支付承载生活服务和应用，即实现从“缴费服务”向“整合生活资源”进行战略转型。支付宝还开通了公共事业缴费平台，可以实现市县级的水电煤缴费、信用卡还款、缴纳罚款、学费、行政类缴费以及网络捐赠等多项服务。42 这些功能的延伸，使支付宝由网购支付载体蜕变成为一项基础社会服务和人们的“生活助手”。2010年11月30日，汇付天下在“支付产业发展与金融渠道创新高峰论坛”上正式发布了为基金网上销售提供支付服务的“天天盈”产品。同时，汇付天下宣布，与博时、易方达、南方、华安、华宝兴业、国泰、银华、鹏华、银河、海富通等10家基金管理公司合作。加上今年5月已上线的华夏基金，汇付天下“天天盈”已接入国内11家基金公司，支持上百只基金产品的申购。汇付天下的第三方支付模式，成为基金网上销售支付结算领域的新生力量。2010年12月，中国银联与TCL通讯在深圳全面开展市民用TCL手机可实现话费充值、转账、信用卡还款、10元购电影票等日常便利支付。“银联在线”手机版是由中国银联整合各方资源统一品牌、统一展示界面、高通用性、高适配性的国内最大的手机支付电子商务门户。4.未来第三方网络支付企业将面临洗牌第三方支付正面临一场前景不明的洗牌。42 风暴起自中国人民银行6月21日发布的《非金融机构支付服务管理办法》。该办法对非金融企业的支付业务实行《支付业务许可证》。未经央行批准，任何非金融机构和个人不得从事或变相从事支付业务。这意味着，支付宝、财付通、快钱等过央行审批、取得相关牌照后，方可继续业务。在此前的多年里，目前年度交易规模已经达到6000亿元的第三方支付行业，一直在灰色地带中前行。石落浪起，在支付宝相关负责人于22日回应本报称，将对整个行业的长期健康发展起到积极的引导和规范的作用。于支付宝是好消息。支付宝将积极申请，并有信心在规定日期内取得许可证。财付通也表示，管理办法有助于第三方支付企业提供更可靠和专业的服务。但在家普遍担心，在管理办法对行业进行洗牌之后，超级网银会不会形成第三方支付领域的垄断地位。此前，央行支付结算司司长欧阳卫民在5月10日曾表示：做第三方支付业务42 但这一表态显然没有让所有业内人士放下心来。牌照的数量、批次，以及其业务范围，被认为是接下来第三方支付行业博弈的关键。（四）我司网络支付业务运营与回报1.我司进入网络支付业务的优势我司自1997年创立以来，先后成立多家企业，业务涉及IT领域的多个方面，涵盖了：IT硬件制造、互联网的开发和应用、软件研发、网络游戏等领域。对IT业有着丰富的经验和人才储备。我司在深入发展IT业务的同时，还在投资、资产管理、资本运作等领域有着丰富的经验，对金融与资本有着独到的理解。此外，我司业务中较多部分已经涉及到网络支付的应用，对网络支付有较大需求。因此开展网络支付业务具备良好的业务基础。同时网络支付业务不光是我司对现有战略布局的补充，也是强化自身竞争力的有效方法。2.业务构成与组织架构2.1.主营业务切入点以第三方电子支付业务中的“网络支付”业务为初期主营业务。业务建立以网关支付为42 主，搭建技术平台实现业务基础流程。其后以支付业务接入为业务发展重点，主要针对大中型电子商务类企业，以大客户服务的模式开展业务。2.2.业务主体2.2.1.公司建立由宝德集团成立全资子公司“中付通”的形式开展网络支付业务，网络支付业务为公司主营业务。公司总部设于深圳，并在全国范围内设立办事处与销售中心。2.2.2.业务资格获取按照我国近期出台的《非金融机构支付服务管理办法》与《非金融机构支付服务管理办法实施细则》，我司将以全资子公司依法提交申请，审核取得《支付业务许可证》，成为持牌的第三方支付机构。同时依法接受中国人民银行的监督管理。2.3.公司组织架构中付通公司总体人员为100~200人，下设深圳总部与北京、上海、成都，三个办事处。办事处主要负担该地区的销售与客户维护工作。公司总部设于深圳，下设客服中心、财务中心、法务中心、运营中心、销售中心、技术中心。公司组织架构图中付通办事处公司总部客服中心北京办事处销售中心财务中心42 法务中心上海办事处销售中心运营中心成都办事处销售中心销售中心技术中心3.业务营收3.1.业务主要营收来源中付通网络支付业务主要营收来自：1、大中型电子商务客户第三方网络支付手续费；2、小型电子商务客户支付接入年费；3、行业电子商务整体解决方案销售；4、行业电子商务付费产品销售；5、网上金融业务手续费（佣金）；6、其他支付项目及合作项目收入。4.投资计划和资金使用规划4.1.资金投入计划根据中国人民银行2010年12月1日颁布的〔2010〕第17号公告，关于《非金融机构42 支付服务管理办法实施细则》规定，有权开展第三方支付业务的公司的注册资本不低于1亿元人民币。为此，公司计划将专门组建新公司开展此项目，注册资本1亿元人民币，将全部使用募集资金投入。4.2.项目投入预算本项目运营主体为新设立的全资子公司（暂简称中付通公司），XXX公司计划使用超募资金10000万元用于注册中付通公司，其中4000万元作为中付通公司的日常运营投入，6000万元将作为中付通公司作为第三方支付业务平台所需的银行存款保证金。预计中付通公司日常运营投入主要用于第三方支付系统建设软硬件设备购置、维护、日常运营人员费用、运营投入及运营流动资金。4.2.1.公司注册与牌照申请保证金一亿元为取得《支付业务许可证》，公司注册资金为一亿元，并将按相关规定接受中国人民银行监管。4.2.2.系统建设维护和硬件投入总预算1700万元预计建立安全有效的第三方支付系统，构建安全运维环境，以及购置软硬件存储设备及机房带宽租赁等投入需要投入系统开发建设资金投入1700万元。4.2.3.运营推广及流动资金投入总预算2300万元42 预计项目启动初期，将组建近百人的专业运营管理队伍，预计日常人员投入、运营推广及流动资金等相关投入2300万元。4.3.项目实施的投入计划2011年投资总预算1900万元，其中第三方支付系统建设、以及相关存储设备购置和机房租赁等投入1000万元，预计第一年运营管理人员70人，预计人员费用投入400万元，预计初期运营推广及运营流动资金投入500万元。2012年投资总预算2100万元，预计第二年随着业务的发展，新增软硬件存储设备购置和机房租赁、以及系统维护等需投入700万元，以及预计运营管理人员规模将达到120人，预计人员费用投入900万元，预计运营推广和运营流动资金投入500万元。项目开展第三年后，预计中付通公司将可通过自身盈利自有资金，满足不断扩大的经营所需的经营资金和流动资金。4.4.经济效益分析单位：万元人民币项目预计经预计预计预计推预计预计营预计利预计净预计税营流水利息人员广及其资产业收入润总额利润收42 年份额收入费用他费用摊销2011年5000010002254003001952752061242012年150000300025590050039013009754902013年30000060003001296500420375428161269合计50000010000780259613001005532939971882附注：1、预计营业收入主要为经营手续费收入，暂按经营流水额的2%计算。2、预计利息收入为收付款项时间差和存款保证金存款利息收入。3、预计税收主要包括营业税和企业所得税（暂按25%计算）。本项目是为适应互联网和网络游戏的快速发展，是XXX公司网游业务的必要延伸，中国网上支付仅占3%，而与发达国家的网上支付占比30%比较，有着非常大的发展空间，公司可以分享到国内不断扩大的网民消费习惯改变所带来的直接经济效益，随着公司品牌建设，将不断扩大公司第三方支付业务的市场占用率，为公司带来可观的经济效益；另一方面，此项目还可为XXX游戏点卡推广起到积极的作用，为XXX公司提高直充比例，从而提高公司营业收入，为公司增创效益起到重要作用；因此，中付通公司设立和业务开展，将为公司平稳快速发展、拓展网游相关产业链投资将起到重要作用，是一项非常必要和可行的投资项目。42 5.业务处理流程5.1.总体结构在基于Internet的电子支付过程中，主要涉及如下角色：客户、商户、支付服务方（银行、第三方支付公司），总体结构示意如下：客户是支付过程中，购买商品或服务的个人或企业；商户是支付过程中，提供商品或服务的个人或企业，或者给买卖双方提供撮合的交易平台；支付服务方是支付过程中，给客户及商户提供支付结算服务的机构，视不同情况，可为银行或第三方支付公司。具体而言，如果客户通过银行直接完成支付，则支付服务方为银行；如果客户通过第三方支付公司转结银行完成支付，对商户而言第三方支付公司为支付服务方，对银行而言第三方支付公司为商户，银行为支付服务方。例如：客户通过游览器访问商户的网站，选择商品并结账；商户记录客户的订单，按照支付服务方的格式组织报文并提交；客户在支付服务方完成付款过程；支付服务方把支付结果通知商户的网站；商户为客户提供商品/服务。5.2.交易分类说明电子支付交易类型按照交易对象划分，可分为B2B、B2C和C2C类；按照交易功能划42 分，可分为支付处理类、异常差错类、管理类；按照支持的支付工具划分，可分为银行卡、非银行卡、其它票证；按照支付渠道划分，可分为互连网、WAP支付、电话支付、短信支付等。下列表格为常见的电子支付交类型：本标准仅对第三方支付公司常用并且比较成熟的交易类型进行了抽象和定义，主要包括：一般支付、担保支付、预授权支付、委托结算、退款、查询等。由于B2B、B2C、C2C在业务实现时，仅在客户身份鉴别与授权方面存在不同，在交易模型及报文交互流程中无本质区别，本标准不做分开描述。鉴于本标准定位于基于INTERNET支付，对互联网、WAP、电话、短信等渠道的支付不再加以描述，电子支付工具与具体的交易实现关系不大，本标准也不再加以特别说明。（五）网络支付业务技术与实现手段1.网络支付安全方案设计1.1.电子支付采用的安全技术国际上，为了适应电子商务的发展已经出现了多种技术协议，比较流行和成熟的有SET和SSL。42 1.2.安全电子交易规范SETSET是在开放网络环境中的卡支付安全协议，它采用公钥密码体制(PKI)和X。509电子证书标准，通过相应的软件，电子证书，数字签名和加密技术能在电子交易环节上提供更大的信任度，更完整的交易信息，更高的安全性和更少受欺诈的可能性，SET协议主要用以支持BtoC(BusinesstoConsumer)类型的电子商务模式。1.3.安全套接字层协议SSLSSL是界于传输层协议TCP和应用层协议HTTP之间的协议，在Internet上服务器与客户间架设安全通道，用以提供以下三种服务：（1）利用电子证书进行身份认证实现客户与服务器之间互相确认。（2）通过对消息加密确保消息传送的可靠性。（3）消息的完整性。由于现在的主流的Web服务器与浏览器都支持SSL，用户操作非常容易，只需要在浏览器的URL栏中输入https：//代替http：//就发起SSL连接请求，通过握手序列(HandshareSequence)以建立SSL会话，握手过程中验证机器的身份，确定加密方法和建立和共享会话密钥。“SSL握手协议”用以建立Client和Server间的“SSL会话”，SSL加密算法规则协议”，以选定SSL会话的加密算法组合，“SSL警告协议”以传输Client和Server间的报错信息，42 这些协议和HTTP所传送的数据都被”SSL记录协议”像数据一样看待，“SSL记录协议”用来在Client和Server间传输应用信息和SSL控制信息，执行对数据的分段/组合，压缩，附加文摘签名，加密等处理，然后再被低层的TCP层发送。1.4.平台与工具整个电子支付过程的安全保障中，身份认证是最核心的环节，而身份认证的基础就是证书的发放和管理问题。所以身份认证既是一个技术问题，更是一个责任问题，SET虽然提出一套很严密的认证体系，但实施起来太复杂，成本很大，因此考察现在我国的网上银行现状，基本都是采用独立认证的形式。虽然独立认证的形式限制了统一标准的确立，但就目前而言，不能说不是一个比较现实的解决方案。根据以上分析，以银行为身份认证核心的电子支付模型比较符合我国国情，在目前我国缺乏得到广泛认可的权威的商务认证中心的前提下，银行在交易过程的安全保障应该扮演更积极的角色，银行同时充当认证角色能比较符合各方利益。应该比SET更能满足我国电子商务发展的要求，而为了保证与SET的兼容只要通过银行间实现交叉认证或银行作为认证42 代理就可以实现了。开发一个满足安全业务需要的支付系统是一个艰巨的过程，,而时间的要求也决定了系统的开发不能从最底层的代码开始，选用一个合适的开发平台非常关键，Java不但可以保证技术的开放性和标准性，且提供了一个完整的安全体系结构，非常满足开发安全支付工具的要求。2.网络支付技术方案设计2.1.支付体系的构成支付系统是由消费者、商户和银行三方组成。2.2.支付业务流程电子支付流程1)消费者通过Internet访问商户，决定购买某种商品或服务。2)商户返回付款要求，具体可以通过引导页面使消费者访问银行支付服务器的主页。3)消费者通过访问银行的支付网页向银行提交支付请求。4)银行提示消费者确认支付，并要求对支付签名。5)消费者确认支付请求，并对支付交易签名6)银行或认证中心对消费者的支付交易的合法性进行校验，主要是验证用户对交易的签名。42 7)交易通过验证则银行执行对付款方帐户的扣减。8)银行执行资金转帐,实现支付。9)银行通知商户已经支付。2.3.支付过程信息构成其中的顾客信息/购物信息,商品信息是商户开展网上商业活动必不可少的部分,但不是我们的研究重点,我们的研究主要侧重在支付过程的实现,下面是对支付过程信息的理解。支付请求信息由两部分组成：2.3.1.第一部分由商户发出商户号：商户号是商户在银行的唯一标识,由银行指定。交易序列号：交易序列号是支付交易的唯一标识,由商户生成,并保证其唯一性。交易金额：交易金额来自顾客的日期：当天日期交易数字签名：商户用私钥对商户号,交易序列号,日期和交易金额等进行数字签名,供银行进行身份认证。并且保证了商户支付请求的不可否认性。2.3.2.第二部分由顾客提供主要是顾客在银行开立的支付帐户的帐号和帐户密码两部分组合在一起作为完整的支付请求信息发送给银行。银行对支付请求信息做检查,检查内容主要是帐号,商户号是否正确,支付帐户密码是否正确,并验证商户的签名,检查的作用主要防止对商户和顾客的冒认,银行对信息确认正确后向顾客发送对支付的签名请求信息。签名请求的信息组成应该能给用户的签名以清晰的提示,包括以下内容：商户名称,用户名称,帐号,金额,交易序列号,银行对帐号的数字签名。42 支付签名信息是顾客对签名请求的进行确认,包括对帐号和交易序列号用的私钥签名,对密码也用的私钥签名。支付交易结果主要由交易序列号,交易结果以及银行对交易序列号和结果的数字签名组成。2.4.网络模型由于认证服务集成到银行内部,所以不需要直接暴露到Internet上,既体现了银行在电子支付过程中对信息安全所负的特殊责任,也客观对客户信息起评比作用,在认证过程中加上交易授权的接口,可以实现银行专职人员对电子支付的实时监控,以及对大额交易的人工界入,可以有效降低金融风险.2.5.方案的软件实现:本方案的软件设计主要按付款人端，收款人端，银行端三部分实现。2.5.1.付款人端付款人(消费者)端:付款人端需要配置标准的浏览器软件，如IE或Netscape，需要支持Java和SSL。电子签名客户端用Java开发,电子签名客户端包括下面的功能:1）密钥信息读取:私钥作为私人信息保存在软盘,程序读出私人密钥2）认证银行Web服务器:为了保证电子支付过程的连贯,需要电子签名客户端监听银行发来的签名请求,为了防止信息的假冒,确保签名请求是银行的服务器发来是很重要的42 3）给出清晰的签名提示界面,提示用户实施签名.得到消费者确认后对支付请求消息实施签名4）保存签名记录以备事后查询.2.5.2.收款人端支付引导网页负责引导支付界面applet程序在消费者端的浏览器运行,并把商户号,交易的序列号，日期，交易金额,签名等作为参数传送给支付界面applet程序。通过CODEBASE参数引导支付界面applet程序在用户端浏览器运行.支付结果接口作为银行通知商户支付成功的接口，以Cgi形式开发，可以用JavaServlet开发。银行把支付结果通过HTTPPost活Get的方式通知商户。电子签名商户端生成支付引导网页的数字签名和认证银行支付交易结果中的数字签名。电子签名商户端也是用Java开发。2.5.3.服务端支付界面applet程序是一个Javaapplet，在消费者端浏览器运行，作为消费者网上支付的界面。其功能包括接收商户在支付引导网页中通过在param参数传来的参数，提示用户输入帐号和密码。报这些信息组合成支付请求信息发送给银行服务器,并向用户返回支付结果的信息。42 支付处理服务是银行网上支付的核心，用Javaservlet开发，作为交易服务实现银行对支付的处理，作为服务程序,程序的功能反映在业务的处理流程。1）接收支付界面applet程序传来的支付请求2）向电子签名客户端要求交易签名，向身份认证服务认证消费者和商户的签名3）向业务系统接口发送转帐业务请求4）向商户返回支付结果2.6.支付过程的信息安全措施针对网上支付的安全需求，我们的方案通过以下几个措施解决交易过程中的安全隐患：1）交易过程三方相互间都有身份认证,其一个互相制约的作用。2）消费者的身份认证是密码和电子签名同时进行，其他人如果想假冒，必须同时持有消费者的私人密钥和知道密码,这样对消费者而言等于有了双重保险。3）支付过程中三方在网上相互之间直接通讯，信息流向取消中间环节，商户不需知道消费者的银行帐号，银行也不知消费者购物的信息，既可以防止消费者的个人资料，也可以保护个人隐私。4）由于在支付过程不用直接和第三方的认证中心(CA)打交道，网络上的信息传递可以直接使用SSL。42 5）支付请求有消费者和商户的数字签名，消费者收到的签名请求中有银行的签名，商户接收到的支付结果通知中有银行的签名，这样在支付交易过程中三方互相制约，技术上和方案上具有不可否认性，便于明确法律责任和提取证据。6）软件由Java2.0开发，利用Java提供的成熟的安全机制，使加密强度可以达到工业标准。（六）电子支付的主要风险电子支付系统作为电子货币与交易信息传输的系统，既涉及到国家金融和个人的经济利益，又涉及交易秘密的安全；支付电子化还增加了国际金融风险传导、扩散的危险。能否有效防范电子支付过程中的风险是电子支付健康发展的关键。1.电子支付的基本风险支付电子化的同时，既给消费者带来便利，也为银行业带来新的机遇，同时也对相关主体提出了挑战。电子支付面临多种风险，主要包括经济波动及电子支付本身的技术风险，也包括交易风险、信用风险等。金融系统中传统意义上的风险在电子支付中表现得尤为突出。1.1.交易风险42 电子支付主要是服务于电子商务的需要，而电子商务在网络上的交易由于交易制度设计的缺陷、技术路线设计的缺陷、技术安全缺陷等因素，可能导致交易中的风险。这种风险是电子商务活动及其相关电子支付独有的风险，它不仅可能局限于交易各方、支付的各方，而且可能导致整个支付系统的系统性风险。2.电子支付的操作风险银行的业务风险由来已久，巴塞尔银行监管委员会就曾经组织各国监管机构较系统地归纳出几种常见风险，如操作风险、声誉风险、法律风险等等。在传统业务中，这些风险表现形式有所不同。在操作风险中，可能是信贷员没有对借款人进行认真细致的资信调查，或者是没有要求借款人提供合格的担保，没有认真审查就盲目提供担保，等等。这些风险可以通过现有的一系列管理措施加以防范，比如双人临柜，比如制定和严格执行一整套贷款操作的规程，等等。传统业务中的风险大多跟技术没有直接的联系，某个环节存在的风险虽然对其他环节有影响，但影响限定在一定范围内。电子支付加大了风险，也使得其影响范围也扩大了，某个环节存在的风险对整个机构，甚至金融系统都可能存在潜在的影响。互联网和其他信息技术领域的进步所带来的潜在损失已经远远超过了受害的个体所能承受的范围，已经影响到经济安全。这种情况与技术有着直接的关系，其中表现最为突出的是操作风险。电子货币的许多风险都可以归纳为操作风险。一些从事电子货币业务的犯罪分子伪造电子货币，给银行带来直接的42 经济损失。这些罪犯不仅来自银行外部，有时还来自银行内部，对银行造成的威胁更大。3.电子支付的法律风险电子支付业务常涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保护法、知识产权法和货币银行制度等。目前，全球对于电子支付立法相对滞后。现行许多法律都是适用于传统金融业务形式的。在电子支付业务中出现了许多新的问题。如发行电子货币的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付活动的监管、客户应负的义务与银行应承担的责任，等等，对这些问题各国都还缺乏相应的法律法规加以规范。以网上贷款为例，就连网上贷款业务发展较早的台湾金融监管部门也没有相关法令规范这一新兴业务，其监管机构目前能做的只是对银行提交的契约范本进行核准。缺乏法律规范调整的后果表现在两个方面，要么司法者或仲裁者必须用传统的法律规则和法律工具来分析网上业务产生的争议；要么法官或仲裁者不得不放弃受理这类纠纷。由于网络纠纷的特殊性，用传统法律规则来解决是一个非常吃力的问题；但是，消极地拒绝受理有关争议同样无助于问题的解决。42 4.电子支付的其它风险除了基本风险、操作风险和法律风险以外，电子支付还面临着市场风险、信用风险、流动性风险、声誉风险和结算风险等。（七）电子支付的风险防范与规避1.电子支付风险管理步骤电子支付与传统金融风险管理的基本步骤和原理几乎是一样的，但是，不同的国家、不同的监管机构可能会根据不同的情况，制定出不同的电子支付风险管理要求。目前，最为常见、最为通俗易懂的是巴塞尔委员会采用的风险管理步骤。以网上银行为例，巴塞尔委员会把电子支付风险管理分为三个步骤：评估风险、管理和控制风险以及监控风险。评估风险实际包含了风险识别过程，不过，识别风险只是最基本的步骤，识别之后，还需要将风险尽可能地量化；经过量化以后，银行的管理层就能够知道银行所面险究竟有多大，对银行会有什么样的影响，这些风险发生的概率有多大。等等。在此基础上，银行的管理层要做出决定，确定本银行究竟能够忍受多大程度的风险。换句话讲，如果出现这些风险。造成了相应的损失。银行的管理层能不能接受。到了这一步风险的42 评估才算完成了。管理和控制风险的过程比较复杂，简单地说就是各种各样相应的控制措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的，实际上是在系统投入运行、各种措施相继采用之后，通过机器设备的监控，通过人员的内部或者外部稽核，来检测、监控上述措施是否有效，并及时发现潜在的问题，加以解决。许多国家都接受巴塞尔委员会电子支付风险管理的步骤，并加以本土化，针对本国银行的特点，制定出本国电子支付风险管理的基本程序。比如美国通货监管局负责监管美国的国民银行，随着大量国民银行采用各种各样的电子技术向客户提供电子支付的服务，国民银行将与技术有关的风险管理也分成三个步骤：计划、实施、检测和监控。计划阶段在一定程度上包括风险的识别、量化等，但主要是针对某一个具体项目的采用而言。而实施实际上类似于巴塞尔委员会的管理和控制风险这一步骤，将各种相应风险控制和防范措施加以实际运用，以控制项目运行后造成的风险。检测和监控阶段则尔委员会的风险监控大同小异。因此，简单地说，风险的管理过程是技术措施同管理控制措施相结合而形成的一系42 列制度、措施的总和。整个过程同传统银行业务的风险管理差别并不是很大，但电子支付采用的新的风险管理措施需要同银行原有的内控制度相配合，同传统业务的风险管理措施相融合。2.防范电子支付风险的技术措施电子支付风险的防范还依赖许多技术措施。具体详见（五）1.1章节。2.1.建立网络安全防护体系建立网络安全防护体系，防范系统风险与操作风险。不断采用新的安全技术来确保电子支付的信息流通和操作安全，如防火墙、滤波和加密技术等，要加快发展更安全的信息安全技术，包括更强的加密技术、网络使用记录检查评定技术、人体特征识别技术等。使正确的信息及时准确地在客户和银行之间传递，同时又防止非授权用户如黑客对电子支付所存储的信息的非法访问和干扰。其主要目的是在充分分析网络脆弱性的基础上，对网络系统进行事前防护。主要通过采取物理安全策略、访问控制策略、构筑防火墙、安全接口、数字签名等高新网络技术的拓展来实现。为了确保电子支付业务的安全，通常设有三种防护设施。第一种是装在使用者上网用的浏览器上的加密处理技42 确保资料传输时的隐秘性，保障使用者在输入密码、账号及资料后不会被人劫取及滥用；第二种是被称为“防火墙”的安全过滤路由器，防止外来者的不当侵入；第三种防护措施是“可信赖作业系统”，它可充分保护电子支付的交易中枢服务器不会受到外人尤其是“黑客”的破坏与篡改。2.2.发展数据库及数据仓库技术发展数据库及数据仓库技术，建立大型电子支付数据仓库或决策支持系统，防范信用风险、市场风险等金融风险。通过数据库技术或数据仓库技术存储和处理信息来支持银行决策，以决策的科学化及正确性来防范各类可能的金融风险。要防范电子支付的信用风险，必须从解决信息对称、充分、透明和正确性着手，依靠数据库技术储存、管理和分析处理数据，是现代化管理必须要完成的基础工作。电子支付数据库的设计可从社会化思路考虑信息资源的采集、加工和分析，以客户为中心进行资产、负债和中间业务的科学管理。不同银行可实行借款人信用信息共享制度，建立不良借款人的预警名单和“黑名单”制度。对有一定比例的资产控制关系、业务控制关系、人事关联关系的企业42 或企业集团，通过数据库进行归类整理、分析、统计，统一授信的监控。2.3.加速金融工程学科的研究、开发和利用金融工程是在金融创新和金融高科技基础上产生的，是指运用各种有关理论和知识，设计和开发金融创新工具或技术，以期在一定风险度内获得最佳收益。目前，急需加强电子技术创新对新的电子支付模式、技术的影响，以及由此引起的法制、监管的调整。2.4.通过管理、培训手段来防止金融风险的发生电子支付是技术发展的产物，许多风险管理的措施都离不开技术的应用。不过这些技术措施实际上也不是单纯的技术措施，技术措施仍然需要人来。贯彻实施，因此通过管理、培训手段提高从业人员素质是防范金融风险的重要途径。《中华人民共和国电脑系统安全保护条例》、《中华人民共和国电脑信息网络国际联网管理暂行规定》对电脑信息系统的安全和电脑信息网络的管理使用做出了规定，严格要求电子支付等金融业从业人员依照国家法律规定操作和完善管理，提高安全防范意识和责任感，确保电子支付业务的安全操作和良好运行。为此，要完善各类人员管理和技术培训工作。要通过各种方法加强对各级工作人员42 的培训教育，使其从根本上认识到金融网络系统安全的重要性，并要加强各有关人员的法纪和安全保密教育，提高电子支付安全防护意识。是要培训银行内部员工。由于电子支付是技术的产物，使内部员工具有相应的技术水平也是风险管理的重要方面。这些培训包括各种各样的方式，如专门的技术课程要求员工参加业内的研讨会、工作小组。同时，保证相应的技术人员能够有时间进行研究、学习，跟踪市场和技术的发展状况。二是对客户进行教育和培训，教会他们如何使用银行的设备，出现问题怎么办，并通过培训向客户披露有关的信息，如银行主页上建立的链接点的性质、消费者保护的措施、资料保密的要求，等等，以此减少相应的法律风险。2.5.其他相关防范措施具体的技术防范细节还有很多，如为了防止黑客的入侵，防止内部人员随意泄露有关的资料和信息，密码技术被广泛地应用。但是，并不是所有的信息都一样重要。一些监管机构要求银行首先要对资料进行分类，分成“高度机密”、“机密”和“公开”信息三类，不同种类的信息采取的保密措施不同。对于高度机密信息，在储存和通过内部网42 络传送时必须加密。在技术和资金允许的情况下，可以尽量采用更强一些的密钥。同时，要强化密钥的管理，建立有效的密钥管理方式，如保护密钥不受篡改和违法使用，根据资料的秘密程度，定期更换密锯。至于通过公开网络如互联网传递的信息，都必须进行加密。口令（Password）有时也称为密码，但为了与密码技术相区别而把它称为口令。口令实际上是控制机器设备，防止无关人员随意进入和使用设备的技术措施。使用口令容易造成口令韵遗失（使用者忘记自己的口令），更为重要的是容易被犯罪贫子盗取。有的时候，对于一些关键设备，可以采用一次性司令．也就是只使用一次的口令，每次进入电脑系统时，口令都不同，通过对口令的管理来保护设备的安全。除了一次性口令这样简单的管理措施之外，还有其他一些比较系统化的措施来管理口令。口令的管理需要遵循一些基本的原则，比如，银行的电脑系统自动促使使用者定期修改口令，使用者之间不要相互合用口令，不要使用一些很容易被猜到的口令，等等。具体的措施很多：如果口令被多次使用或通过网络传递，必须对口令进行加密才能存储或传送；使用安全42 子系统和应用程序建立口令的历史档案，防止重复使用不久前才使用过的口令；为了防止犯罪分子使用一些自动的程序软件猜测口令，必须规定一个界限，如多少次端现错误则停止其进入，并通知系统的管理员；为了防止犯罪分子盗用他人的合法口令进入内部网络，应该随时将上次使用口令的时间等情况通知合法的使用者，便于发现自己的口令是否已经被人盗用。同口令的功能相似的还有其他一些常用的手段，比如使用智能卡作为进入系统的．“身份证”，采用生物技术措施来识别有关当事人，主要是用指纹、声音、面部特征和眼部特征等人的生物特征来识别人的身份。这些措施采用之后，仍然需要有配套的措施，如智能卡虽然安全，但仍然需要定期更换内部程序或密码，以便保证其安全性能。此外，还有许多其他的技术防范措施。比如，防病毒的技术措施，对于主服务器的管理，等等。这些措施技术成分比较大，需要银行管理部门加以格外的注意。同时，光有技术措施也是不够的，同样需要辅以相应的管理和内控措施。比如，对银行内部职员进行严格审查，特别是系统管理员、程序设计人员、后勤人员以及其他可以获得机密信42 息的人员，都要进行严格的审查，审查的内容包括聘请专家审查其专业技能，家庭背景、有无犯罪前科、有无债务历史，等等。而一些重要人物，比如，系统的管理员，由于他们可以毫无障碍地进入任何电脑和数据库，也可能产生潜在的风险，对于这样的人则必须采用类似于双人临柜式的责任分离、相互监督等，手段来进行控制。42'