支付宝推行15年的“敢付敢赔”,与背后的“安全技术”一同出海

1月9日,安全与风控技术·亚洲电子支付领袖峰会在新加坡召开。支付宝15年前率先在行业里推出的“你敢付,我敢赔”,走向国际,向9个海外本地钱包推广使用。

最初,电子支付刚刚问世,不少用户担心不够安全,支付宝承诺“你敢付,我敢赔”,给用户吃了定心丸。如今,支付宝服务的全球用户超过12亿,中国也成为移动支付最发达的国家。

在东南亚支付公司推行电子钱包的时候,同样遇到了信任感的问题。于是,支付宝向他们进行了技术输出。2019年,马来的TNG wallet、印尼的DANA、菲律宾的GCash率先在当地推出了敢付敢赔计划(Full Compensation)。

支付宝推行15年的“敢付敢赔”,与背后的“安全技术”一同出海

敢付敢赔,不仅仅是一个承诺。“敢”字背后,拥有怎样的能力和资源?从最早支持东南亚钱包组建安全团队,培训安全规范,到进一步搭建内部安全系统和产品,并适应当地的风险环境,完成策略输出和调优。由支付宝链接的东南亚钱包,其安全技术和风控能力已经上了不止一个台阶。

布个大局,做点小事

随着基础设施的完善,在安全与风控技术·亚洲电子支付领袖峰会上,支付宝推出了提升全球电子钱包安全能力的平台-MySRC,将国内的管理经验和技术资源,向国际输出。

SRC中文名字是安全响应中心,是一家企业面向社会公开收集安全建议的平台。支付宝凝聚了上万名安全志愿者,他们有些来自全球知名的科技公司,有些来自世界顶尖名校的安全研究者,这些全球最顶尖的安全人才,用一种外部黑客的逆向视角,去勘察任何可能被忽略的安全隐患,帮助企业进一步保护用户权益。

据蚂蚁金服SRC透露,他们发现很多志愿者反馈的安全建议,并不是针对支付宝自身,业务合作伙伴的问题很可能会引发一些蝴蝶效应,从而影响到整个生态。

但让每一家初创型的公司都要独立建设一个SRC,其影响力有限,并不一定能高效地解决问题。

1、只有源源不断的测试项目,才可能吸引到优质的安全人才持续参与进来。初创型公司靠仅有几个域名和少量服务器,显然盘子太小。

2、SRC的运营存在很大难度。除了资金,还要在人才培养、风险管理、标准建设等很多方面持续长时间、多人投入,才建立起稳定的合作关系。

比如,蚂蚁金服刚刚发布的“全球安全极客访学计划”,除了奖金的回报,还通过与知名高校合作,为安全志愿者成长搭建平台,来加强粘性。像这样的项目还有很多,都需要有专职的运营团队来支撑,并且稳定地投入各类合作费用。

事实上,除了帮助支付宝提前排查风险,这些志愿者已经开始为国内超50万的支付宝商户、ISV这些生态伙伴解决安全问题。用他们的话说:用生态的力量来解决影响生态的问题。

这套汇聚生态资源的模式,有赖于多家企业共同表达需求和输出资源。积小成多的平台化运转方式,将生态优质资源高效得利用起来,并螺旋上升,使得平台更活跃,优质人才更多,需求更丰富,解决问题能力更强,更高效。

这些通过人肉发现的问题,又会被安全工程师,融入机器学习的算法中,迅速转化成机器检测的规则,从而形成秒极的风险发现能力。

现在,“一带一路”上的移动支付公司,也可以像支付宝一样,在平台上发布众测项目,享用专业的安全评估标准、应急事件管理制度、细致流畅的平台产品、顾问咨询以及更为难得的人才资源及丰富的安全产品资源,极大提升风险排查和防御能力。

布一个更大的局,去解决眼前对自己的微小影响。也许“敢付敢赔”的底气,就是来自于这样一个把安全做到极致的团队和他们掌握的领先安全科技。

上一篇:如何快速入门无线安全以及破解wifi视频教程[wpa加密]


下一篇:蚂蚁金服的资深技术专家石世群:支付宝亿级APP的性能稳定性优化及运维实践