近期关于金融社保卡的话题再次引起大家的关注。预计今年近亿张的发卡量,全国通用,使用身份证号作为社保卡号,取代各地自制的社保卡……这些信息虽然有虚有实,但是其背后的确蕴藏着巨大的商机。而且关于社保卡的讨论也热火朝天,从技术层面、市场层面、业务层面众说纷纭。另外,人行和人保部也联合接受媒体采访,对于公众的疑问进行了一些解答。
近期关于金融社保卡的话题再次引起大家的关注。预计今年近亿张的发卡量,全国通用,使用身份证号作为社保卡号,取代各地自制的社保卡……这些信息虽然有虚有实,但是其背后的确蕴藏着巨大的商机。而且关于社保卡的讨论也热火朝天,从技术层面、市场层面、业务层面众说纷纭。另外,人行和人保部也联合接受媒体采访,对于公众的疑问进行了一些解答。
那么社保卡和银行卡结合后究竟会遇到哪些问题?又该如何应对?本文从市场格局现状以及整个行业的配套方面进行简单的阐述,并提出一些建议供金融社保IC卡的实施相关单位参考。
1、结合身份证看社保卡项目的可实现性?
通过把身份证号作为社保卡号后,所有和社保相关的业务都可以通过身份证绑定到社保福利待遇的享受人了。
国外公民只有社保号,没有身份证号。和社会福利相关的事情都可以通过社保号来办理。现在我们已经有了身份证(而且是具备先进射频技术的二代防伪身份证),那么我们也完全可以利用身份证号来办理所有和社保相关的业务。同时还可以结合身份证的高安全与高防伪性能,从技术手段上帮助杜绝滥用和冒领社保福利的现象。
另外,从国内芯片可用性来看,已发行的CPU社保卡均采用国内芯片,国产社保CPU芯片覆盖率达到100%。这主要得益于这几年国家对于国产芯片的大力扶植。尤其是经过二代身份证项目的洗礼,国内的芯片已经大量应用在相对封闭的领域(比如身份证、社保、一卡通等)和竞争激烈的电信卡市场。
但是在安全要求相对较高且较严格的金融领域(尤其是PBOC2.0的借贷记、小额及qPBOC)虽然应用较少,但是也已经逐步开始普及。尤其是在接触式的借贷记应用方面,国产芯片已崭露头角。根据人民银行的说法,社保卡搭载的金融应用是借记卡功能,所以主要交易可以配置为联机模式,无需脱机认证,这样对于芯片的RSA运算处理能力就没有那么高要求了。按照最简化的PBOC2.0借记卡应用的需求,只要支持对称加密算法即能实现,如此来说多数的国产芯片都能够满足金融社保IC卡的技术规格要求。
2、社保卡的市场现状
现在通过注册的社保卡芯片已经不止一家了,但是大家的市场运作模式却很相似,社保的COS多是芯片厂家开发并已经嵌入到芯片中,通过社保卡检测的卡厂(大多数也是直接拿芯片公司现成的COS去测试)在各地进行投标,中标的卡厂采购带有社保COS的芯片封装并供卡。对于社保卡的表面个人化印刷和芯片数据的个人化,可以由卡厂完成,也可以由另外的公司完成。
芯片公司不会直接冲到前面去打市场,而是卡厂在打拼。因为人保部负责具体城市的密钥分散和管理并指导项目实施,社保卡项目的资金由实施城市自己解决。卡片的采购根据是否有银行参与,以及银行参与的程度可以由合作银行承担,或者合作银行与地方社保部门联合承担,或者由地方社保部门独立承担。
对于社保卡的医疗保险交易基本上都是脱机模式,所以其中会涉及PSAM的发行管理、终端的布放、系统的建设等环节。
在社保卡领域活跃的更多的是一些COS开发实力并不很强的卡厂,同时因为发行社保卡的地方城市互相没有关联关系,人保部也不存在统一招标、集中采购的模式,因此很多卡厂都会有自己的势力范围。外企在社保领域几乎难以涉足,除了某外企偶有斩获之外,其他一些外企几乎不碰这个市场。虽然实力较强的COS厂商也参与这个市场,但是他们并不占多少技术优势。
3、银行IC卡的市场现状
在银行IC卡领域活跃的更多是COS厂商,他们具备COS研发的实力,有些公司还具有一定的生产及个人化能力。
银行的应用也并不单一,涵盖借贷记和小额及qPBOC,涉及接触、非接触、双界面等不同的接口形式,并且还有新兴的应用不断涌现,比如移动支付。所有这些都需要和银行打交道的厂商具有足够强大的技术研发和支持能力。因为银行应用会根据具体项目有部分变化和扩展,所以由芯片厂商直接提供已经嵌入了COS的芯片给卡厂封装供卡的模式,在这种应用场景中不太适用。对于PBOC2.0的借贷记、小额和qPBOC应用而言,不需要PSAM。多数银行会采取总行统一入围测试,分行各自招标的模式。不同地区的分行之间,以及分行与总行之间关联密切,很容易出现胜者通吃的局面,所以出现某公司是某行的独家供应商的情形也属正常。
在银行领域外企以及外国芯片不仅不受排斥,因为技术实力和芯片自身的先进性反而会受到一定程度的青睐。
4、Java卡和Native卡之争以及两个应用之间的主从关系
虽然部分银行在招标中要求Java卡,但是有一点一定要注意PBOC2.0规范中并没有这样的规定;虽然社保卡多数为Native卡,同样社保卡规范中也没有明确地说社保卡一定是Native的。所以一说银行IC卡就想到Java卡,一说社保卡就认为必须使用Native卡的想法有点陷入固有的思维定式了。
需要说明的是在PBOC2.0的个人化指南以及银联发布的安全规范中对于个人化和密钥的下装参考了GP规范的约定。但是这些GP的命令完全可以在Native卡上实现,而不必非得使用Java卡。
另外还有一点就是同一张卡片中两个应用的并存关系。PBOC规范需要一个PSE环境,而社保卡规范需要一个SSSE环境。实际上这两个环境最好是并列的关系,即共存于MF之下。对于社保卡而言因为自身就需要三级DF路径(含SSSE),所以如果是二者共存于MF之下的话,需要卡片能够支持最多4级DF路径。卡片主控权属于卡片的所有者,也就是说谁出钱采购卡片,谁就应该掌握卡片主控,当然这些还需要出台具体的实施细则进行约定才好。
但是这里面的确有一个小隐患,就是无论是社保应用还是PBOC应用都可以在各自应用中发送“卡片锁定”命令造成整个卡片被锁,这点需要在实际实施中进行调整。
5、金融社保IC卡的测试认证及资质问题
符合银联标准的银行IC卡功能和物理电气特性测试均由银行卡检测中心来完成,而社保卡的功能测试由人保部下属的惟望科技公司负责。
对于承载着金融支付功能的社保卡而言,其最终的测试可能由银行卡检测中心和惟望公司联合完成,类似于高速公路ETC卡的测试模式。
但是涉及到的社保和金融两个应用之间的安全机制以及防火墙测试,可能是这两个测试机构现有的测试案例中都不具备的。
尤其值得一提的是关于芯片的安全测试。能够入围社保卡的芯片都是国产的,但是在银行IC卡应用方面对于国产芯片一直缺少一个权威性的安全测试机构。据说银联已经督促银行卡检测中心尽快建立金融IC卡芯片安全测试环境,但是进展缓慢。
另外就是关于入围资质,现在社保和银行都有自己入围的卡商。对于社保而言外商涉足的几率更小,但是从某外企的部分案例来看,外商入围中标社保卡项目也不是不可能。所以对于入围资质的限定需要进一步明确和开放,这样才不失公平。
6、所谓的金融社保IC卡能包含哪些金融应用
业内人士对于金融社保IC卡多数持谨慎乐观态度,普遍认为目前的国产芯片不可能在性能指标上达到非接小额支付(qPBOC)的要求,所以注定难以在社保卡上捆绑金融应用。
其实这里面有一个理解的误区,金融IC卡绝不是单一的非接小额支付卡,虽然关于非接触和小额支付是现在比较热的话题。PBOC2.0规范主要定义的是借贷记的金融应用,基于借贷记的小额(电子现金)及非接触的qPBOC都是由此派生出来的。从目前国产芯片的指标看,如果推出金融社保IC卡,那么搭载的金融应用应该为支持1024位RSA的接触式借贷记应用及基于此借贷记的接触式小额支付应用(电子现金)。而且人行也已经表态说明社保卡搭载的金融支付功能目前仅限于借记应用。
如果说银行只能把上述的金融应用搭载到社保卡上。那么银行对于其他的金融支付应用,比如非接的qPBOC等肯定要另外发卡。
从目前可用的国产芯片和银行的业务推广趋势来看,社保卡上附加的金融支付应用和银行主推的非接快捷支付应用的确是存在一定的不匹配,但是这并不意味着金融社保卡就发不出来。
还有从现有的社保卡项目案例中可以看出,对于某一地区而言通常只有一家银行会与当地社保机构联合发卡,而其他的银行必定还要发行自己银行主推的金融卡。这也是为什么人行表示金融社保IC卡和银行的芯片卡升级并不冲突的原因所在。
7、对于社保卡银行卡产业链的影响
7.1 进一步带动国内芯片产业发展
国内的IC卡芯片产业经过近几年的不断积累已经具备了一定的实力,但是和国际芯片巨头相比还存在很大的差距,尤其是在金融IC卡应用领域,几乎是国外芯片公司垄断。由于银行对于国内芯片在金融领域的应用存在普遍的不信任导致银行IC卡项目中少有国产芯片的身影。
通过金融社保IC卡的项目将会让更多的国产芯片进入到支付领域。从全球发展趋势看,银行卡的芯片化早已为国产芯片走向世界打下了基础。
7.2 大力推动PBOC2.0银行卡的应用
按照人总行的战略部署,到2015年将会大力普及PBOC2.0芯片银行卡。作为银行方面考虑到成本压力和商业模式的不清晰,会存在一定的消极因素。而借助于在社保卡上搭载金融支付功能,则会有力推动PBOC2.0芯片卡的实施。同时探索出一条推广银行IC卡的全新模式,为将来各商业银行发展多功能金融IC卡起到示范作用。
7.3 促进社保卡和银行卡的网络平台建设
通过发行社保卡和金融IC卡,可以促进全国社保系统的网络平台建设,为最终实现社保卡的全国互联互通奠定基础;同时也促进并验证银行后台系统的升级改造,为银行系统全面升级芯片卡的交易处理提供有力保障。
8、几点建议
8.1 出台联合测试标准
金融社保IC卡是在一张卡片上复合了社保应用与金融支付应用,这两个应用针对不同的领域,对于安全机制、交易流程、数据结构都存在不同的需求。因为原来分别隶属于不同的测试机构进行独立的测试,现在如果把两个应用集中在一张卡片上,就存在这两个应用之间是否相互干扰,应用之间的防火墙是否可靠,有哪些数据需要共享等问题。还有就是测试流程如何定义?是统一提交到社保的测试机构,社保功能测试合格后再把测试卡转给银行卡检测中心,还是厂商分别单独提交测试卡给这两个机构?这些问题都需要相关的测试标准尽快出台做出说明。
8.2 发布实施指导细则
针对金融社保IC卡的一些实施细节也需要尽快发布,比如卡片归属问题,究竟是属于银行还是属于社保?卡片的发行和个人化流程,持卡人是到银行领取还是到社保部门领取?抑或是到社保部门领取后到银行开卡?社保卡全国通用跨地区转移后,其所搭载的银行卡账号跨行跨地区交易问题等等。金融社保IC卡的成功实施离不开对于所有环节的明确和细化,如果不充分考虑实施细节,金融社保IC卡可能仅仅停留在战略层面,难以落地实施。
8.3 整合相关社保应用
建议对全部社会保障功能进行统一整合,借由此次全国大规模发行社保卡之机,把之前各自零散的医疗挂号等其他功能合并近来,近来多数医院都开始使用就诊卡,无论挂号、检查、开药、交费都需要出示就诊卡。应尽快制订统一标准,并把此功能整合到社保应用中,这样才能避免重复发卡,减少社会资源的浪费。
9、总结
金融社保IC卡对PBOC2.0起到了明显的推动作用,同时也为社保卡的全国通用提供了技术保障,并且会带动包含国产芯片在内的相关产业的进一步发展。希望金融社保IC卡的推广普及能够为百姓带来真正的实惠,实现为民谋利的目标。