电子商务支付的安全问题目前依然是电子客票流程实现自动化的障碍。
　　今年8月1号，用户量最大的中国工商银行再次把借记卡支付额度调低，单笔交易上限由500元降为300元。而这300元的上限也必须由用户到工商银行柜台办理开通业务才能获得，如果没有办理，将无法在线支付。
　　这一举措令很多代理商和第三方支付企业深感困惑。“如果银行借记卡的限额在1000块钱以下，我们就没法做了。因为我们全年平均下来的订单平均值是1240元。用户如果连一张票都买不了，谁还用在线支付呢？”游易网王一力说。
　　“现在各家支付公司都在向银行争取高的限额，消费者是个体，有的往返机票要1万元。本来希望银行卡的在线支付能使整个电子客票流程实现自动化，如果有这样的限额，用户还是要走传统的模式来买机票，对于产业流程来说就相当于减少了一个机票印刷的成本，电子客票的意义就不是那么大了。”云网支付产业事业部销售总监乔阳说。
　　但银行也没有办法，一切为了安全。按照国际惯例，信用卡的风险由消费者承担，而借记卡的风险则完全由银行来承担，银行也是为了减少自己的资金风险。对于他们来说，不但承担了金融方面的职责还有很多社会责任要担当。如果系统真出了问题，对行业和民生都将带来不良影响。而第三方支付的安全问题又是一个自电子商务产生就一直争论不休的问题。安全，究竟要怎么解决？本报就此话题同云网支付产业事业部销售总监乔阳、中国工商银行电子银行中心市场营销处副处长薄胜春、游易航空旅行网市场总监王一力进行了深入而具体的讨论。
　　第三方具有携款潜逃的充分条件
　　第三方支付公司在面对银行或者代理商谈合作的时候，总是会受到全方位的质疑。航空客票业是个资金流动又大又快的行业，每天的资金流动辄上千万元，而很多第三方支付公司的注册资金还不足100万元，这令银行如何信任？第三方支付公司的资金结算期经常很长，有的时候和代理商一个月才结一次账，这段时间大笔的资金都将停留在前者账户，如果他们挪用资金或者携款潜逃，谁来保证银行的安全？
　　记者：对于第三方支付企业结账周期长的问题，现在有没有什么方法解决？
　　乔阳：这的确是我们行业一个比较个性化的问题，对于银行来说，他们会非常注意跟我们合作时的资金安全问题。现在的情况是，我们收了用户的钱之后，经常会有两到三天的结账周期，如果合作方是小商户，一个礼拜结算一次，一个月结一次账也很正常。但这并不意味着不能加快结账周期。
　　结账周期我们可以日结，特殊情况也可以日两结。这是一个行业信任问题，如果刚与我们合作，还没有建立很强的信任关系，我们可以选择日结。
　　记者：现在对代理商来说，对第三方支付企业最不满的是什么？
　　王一力：如果第三方没有把用户的资金和其固有资金分开管理是非常不好的，而现在很多第三方都没有这么做。商户的钱和自己的钱都放在一起，这就导致他们总是有钱花，资金安全就很成问题。
　　不过有的公司在这方面很领先，比如支付宝，我们希望所有的第三方都能够这么做。支付宝就把这两块资金完全分开，并且把商户的钱委托中国工商银行托管，每一笔的交易要通过工行批准。但是我们不可能只和支付宝合作，因为支付宝的模式其实并不是非常契合电子客票行业。所以我们希望别的公司也能够把两部分资金分开管理。
　　放宽支付上限需仔细审核
　　2005年10月26日，中国人民银行发布了《电子支付指引(第一号)》(中国人民银行公告[2005]第23号，以下简称《指引》)，对银行从事电子支付活动提出了指导性要求。它规定：银行通过互联网为个人客户办理电子支付业务时，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币。
　　300元的支付上限对于代理商和第三方支付企业来说基本等同于要放弃在线支付这种支付模式。因此，今年以来，大家纷纷找银行申请放宽支付上限的事宜。
　　记者：银行在放宽支付上限的问题上是怎么考虑的呢？
　　薄胜春：不久前有人曾经假冒工商银行的网站，很多黑客攻击客户计算机，盗取客户信息。对此我们采取了多种措施，降低限额不是主要目的，安全才是最重要的。我们一直把它作为重头管理，在安全的控制上也一直采取比较谨慎的态度。虽然如此，我们目前的制度还是有所倾斜的，已经针对一些可追索的行业提高了额度，比如电子客票和高校的学生交费等等。因为这些支付都是实名制的，像机票，如果用别人的信用卡给自己买了机票，购买时身份信息都会被记录，很好追索。
　　因此我们会选择一些第三方支付企业和代理商放宽额度。现在提交放宽额度申请的第三方支付企业和代理商很多，我们也正在审核当中。
　　记者：对于这些提出放宽支付上限申请的企业，银行在考核时会考核哪些问题？
　　王一力：我们公司今年8月底已经申请下来了这个政策。首先需要提交资料，先到开户行报备，然后资料上交到工商银行北京分行电子商务中心，再报到中国工商总行的电子商务中心。
　　其中，我们要详细说明，为什么电子客票可以被称之为可追索行业，用户下单在我们这里会走一个什么样的流程，我们怎么做支付，支付是链接到什么样的页面，后台怎么做处理，电话有没有录音，交易有没有日志，每个业务员的操作有没有记录下来等等。期间工行大概考核了四五次，主要看我们风险防范的流程。如何解决系统安全问题，用什么样的技术手段和措施解决等等。
　　记者：银行都非常希望用户支付时采用在线支付的方式，不过资金安全的确很重要，对此工商银行有没有采取什么措施或者开发新技术？
　　薄胜春：对于这个问题我们银行是有所准备的。工商银行B2C方面的技术比较先进，一个账户可以接多个商城。也就是说，对于和我们合作的第三方企业来说，机票业务我们给他们单独开设一个商城，其他业务走别的接口，结算用一个账户。这样一来，对于那些已经拿到放宽支付上限额度政策的企业，我们就可以只针对其卖机票的接口把支付上限提高。这样就在很大程度上保证了资金的安全性。
　　安全问题交由银行解决？
　　在历年的电子商务大会上，支付安全问题总是作为重中之重被反复提及。在信用卡文化尚不发达，保险体制并不完善的当今时代，用户对于网上支付常常会有一种不信任。电子客票取代纸质机票之后，安全更是被反复提及，这也是令广大第三方企业很挠头的事情。如果用户的电脑染了木马病毒，资料被盗取，这是谁的责任？第三方企业再高超的技术似乎也鞭长莫及。不过，薄胜春却自信地说：支付安全现在已经不是问题了！
　　记者：我们了解到，像携程、亿龙这样的代理商其实有80%以上的订票业务都是通过他们的呼叫中心接到的。而游易网80%的业务则是通过用户在网上预定并支付，因此支付安全问题对游易网来说应该更迫在眉睫，你们是怎么解决这个问题的？
　　王一力：携程的确80%的业务是通过电话来预定的，有的用户会通过信用卡授权的方式把自己的卡号报给对方业务员刷卡。其实这种远程的信用卡支付并不是特别安全。就算我相信携程的信用，我毕竟把卡号告诉了一个人，谁能保证携程底下的员工各个值得信任？
　　其实对我们来说已经屏蔽了安全的风险，因为通过我们的网站，在线支付的卡号、密码是留在银行端的，并不是留在游易。用户点击支付的时候会自动跳到银行的网站。
　　记者：银行是如何解决安全问题的？
　　薄胜春：其实这个问题我们现在已经解决得很好了。我们今年8月份推出了一种免费的电子银行口令卡。以前客户登录的时候采用的都是静态密码，很容易被人盗取，口令卡采用一种坐标式密码方式。用户输入注册信息之后系统会提示：需要出示第几行第几列的数字。在口令卡上查找相应的位置填上就可以进入，下一次登录时密码位置会相应变化，每一次都不同。每一张口令卡的数字内容都不相同，由于排列组合的阵容很强大，每张卡都可以使用1000次。这样就算被盗取了密码黑客也无法作案，因为再次登录的时候口令就改变了。
　　此外，我们还有一种永久性的安全证书，就是U盾，这个是获得过国家专利的。U盾是个物理介质的东西，是我们和微软合作开发的。它看起来像优盘，但是不能拷贝，因此病毒无法入侵。每个U盾都会设置一个密码，就算丢了别人也无法使用。自从U盾推出之后，使用U盾做安全防护的在线支付没有出过一次安全事故。而且，对于使用U盾的用户来说，就没有支付上限的问题了，可以支付任意数量的金额。
　　记者：其他银行也在推行这样的安全证书吗？
　　薄胜春：其他一些银行也在推行，安全问题让银行来解决其实就简单得多。现在人民银行对于安全证书的开发力度很大，他们希望能够推出一个所有银行都能实现的安全证书。如果这个项目成功对于广大的消费者，还有电子商务行业都是一个福音。