来源:蜘蛛抓取(WebSpider)
时间:2017-12-06 03:00
标签:
个人花呗收款开通条件
您所在位置: &
 &  & 
株洲市支付系统发展对经济增长的影响研究.pdf 47页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
需要金币:250 &&
株洲市支付系统发展对经济增长的影响研究毕业论文
你可能关注的文档:
··········
··········
学位论文原创性声明
本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得
的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个
人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集
体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承
作者签名:
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校
保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和
借阅。本人授权湘潭大学可以将本学位论文的全部或部分内容编入有关数据库
进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
作者签名:
导师签名:
作为一个国家金融经济正常运行的基础性设施,支付系统是庞大经济金融体系的
至关重要的构成部分。2003 年,包括大额支付系统、小额支付系统和支票影像交换
系统等主要应用的第一代支付系统正式上线运行,2013 年,中国第二代支付系统正
式建成运行。我国现代化支付系统已然是跨行资金汇划流动的主渠道和枢纽,对加速
经济增长步伐、鼓励和刺激金融创新、完善和提高金融服务质量、满足和支持社会公
众日益多样化的支付服务需求、密切各金融市场等方面都有相当的促进作用。本文全
面、系统的从支付系统发展与经济增长关系入手,结合株洲市经济增长和支付系统发
展的经验基础上,运用案例分析方法分析支付系统发展对经济增长的影响,并提出合
理的、具有前瞻性的建议。
湖南省株洲市作为南方的重要交通枢纽,改革开放以来,经济有了长足的发展,
现代化支付系统也日渐成熟和完善,其支付系统发展对经济增长的影响如何?本文首
先按对支付系统发展与经济增长关系的不同观点分类总结国内外研究成果,并介绍两
者基础概念及支付系统发展对经济增长的作用机理。然后,将湖南省株洲市作为案例
分析对象,了解株洲市经济增长和支付系统发展历程,搜集整理了株洲市支付系统发
展和经济增长的相关数据,利用协整分析和格兰杰因果检验等方法剖析数据间的微妙
关系,考察株洲市支付系统发展对经济增长的影响,充分挖掘支付系统数据的深层内
涵。研究分析结果表明:虽然支付系统资金流量和大额支付系统资金清算量不是经济
增长的决定性因素,但两者与经济增长之间长期稳定的动态均衡关系且互为因果说明
了支付系统发展与经济增长相互依存、相互促进的关系,支付系统显然已成为推动经
济增长众多关系中的一个有力因素。最后,一方面,提出完善支付系统相关制度等完
善支付系统的合理对策来提高支付系统服务经济增长能力,另一方面,建议利用支付
系统调节货币流通量和流通速度、优化信贷投资结构调整产业结构等,以更好地利用
支付系统发展促进经济增长。
关键词:支付系统;经济增长;金融服务;中央银行
As the country's economic and financial operation of basic facilities , As the country's
economic and financial operation of basic facilities.In 2003,including High Value Payment
正在加载中,请稍后...扫描或点击关注中金在线客服
使用财视扫码登陆
下次自动登录
其它账号登录:
||||||||||||||||||||||||
&&&&>> &正文
史上最全的移动支付漏洞案例分析 谁动了你的钱?
来源:雷锋网&&&
作者:佚名&&&
中金在线微博
扫描二维码
中金在线微信
扫描或点击关注中金在线客服
在历届极棒赛事中出现的智能设备及软件的安全问题,已经被证明是很多厂商都可能出现的。从已经犯过的错误中吸取经验教训是避免安全问题的一条捷径。昨天,GeekPwn主办方碁震(KEEN)的安全专家宋宇昊做客雷锋网的“硬创公开课”,深入详细讲解大量极棒项目中涉及移动支付的案例。
分享嘉宾:宋宇昊,毕业于上海交通大学信息安全学院,GeekPwn主办方碁震(KEEN)联合创始人,现担任技术总监、高级研究员,曾任职于微软(中国)安全响应中心,并于2010年获得微软中国突出贡献奖。目前关注Android相关和智能设备领域的安全研究。500)this.width=500' align='center' hspace=10 vspace=10 />KEEN 联合创始人 宋宇昊&&&&这世上的骗局,到底谁买单?
随着移动支付的普及,我们的生活变得越来越便利。我们甚至已经可以不带钱包、现金、银行卡出门,只用手机就能完成吃饭、娱乐、交通、购物的支付。
平时我们一讲到支付安全,大家最容易想到的就是钓鱼、诈骗、木马。确实,钓鱼、诈骗和木马是支付领域最常见犯罪手段,它的犯罪成本低、易于实施。他们其实属于社会工程攻击的范畴,犯罪者一般先通过各种方式获取受害者的信息,比如联系方式、甚至可能是受害者的个人隐私信息,然后犯罪者利用受害者心理弱点进行欺诈,诱使他们做一些操作。例如洗钱调查开安全账户、家人生并来看看我们的照片等等都是常见的欺诈手段。最近几天被广泛传播的《为什么一条短信就能骗走我所有的财产?》文章中讲的也是一种诈骗手段。
所有欺诈手段的共同点是,犯罪者都要诱使受害者犯错,只有受害者执行了错误的操作才能够让犯罪者得逞。那么是不是只要用户保持清醒的头脑不受骗上当就安全了呢?500)this.width=500' align='center' hspace=10 vspace=10 />&&&&答案是否定的。除了用户有犯错的机会,产品厂商的设计者、开发者也会犯错,他们犯的错误也可能导致用户财产受到犯罪者的侵害,当然也可能导致厂商自己受侵害。大家都知道开发者写代码出错,那叫Bug。而如果正好有某个Bug不巧,能够被攻击者利用,在没有被授权的情况下访问或者破坏系统,那这个Bug就叫做漏洞。
有些人会把这类攻击者叫做黑客,但我这儿为了避免混淆不这么称呼,因为在不同诚下黑客有不同含义。有时候,黑客被认为是利用技术研究成果实施计算机犯罪的人,这类人也被叫做黑帽黑客;有时候,黑客是指那些把研究成果用于帮助厂商改进产品,帮助保护用户安全的人,这类叫做白帽黑客。
白帽子们会在各种渠道,例如 GeekPwn 这样的平台上分享并展示出自己的研究成果,然后我们将这些成果提供给厂商,以帮助他们提升产品安全。正因如此,这些案例中的漏洞并没有被用于犯罪行为中,而是被厂商及时地修复了。今天我们就来看看我们能从中吸取到些什么经验和教训。500)this.width=500' align='center' hspace=10 vspace=10 />&&&&所谓消费型APP是指所有能在其中进行充值、购物、购买服务等等消费行为的APP。在这个案例中,是一个O2O提供线下服务的APP,用户可以在APP中充值余额。然而一个恶意的用户可以做到在APP中充值任意多的钱,实际却只支付1分钱或其他任意金额。这个场景中的受害者是这个APP服务的提供商。
那么这个任意占厂商便宜的漏洞是怎么产生的呢?在分析原因前,我们先看一下攻击的流程。500)this.width=500' align='center' hspace=10 vspace=10 />&&&&这个场景中有手机APP、支付平台、APP服务端三方。根据厂商的设想,他们预期的是这样的支付流程,我们看下图的左侧:
1、手机APP首先生成了一个100元的充值订单发送给APP服务端;
2、用户获得一个支付链接,依据链接向支付平台支付100元;
3、支付平台会向APP服务端发送消息,说某个订单成功支付了100元;
4、APP服务端收到消息,检查是否支付成功,如成功就往账户余额中增加100元。
这个流程问题在哪儿呢?我们看刚才那幅图的右侧:
如果这个APP用户并不是一个老实的用户,他并没有按照订单返回的支付信息支付100元,而是把它修改为支付0.01元,并且完成支付。在这个情况下,APP服务端同样会收到支付平台发来的消息,说某个订单成功支付了0.01元。然而APP服务端却并不管实际支付了多少钱,只关心这个订单支付成功了,并且按照订单金额给账户中充值了100元。这样用户就成功地坑了APP厂商99.99元。
导致这个问题的原因是什么呢?是一个APP服务端的漏洞,APP服务端没有遵循支付平台的API文档标准,对支付平台回调的支付结果信息做充分的校验。
二维码支付存在哪些问题?500)this.width=500' align='center' hspace=10 vspace=10 />&&&&我相信大多数朋友都用过二维码支付,在实体店铺中展示二维码,扫一下就能完成支付,非常方便。我们这就来看一下二维码扫码支付的漏洞案例。在这个案例中,攻击者到任意实体店铺进行消费,以二维码方式支付,但却从受害者的账户中扣费。这里的受害者可以是任何一个在这个支付平台上注册过的用户。在分析原因前,我们先来看一下攻击流程。500)this.width=500' align='center' hspace=10 vspace=10 />&&&&这个场景中有用户、实体店铺和支付平台三方。根据支付厂商的设想,预期这样的支付流程:
用户Alice点开扫码支付,这时候支付客户端会向支付平台服务端请求一个二维码,假设这里请求的AccountNo叫Alice,这样支付平台服务端就会返回一个二维码,这个二维码对应于Alice的账户,并且只能用一次,这就相当于一个支付令牌。
店铺的二维码扫描枪扫了一下这个二维码,店铺就获得了这个支付令牌,它就可以从Alice的账号中扣款了。然而有个叫Chuck的恶意用户,它在向服务端请求支付二维码的时候,在AccountNo当中填入了Bob,而不是他自己的账户Chuck,这时候店铺虽然扫描了Chuck手机上的二维码,但实际上会从Bob账户中扣款。
手机POS机存在哪些问题?500)this.width=500' align='center' hspace=10 vspace=10 />&&&&很多小店铺或者私营业主使用手机收款POS机来进行收费,这为刷卡消费提供了很多便利。在这个案例中,消费者到一家店铺的POS机上进行刷卡消费。然而在消费者刷卡完成离开店铺之后,恶意的POS机收款方虽然并没有拿到消费者的银行卡和银行卡密码,但依然可以从消费者的卡中扣除任意金额的资金,转到自己账户中。分析原因前,我们先来看一下演示视频。500)this.width=500' align='center' hspace=10 vspace=10 />&&&&这个视频是我们GeekPwn和央视在315晚会上合作的一个短片,短片展示了之前描述的POS问题的案例。在视频中,恶意的POS持有者在刷卡者刷卡消费完成之后,随便拿了一张便利店的会员积分卡,输入任意密码就刷走了之前刷卡者银行卡里的钱。在这里刷便利店的磁条卡和输入任意密码仅仅是为了触发刷卡支付的相应步骤。由于315晚会时间的限制,短片没能细致地解释这个盗刷流程,因此不少观众以为演示的是复制磁条卡的问题,其实这个案例比复制磁条卡更进一步。在刷卡消费过程中,需要两个要素,一是磁卡,二是磁卡的支付密码,缺一不可。因此如果只是复制磁卡,那么还需要额外获得磁卡的密码。在这个案例中,受害者刷卡消费时,刷真实的卡,输入正确的密码,在收款客户端中生成了一个扣款的令牌。然而这个扣款令牌并没有实现一次一密,在刷卡完成后并没有作废,因此恶意的POS持有者就可以从手机内存中取出这个令牌,反复使用反复扣费。所以说,导致这个案例的原因,是支付平台的POS支付协议的漏洞。
指纹支付存在哪些问题?500)this.width=500' align='center' hspace=10 vspace=10 />&&&&如果你的手机忘了锁屏,放桌上被人拿走了,钱会被偷走吗?你可能会想:“应该没法转走钱吧,毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证,比支付密码更安全。”大多数时候确实如此,但是如果这里有漏洞,那就不是这样了。这个案例展示了攻击者拿到一台已经解锁屏幕的手机,绕过指纹验证进行支付的场景,受害者当然是手机被拿走的那个人。在分析原因前,我们先看一下攻击流程。500)this.width=500' align='center' hspace=10 vspace=10 />&&&&按照正常的指纹支付流程,APP在受到支付请求时会要求验证,让指纹驱动提供相应账户的身份认证信息,比如说需要Alice用户的身份信息。如果这时候是Alice本人在操作,那么指纹驱动控制硬件读取Alice的指纹,并且跟之前登记的Alice的指纹进行特征比对。如果匹配成功,那么指纹驱动就会将Alice的身份认证信息提供给APP,APP就可以继续支付流程。然而在这个案例中的这款手机里,指纹驱动有漏洞,它允许普通用户开启它的调试模式。而在打开调试模式的情况下,它不会再校验指纹,不论刷什么人的指纹,它都将向APP提供手机中登记的身份认证信息。因此,无论谁只要能插上USB线调试这台手机,就能完成支付流程。
我们很容易理解的是,谁犯的错误就应该由谁来避免或纠正。对于钓鱼诈骗这类的威胁,是基于用户的上当受骗而实施的犯罪,这时我们通常需要教育用户,以免用户上当受骗。而对于漏洞威胁,是基于产品厂商的设计者、开发者所犯的错误,那么当然主要就应该由厂商来担负起应对威胁的责任。
对于厂商,有些普适性的建议措施,比如:采用HTTPS等加密协议保护所有的通讯,尽快把磁条卡换成芯片卡等。除此之外,还需要针对性的措施,比如:修复掉所有被发现的漏洞。
每一次漏洞被发现被修复的过程,代价都是高昂的,对于厂商而言,更经济的做法是在产品设计初期或开发过程中就能够提升产品的安全性,这就需要增加设计与开发人员的安全教育,提升安全意识,并且在设计架构、设计协议、开发程序的过程中,引入安全开发流程。这样可以尽可能地减少产品中的漏洞,把漏洞消灭在萌芽阶段,从而减少安全应急的成本。
(演讲到此结束,以下节选2个精彩问答分享)
精彩问答:
1、问:由于线上支付的场景非常多,消费型APP校验漏洞、二维码支付协议漏洞,这种越权提取漏洞是否普遍存在?目前我们是否需要避免这类交易呢?
宋宇昊:根据我们的观察,相当多的消费型APP厂商是成长型的中小公司,产品也处于发展初期,因此漏洞相对较多。而支付平台的厂商一般都是大公司,产品相对比较成熟,这类危害严重的漏洞也就并不普遍了。软硬件产品中的漏洞不可避免,作为消费者而言,不必过于恐慌,因噎废食。
可以从两方面考虑这个问题:
一方面从技术角度,考察监督一下厂商的产品是否持续性地暴露出低级错误高危漏洞、厂商是否及时修复被披露的漏洞;
另外从非技术角度,考察厂商是否有政策保障赔付用户的意外损失,并且是否有能力赔付。
2、问:今天提到的攻击方式,很多都带有定向攻击的属性,例如:要针对某个消费型App写充值攻击代码,或者需要拿到被害人的手机,这些都会提高黑客的攻击成本,如何来理解攻击成本和这些攻击成真的可能性之间的关系呢?
攻击成本确实是一个需要考虑的问题:
对于每一个漏洞而言,都需要编写和使用专门针对性的攻击代码进行攻击,攻击成本远远高于批量群发的欺诈信息;
产品漏洞对于厂商而言是可控的(相较于可能受骗的各种用户而言),一旦攻击被厂商知晓,漏洞就会被修复,攻击者也就无法继续利用该漏洞。
因此在实际的移动支付犯罪案例中,绝大多数是欺诈、钓鱼、木马等案例,利用漏洞攻击的相对较少,并不太普遍。但是考虑到支付领域的犯罪收益巨大,该领域漏洞攻击的回报率也是非常高的,因此漏洞攻击被投入实际应用的可能性很高。
责任编辑:cnfol001
好消息!还在为选择留学院校而苦恼吗?还在为复杂的移民申请流程而心烦吗?818出国网微信号汇聚最新的出国资讯,提供便捷的移民留学项目查询和免费权威的专家评估,为你的出国之路添能加油!
微信关注方法:1、扫描左侧二维码:2、搜索“818出国网”(chuguo818)关注818出国网微信。
我来说两句
24小时热门文章
栏目最新文章作为一个从不网购和炒股的海外党,在国外基本是和支付宝无缘的。&br&&br&不过这次回国月余,国内的线下支付让我感触颇深,简直可以用震撼来形容。&br&&br&在北美呆过的都知道,商家标价喜欢以x.99结尾,去超市购物,最后会收获大量的美分硬币,花都花不出去。&br&&br&至于我所居住的温哥华的列治文,这里的居民百分之九十都是华人,去绝大多数店铺消费,店主只收现金,我在那边呆了三年,几乎没怎么用过信用卡,每次都是看着华人店主,一点点地给我找零。&br&&br&金融服务这一方面,我去贷款换新车,需要到银行出本票,手续费多寡不谈,开车去银行,排队,一两个小时就没有了。我也经常安慰自己,加拿大人效率都低,忍一忍就过去了。&br&&br&网购就更不用提了,ebay和国内淘宝的区别简直就是原始社会和现代文明的区别。&br&&br&&br&不妨聊聊这次回国,在蚂蚁金融集团所在地杭州的行程。&br&&br&&br&回来一周后,专程去杭州见了位相交半年,从未谋面的知友,J君。&br&&br&一直以来隔着屏幕虽聊得痛快,可是却不能相互敬酒,总是种遗憾。&br&&br&南方恰逢梅雨季,不像我家乡的小城,杭州在特殊的天气太难打到车。&br&&br&J君告诉我在杭州不用打车软件就别打到车,截图过来推荐了几个。&br&&br&不想几个打车软件只能用信用卡或支付宝支付。我移民四年,国内没工作没房产,自然没信用卡。&br&&br&支付宝在出国前有,但当时只有单一的支付功能,在出国后早就弃之不用。&br&&br&大雨中等了半个多小时,最后才招到了车。&br&&br&中午见面自然是欢乐多,嫂子早就做了一桌好菜,其中有上等的雪花肥牛,我惊讶于这顿家宴的奢侈。J君和我说,你不是说刚回国,吃不了这边的普通超市的肉吗,因为一般超市的肉里有添加剂和粘合剂,所以我们特意买了些比较好的食材。&br&&figure&&img src=&/5e2bbff81be9_b.jpg& data-rawwidth=&800& data-rawheight=&600& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&/5e2bbff81be9_r.jpg&&&/figure&&br&我还顺便逗了逗他家那只名为“黑泽明”的猫。&br&&br&&figure&&img src=&/8f1dfbd7d33a402d950b3_b.jpg& data-rawwidth=&960& data-rawheight=&1280& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&/8f1dfbd7d33a402d950b3_r.jpg&&&/figure&&br&席间我说起了刚到杭州的打车难,他建议我下载一个支付宝注册了,让朋友帮忙充点钱进去,基本国内出行就都能搞定。&br&&br&&br&我不禁好奇地问他国内现在移动支付这一块的发展如何。&br&&br&J说现在国内很多大型商超早就支持支付宝付款了,只要扫一扫就可以,不再需要现金和零钱。这些便利早就有,只是我刚回来,体会不到罢了。尤其是在杭州,这里可是淘宝、支付宝的总部,线下支付非常成熟。&br&&br&吃完了饭,他决定要带我这个海外土鳖见识下,J没带钱包,只带手机,还让我什么也不用带,他负责招待,夜游西湖。&br&&br&出门前他按了会手机,接了个电话,下楼出小区后就有uber司机在等候了,到了目的地,费用通过支付宝直接扣掉。&br&&br&我们脚程算快的,白堤苏堤走完只花了四个小时,期间还喝了壶茶,吃了冰激凌,当然也是轻轻一刷,钱货两清。&br&&br&逛完西湖,打车去市中心,吃了海底捞,让我体验了下传说中“海底捞”式服务。&br&&br&&br&国外听说海底捞听了这么久,这算是第一次亲眼见证。当然也是支付宝结算,J告诉我,现在在一线二线城市吃饭,基本都可以通过大众点评等app最后走支付宝结算。甚至J家每个月的水电费都已经是在用支付宝交。&br&&br&因为第二天就要飞武汉参加个聚会,想要买瓶发蜡,他带我去了趟万宁,挑好发蜡,J掏出手机打开支付宝给店员轻松一扫,不消说,又让我这个海外的土鳖目瞪口呆。&br&&br&一圈玩下来,看到国内的支付平台做到如此程度,我也是惊呆了。&br&&br&&br&国外不带现金,只要有信用卡,在大多数地方可以行得通,但是连钱包都不带就能到处消费,真是想不到。从这点上来说,我不得不感慨,国内的支付平台线下市场布局真的非常成熟。&br&&br&我那天回到酒店,躺在床上久久不能入睡,思考为何一个软件,或者说一个支付工具要做如此多的衍生服务。&br&&br&这次支付宝的战略布局,可以说是无孔不入,统筹兼顾。&br&&br&&br&好奇去查了下,支付宝的公司名字叫蚂蚁金融,不知道是不是巧合,关于该公司为何要做出这次战略布局,我想这恰巧可以用航天领域一个有趣的“三次元蚂蚁”理论来理解和阐述。&br&&br&请各位想象有一群蚂蚁,只能按照直线前进,我们称之为一次元蚂蚁,在爬行的过程中,遇到了一块石头,它们就被困住了,因为它们只会单一的前进或后退。&br&&br&对它们来说,这就是世界尽头。&br&&br&这时候又来了一只蚂蚁,也遇到了这个障碍物,但是它属于二次元,不仅可以前后移动,还可以左右绕开障碍物。二次元蚂蚁要绕开的时候,一次元蚂蚁群发话了:&br&&br&“你不能跑出线外!”&br&&br&“为什么?”&br&&br&“这是规矩,大家都这样!”&br&&br&二次元蚂蚁不管不顾,毅然决然地绕了过去,蚂蚁群看到沸腾了,犹豫了半天,终于一个个学会了绕路,但是被领头的蚂蚁远远甩在了后面。&br&&br&它们又往前走,遇到了新的障碍物,一道横亘在眼前看不到尽头的石墙。&br&&br&这时候二次元蚂蚁们着急了,绕都没法绕了。&br&&br&这时候一只三次元蚂蚁出现了,它说我们可以翻过去。&br&&br&蚂蚁群又炸锅了,说你不行的,你别闹腾,你坐下来歇会吧。&br&&br&三次元蚂蚁不管不顾,慢悠悠地翻过了石墙,向着新世界进发了。&br&&br&支付宝就像是一只可以进化的小蚂蚁,在它只有支付功能的时候,它没有满足于单调的世界,反而积极开发各种线上服务,支付水电费,购买电影票,汽车票,火车票,而在它将这两点不断完善的同时,却又要提出新的布局。&br&&br&&br&我想,这次改版的布局重点,一定就是线下了。&br&&br&看了下支付宝的新闻,线下布局的确是重中之重,这次布局强调了打车支付,支付宝医疗挂号,地铁公交充值,商超餐饮结算等等,虽然这里面的很多功能,是目前很多人用都没用过,甚至完全不知道的东西。&br&&br&但是都已经先布局好了。&br&&br&&br&我开始思考,是否离开大陆的这些年,大陆已经完全变成了我完全不了解的另一个样子——单单线下支付这一块,就让大陆的人们比北美的人们生活便利的多。&br&&br&我也开始思考这么一家公司,为何能一步步完成这样一个庞大的布局,如何成为了国内互联网金融公司的巨头。&br&&br&不得不承认,很多时候,大多数平凡人看待问题就像是后知后觉的低次元蚂蚁,譬如炒股,总是在无谓地追涨杀跌,譬如恋爱,总是被动等待,譬如去改变自我,总是迫于形势,不得不做。&br&&br&一种是被动改变,做得再好,也只能像雨水缓慢冲刷石阶般,变化终究有限。&br&&br&一种是主动进化,自我觉醒,所以才能展现出如黄河决堤,山岳崩塌,摧枯拉朽般的威力。&br&&br&纵览支付宝的发展历程,有独领风骚的妙手,也有后知后觉,痛定思痛后的奋起猛追。&br&&br&支付宝希望自己不再只是一个工具。&br&&br&可是人和物的关键区别就是会思考,要怎么突破呢?&br&&br&想起了阿凡达星球上的生命之树,本来只是植物,只是各种根系延伸得广了,从天空陆地到海洋,相通相融,最终竟有了智慧。&br&&br&支付宝这次的布局,专门开辟了一个叫做“商家”的tab,连接亿万商家,不就是为了扎根线下打基础吗?&br&&br&其实这还不够。&br&&br&我同时也注意到,这次也有个新的tab,叫“朋友”。&br&&br&“商家”和客户连接,客户和“朋友”连接。人人却都需要和支付宝连接,如此一来,这个产品才算真正活了起来。&br&&br&再举个布局的例子。&br&&br&RICOH(中国)公司总部在上海,每年的销售业绩往往是珠三角或长三角独占鳌头。&br&&br&可是有一年,北方一个省份却像一匹黑马,遥遥领先,并且接下来年年都是如此。&br&&br&总部派人来调查分析原因。&br&&br&原来这个省份15个地级市的经销商组成了一个超大的平台,共同进退,又分别渗透到各自的市辖区,渗透到各个门店。几百家店铺联合,吞吐设备的体量惊人。&br&&br&这次商业联合作为经典案例分析,被写进了清华MBA教科书。&br&&br&这个案例的缔造者,就是我的父亲。&br&&br&当时我不理解为何他在我在我19岁起就不再给我任何的生活费用,让我在上大学的城市里,在他下属的分公司匿名作兼职。&br&&br&我当时也不清楚为何他在炎热的夏日,不呆在公司,坐在宽大的老板椅上舒舒服服地吹空调,却要拉着我跑遍全省的门店做调研,两个人晒成黑炭。&br&&br&直到多年后一家人从容移民温哥华,那边有些老板不得不经常往返国内外,而他却和母亲舒舒服服地环游世界,七个副总把整个公司打理得井井有条,每年业绩喜人。&br&&br&直到后来我做房产买卖的工作时,面对形形色色,比我强大得多的客户能够不慌不忙,从容应对,不禁感激早年见到的人多了,已在不知不觉中锻炼出了识人的幼功。&br&&br&经过这么多年,我才理解了当时父亲的对我成长的“布局”。&br&&br&其实了解一个支付平台,一家公司的长远布局,可能就像是交朋友一样吧,有的人你和他相处,一开始看起来光鲜,处处吸引大家的目光,可是随着新鲜期过后,渐渐的对他失望起来。因为这种人就像是后花园里的一潭死水,虽然精致,却毫无生机。&br&&br&也有的人,和他一开始相处,可能平平无奇,不过随着时间的推移,会发现这类人身上有越来越多的优点,你想要的,需要的,他早就默默地准备好了,或者在努力践行着,你和他在一起,也会情不自禁地被他浑身散发出的勃勃生机所感染。&br&&br&第一种人见得越多,就越发能体会第二种人的好。&br&&br&或许,这也就是我愿意和J做朋友的原因吧。
作为一个从不网购和炒股的海外党,在国外基本是和支付宝无缘的。 不过这次回国月余,国内的线下支付让我感触颇深,简直可以用震撼来形容。 在北美呆过的都知道,商家标价喜欢以x.99结尾,去超市购物,最后会收获大量的美分硬币,花都花不出去。 至于我所居…
谢邀。&br&&br&这次支付宝改版引来了一些争议,那么支付宝为什么还要折腾呢?&br&&br&对此,腾讯科技睿见作者keso最近也专门写了一篇《&a href=&///?target=http%3A///a/edce4269a.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&支付宝不折腾能死?&i class=&icon-external&&&/i&&/a&》进行了解释。&br&&br&&b&来看看他是怎么说的:&/b&&br&支付宝9.9版如期发布,恶评也如期而至。阿禅说:“讲个笑话,支付宝界面又改版了。”前支付宝首席产品设计师白鸦认为,改一次版,就让用户找不到自己常用的功能,这是以公司意志强奸用户意志,是对用户的极大不尊重。&br&&br&其实这个版本的支付宝已经内测了挺长一段时间,作为内测用户,我还参加了几次产品沟通会,毫无例外地,每次我都会当面吐槽。支付宝有一颗微信的心,我总是这样调侃,同时我也非常清楚,无论外界怎样吐槽,支付宝的人决不会改变他们的想法。会有一些妥协,比方你批评说,企图通过增加一个天气模块来提高用户打开率,纯属做梦,他们会虚心接受,并在第二天的版本中去掉天气模块。如果你批评说,支付宝企图通过引入用户关系来建立一个所谓的生活圈,这纯属一厢情愿,他们会笑笑,然后继续尝试。&br&&br&&p&人人都知道,阿里系没有做社交的基因;人人都知道,钱包里面不是个打情骂俏卿卿我我的合适场所;人人都知道,社交切入支付属于顺水推舟,支付切入社交属于缘木求鱼。人人都不看好,人人都说不可行,人人都会看过第一眼就开骂,支付宝仍然一意孤行,坚持往绝路上走,这事儿恐怕就不是无视用户习惯这么简单了,一定有不得不这么干的充足理由。&/p&&br&&br&如果你看过5月份玛丽o米克今年的互联网报告,不知你对下面这张幻灯片还有没有印象。&br&&figure&&img src=&/84fab36f3c1fe807c520f09_b.jpg& data-rawheight=&480& data-rawwidth=&640& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&/84fab36f3c1fe807c520f09_r.jpg&&&/figure&&br&支付宝2004年创办,12年辉煌,12年艰辛。微信支付是日随微信5.0版面世的,刚刚3岁。支付宝的成长算得上神速,但跟微信支付一比,立刻黯然失色。大家都说微信支付潜力很大,潜台词是支付宝十几年间建立的城池还十分稳固,但不经意间,微信支付早就不仅仅是潜力很大了。我家楼下的水果店,柜台上贴着两个二维码,可以分别用微信或支付宝扫码支付。我问女店主,扫哪个码的人更多?她答:“九成以上是微信。”一叶知秋。&br&&br&这就是今天支付宝面临的竞争形势,在支付笔数上,3岁的微信支付把12岁的支付宝远远地甩在身后,难以想象的是,戏剧性的转变就发生在最近一年。这一结果还是在最大电商平台淘宝排他性地独家支持支付宝的情况下取得的,足见微信支付的强大势能。就像你在夸奖一个五岁娃娃将来有可&br&能成为一名优秀拳击手,人家已经击倒了如日中天的泰森。&br&&br&支付宝曾经那么牛逼,一如曾经的不可战胜的泰森。通过担保交易,让缺乏任何信任基础的C2C电子商务,在十几年前的中国开始大行其道。快捷支付的推出,是把中国几乎所有的重要银行从观念到设施,一家一家全部搞定的结果,这个结果让用户很爽,但支付平台却几乎得不到任何好处,反而让微信支付这样的后来者省去了逐家与银行沟通,从头开发部署快捷支付基础设施的麻烦。余额宝更是把互联网金融创新的边界推进到一个新领域,一个新高度,余额宝中的钱甚至可以无需取出,直接当现金花,这种便利至今难觅对手。&br&&br&&p&就是这样一个不可一世的支付宝,如今经常自问的问题却是:支付宝靠守成能否守得住?对于负责支付宝业务的蚂蚁金服务国内事业群总裁樊治铭来说,答案显而易见:没戏。&br&&figure&&img src=&/34d35ba39b88b769d0748b3bdf3988e4_b.jpg& data-rawheight=&556& data-rawwidth=&637& class=&origin_image zh-lightbox-thumb& width=&637& data-original=&/34d35ba39b88b769d0748b3bdf3988e4_r.jpg&&&/figure&&br&&/p&&br&作为月活跃用户数位居国内前三的移动应用(据易观千帆统计),如果支付宝不主动攻出去,而是继续固守支付“本分”,别说制约微信支付,恐怕连现有的地位都难保。“如果支付宝只有支付、理财、缴费、转账、信用卡还款这些功能,你打开它的频度能有多高?”樊治铭反问那些让他保持专注、保持纯粹的人,他的意思是,你可能真的喜欢那样一个支付宝,但你肯定不会经常用它,而且慢慢地,你会把越来越多的支付场景转移到微信上。“为什么你们不让微信保持专注?”&br&&br&在外界认为支付宝仍然足够强大的时候,支付宝的管理者却分明感受到死亡的气息。这就是你觉得支付宝一直在折腾,而他们却乐此不疲的原因。没人想死,没人知道自己要死了还一点都不挣扎。他们觉得自己找到了症结,并且开出了惟一正确的药方,只是药物见效需要点时间。&br&&br&我当然完全不认同他们的药方,我认为他们正在做一件自己不懂并且肯定做不好的事,这么做救不了支付宝,甚至可能让支付宝死得更快,而且我肯定不会把我的生活关系放到支付宝上。但有一点我和樊治铭的判断是一样的——支付宝危机深重,不改变根本没有未来,不折腾真的能死。&br&&br&“你们要的那个专注的、简洁的支付和金融工具,我们肯定会按你们的需求做,只是它不叫支付宝,它叫蚂蚁聚宝。”樊治铭说。按樊治铭的构想,将来支付、理财等金融功能全部转移到蚂蚁聚宝,支付宝彻底变成一个大数据支持的完全场景化的生活服务平台。好吧,我无法想象一个名叫“支付宝”的东西竟然没有支付功能。但是支付宝是你们的,你们给自己诊病开药,医死了也是你们自己的事。&br&&br&&p&但我真心希望支付宝活着,并且活得好。&/p&&br&&br&(本文代表作者观点,不代表腾讯科技立场)&br&&br&&i&keso(微信号:kesoview),本名洪波,腾讯科技《睿见》作者,互联网观察者、评论者和企业咨询顾问,毕业于山东大学中文系,独立IT评论人,原IT社区Donews总编辑,以犀利的笔锋、独到的观点著名,被媒体誉为“中国的头号Blogger”。 &/i&
谢邀。 这次支付宝改版引来了一些争议,那么支付宝为什么还要折腾呢? 对此,腾讯科技睿见作者keso最近也专门写了一篇《》进行了解释。 来看看他是怎么说的: 支付宝9.9版如期发布,恶评也如期而至。阿禅说:“讲个笑话,支付宝界面又改…
谢邀,不过我看到一楼答案50多票赞同后就不想写了。&br&提问是大型支付系统的风控和对账是如何实现的,答案却是从商户角度谈使用支付公司产品对账的体验。&br&&br&不过,我今天看到@黄继新 也在其他问题中逆袭了一把,质疑了第一答案。所以我就先放在这里,如果赞同数超过35票,我就把我所做的支付结算系统相关业务经验分享给大家,否则就算啦~&br&&br&另,暂时没有答案,欢迎折叠。&br&&br&鉴于已经有30票了,看这样子超过35是没什么太大问题,由于内容众多,我先准备起来了&br&请大家稍安勿躁&br&------------------------------------------------------------扯淡的分割线----------------------------------------------------------&br&
先扯淡一下对账,这坑有点大,容我慢慢填。刚刚打了半小时的草稿由于没保存,死机后被系统吃掉了……知乎貌似原来有自动保存功能的……去哪里了……&br&
业务上,为何对账,对账的操作步骤等@詹世波已经说得很多了,我谈谈一些没涉及的。&br&&br&关于对账更深层次的理解,请各位关注我的专栏,我会不定时在专栏里分享我关于支付业务的理解。&br&&br&
为了可以更好地解释支付结算系统对账过程,我们先把业务从头到尾串起来描述一下场景,帮助大家理解:&br&
一个可能得不能再可能的场景,请大家深刻理解里面每个角色做了什么,获取了哪些信息:&br&
某日阳光灿烂,支付宝用户小明在淘宝上看中了暖脚器一只,价格100元。犹豫再三后小明使用支付宝网银完成了支付,支付宝显示支付成功,淘宝卖家通知他已发货,最近几日注意查收。&br&&br&
我们来看看这个过程中有几个相关方,分别做了什么。我语文不好,写得饶口,如果看不懂请多看几次:&br&&b&小明:&/b&持卡人,消费者,淘宝和支付宝的注册会员,完成了支付动作,自己的银行账户资金减少,交易成功。&br&&b& 银行:&/b&收单银行,接受来自支付宝的名为“支付宝BBB”的100元订单,并引导持卡人小明支付成功,扣除小明银行卡账户余额后返回给支付宝成功通知,并告诉支付宝这笔交易在银行流水号为“银行CCC”&br&&b&支付宝:&/b&支付公司,接收到淘宝发来的订单号为“淘宝AAA”的商户订单号,并形成支付系统唯一流水号:“支付宝BBB”发往银行系统。然后获得银行回复的支付成功信息,顺带银行流水号“银行CCC”&br&&b&淘宝:&/b&我们支付公司称淘宝这类电商为商户,是支付系统的客户。淘宝向支付系统发送了一笔交易收单请求,金额为100,订单号为:“淘宝AAA”,支付系统最后反馈给淘宝这笔支付流水号为“支付BBB”&br&&br&
以上流程貌似大家都达到了预期效果,但实际上仍然还有一个问题:&br&
对支付公司(支付宝)而言,虽然银行通知了它支付成功,但资金实际还要T+1后结算到它银行账户,所以目前只是一个信息流,资金流还没过来。&br&&br&&b&Tips:&/b&插一句话,对支付系统内部账务来说,由于资金没有能够实时到账,所以此时小明的这笔100元交易资金并没有直接记入到系统资产类科目下的“银行存款”科目中,而是挂在“应收账款”或者“待清算科目”中。大白话就是,这100元虽然答应给我了,我也记下来了,但还没收到,我挂在那里。&br&&br&
对商户(淘宝)而言,虽然支付公司通知了它支付成功,他也发货了,但资金按照合同也是T+1到账。如果不对账确认一下,恐怕也会不安。&br&&br&
倒是对消费者(小明)而言:反正钱付了,你们也显示成功了,等暖脚器呀等暖脚器~&br&&br&
基于支付公司和商户的困惑,我们的支付结算系统需要进行两件事情:一是资金渠道对账,通称对银行帐;二是商户对账,俗称对客户帐。对客户帐又分为对公客户和对私客户,通常对公客户会对对账文件格式、对账周期、系统对接方案有特殊需求,而对私客户也就是我们一般的消费者只需要可以后台查询交易记录和支付历史流水就可以了。&br&&b&
我们先聊银行资金渠道对账,由于支付公司的资金真正落地在商业银行,所以资金渠道的对账显得尤为重要。&/b&&br&
在一个银行会计日结束后,银行系统会先进行自己内部扎帐,完成无误后进行数据的清分和资金的结算,将支付公司当日应入账的资金结算到支付公司账户中。于此同时,目前多数银行已经支持直接系统对接的方式发送对账文件。&br&
于是,在某日临晨4点,支付宝系统收到来自银行发来的前一会计日对账文件。根据数据格式解析正确后和前日支付宝的所有交易数据进行匹配,理想情况是一一匹配成功无误,然后将这些交易的对账状态勾对为“已对账”。&br&&br&&b&Tips:&/b&此时,对账完成的交易,会将该笔资金从“应收账款”或者“待清算账款”科目中移动到“银行存款”科目中,以示该交易真正资金到账。&br&&br&以上太理想了,都那么理想就不要对账了。所以通常都会出一些差错,那么我总结了一下常见的差错情况:&br&1.支付时提交到银行后没有反馈,但对账时该交易状态为支付成功&br&这种情况很正常,因为我们在信息传输过程中,难免会出现掉包和信息不通畅。消费者在银行端完成了支付行为,银行的通知信息却被堵塞了,如此支付公司也不知道结果,商户也不知道结果。如果信息一直没法通知到支付公司这边,那么这条支付结果就只能在日终对账文件中体现了。这时支付公司系统需要对这笔交易进行补单操作,将交易置为成功并完成记账规则,有必要还要通知到商户。&br&&br&&b&此时的小明:估计急的跳起来了……付了钱怎么不给说支付成功呢!坑爹!&/b&&br&&br&&b&TIPS:&/b&通常银行系统会开放一个支付结果查询接口。支付公司会对提交到银行但没有回复结果的交易进行间隔查询,以确保支付结果信息的实时传达。所以以上情况出现的概率已经很少了。&br&&br&2.我方支付系统记录银行反馈支付成功,金额为100,银行对账金额不为100&br&这种情况已经不太常见了,差错不管是长款和短款都不是我们想要的结果。通常双方系统通讯都是可作为纠纷凭证的,如果银行在支付结果返回时确认是100元,对账时金额不一致,可以要求银行进行协调处理。而这笔账在支付系统中通常也会做对应的挂账处理,直到纠纷解决。&br&&br&3.我方支付系统记录银行反馈支付成功,但对账文件中压根不存在&br&这种情况也经常见到,因为跨交易会计日的系统时间不同,所以会出现我们认为交易是23点59分完成的,银行认为是第二天凌晨0点1分完成。对于这种情况我们通常会继续挂账,直到再下一日的对账文件送达后进行对账匹配。&br&如果这笔交易一直没有找到,那么就和第二种情况一样,是一种短款,需要和银行追究。&br&&br&
以上情况针对的是一家银行资金渠道所作的流程,实际情况中,支付公司会在不同银行开立不同银行账户,用以收单结算(成本会降低),所以真实情况极有可能是:&br&临晨1点,工行对账文件丢过来(支行A)&br&临晨1点01分,工行又丢一个文件过来(支行B)&br&临晨1点15分,农行对账文件丢过来&br&。 。 。&br&临晨5点,兴业银行文件丢过来&br&。。。&br&
不管什么时候,中国银行都必须通过我方业务员下载对账文件再上传的方式进行对账,所以系统接收到中行文件一般都是早上9点05分……&br&&br&
对系统来说,每天都要处理大量并发的对账数据,如果在交易高峰时段进行,会引起客户交互的延迟和交易的失败,这是万万行不得的&br&&br&
所以通常支付公司不会用那么傻的方式处理数据,而是在一个会计日结束后,通常也是临晨时段,将前一日交易增量备份到专用对账服务器中,在物理隔绝环境下进行统一的对账行为,杜绝硬件资源的抢占。&br&&br&
以上是银行资金渠道入款的对账,出款基本原理一致,不过出款渠道在实际业务过程中还有一些特别之处,由于大家不是要建设系统,我就不赘述了。&br&&br&&b&谈完了资金渠道的对账,我们再来看看对客户帐。&/b&&br&&br&
前面提到了,由于资金落在银行,所以对支付公司来说,对银行帐非常重要。那么同理,由于资金落在支付公司,所以对商户来说,对支付公司账也一样重要。能否提供高品质甚至定制化的服务,是目前支付公司走差异化路线的一个主要竞争点。&br&
就流程而言@詹世波已经说的差不多了,我就不赘述了……&br&&br&&i&----------------------------------------------------------没经过排版的小知识点---------------------------------------------------&/i&&br&之前说过,银行与支付公司之间的通讯都是可以作为纠纷凭证的。原理是对支付报文的关键信息进行密钥加签+md5处理,以确保往来报文“&b&不可篡改,不可抵赖&/b&”。&br&同理,支付公司和商户之间也会有类似机制保证报文的可追溯性,由此我们可以知道,一旦我方支付系统通知商户支付结果,那么我们就要为此承担责任。由此我们再推断一个结论:&br&&b&即便某支付订单银行方面出错导致资金未能到账,一旦我们支付系统通知商户该笔交易成功,那么根据协议该结算的资金还是要结算给这个商户。自然,我们回去追究银行的问题,把账款追回。&/b&&br&&i&----------------------------------------------------------没经过排版的小知识点--------------------------------------------------- &/i&&br&&br&一、对支付系统而言,最基本的对账功能是供商户在其后台查询下载某一时间段内的支付数据文件,以供商户自己进行对账。&br&
这个功能应该是个支付公司就有,如果没有就别混了。&br&二、对大多数支付系统而言,目前已经可以做到对账文件的主动投送功能。&br&
这个功能方便了商户系统和支付系统的对接,商户的结算人员无须登录支付平台后台下载文件进行对账,省去了人工操作的麻烦和风险。&br&&br&
对大型支付系统而言,商户如果跨时间区域很大,反复查询该区域内的数据并下载,会对服务器造成比较大的压力。各位看官别笑,觉得查个数据怎么就有压力了。实际上为了这个查询,我最早就职的一家支付公司重新优化了所有SQL语句,并且因为查询压力过大服务器瘫痪过好几次。&br&
现在比较主流的做法是把商户短期内查询过、或者经常要查询的数据做缓存。实在不行就干脆实时备份,两分钟同步一次数据到专用数据库供商户查询,以避免硬件资源占用。甚至……大多数支付公司都会对查询范围跨度和历史事件进行限制,比如最多只能查一个月跨度内,不超过24个月前的数据……以避免服务嗝屁。&br&&br&对账这块大致就这样了,再往细的说就说不完了,大家有什么想问的可以单M我或者回复答案。&br&稍后给大家讲一下风控。&br&-----------------------------------------------风控的分割线-------------------------------------------&br&风险控制,在各行各业都尤其重要。&br&金融即风险,控制好风险,才有利润。&br&虽然第三方支付严格意义上说并非属于金融行业,但由于涉及资金的清分和结算,业务主体又是资金的收付,所以风险控制一样非常重要。&br&&br&对支付公司来说,风控主要分为合规政策风控以及交易风控两种。&br&前者主要针对特定业务开展,特定产品形态进行法规层面的风险规避,通常由公司法务和风控部门一起合作进行。例如,一家公司要开展第三方支付业务,现在要获得由人民银行颁发的“支付业务许可证”。遵守中国对于金融管制的所有条规,帮助人行监控洗钱行为……这些法规合规风险,虽然条条框框,甚至显得文绉绉,但如果没人解读没人公关,业务都会无法开展。&br&当然,这块也不是本题所关注的重点,提问者关注的,应当是业务进行过程中的交易风控环节。&br&&br&现在随着各支付公司风险控制意识的加强,风控系统渐渐被重视起来。除了上述提到的合规风控相关功能,风控系统最讲技术含量,最讲业务水平,最考究数据分析的业务就是交易风控环节。&br&&br&对一笔支付交易而言,在它发生之前、发生过程中及发生过程后,都会被风控系统严密监控,以确保支付及客户资产安全。而所有的所有秘密,都归结到一个词头上:规则。风控系统是一系列规则的集合,任何再智能的风控方案,都绕不开规则二字。&br&&br&我们先看看,哪些情况是交易风控需要监控处理的:&br&1.钓鱼网站&br&什么是钓鱼呢?&br&用我的说法,就是利用技术手段蒙蔽消费者,当消费者想付款给A的时候,替换掉A的支付页面,将钱付给B,以达成非法占用资金的目的。&br&还有更低级的,直接就是发小广告,里面带一个类似&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&的网址,打开后和淘宝页面一摸一样,上当客户直接付款给假冒网站主。&br&&br&第一种情况风控系统是可以通过规则进行简单判定的,虽然有误杀,但不会多。&br&通常使用的规则是判断提交订单的IP地址和银行实际支付完成的IP地址是否一致,如果不一致,则判断为钓鱼网站风险交易,进入待确认订单。&br&&br&但第二种情况,亲爹亲娘了,支付公司真的没办法。当然遇到客户投诉后可能会事后补救,但交易是无法阻止了。&br&&br&2.盗卡组织利用盗卡进行交易&br&大家都知道,信用卡信息是不能随便公布给别人的,国内大多信用卡虽然都设置了密码,但银行仍然会开放无磁无密支付接口给到商户进行快速支付之用。&br&所谓无磁无密,就是不需要磁道信息,不需要密码就可以进行支付的通道。只需要获取到客户的CVV,有效期,卡号三个核心信息,而这三个信息是在卡上直接有的,所以大家不要随便把卡交给别人哦~&br&&br&碰到类似的这种交易,风控系统就不会像钓鱼网站这样简单判断了。&br&过去我们所有的历史交易,都会存库,不仅会存支付相关信息,更会利用网页上的控件(对,恶心的activex或者目前用的比较多的flash控件)抓取支付者的硬件信息,存储在数据库中。&br&当一笔交易信息带着能够搜集到的硬件信息一同提交给风控系统时,风控系统会进行多种规则判定。&br&例如:当天该卡是否交易超过3次&br&当天该IP是否交易超过3次&br&该主机CPU的序列号是否在黑名单之列&br&&br&等等等等,一批规则跑完后,风控系统会给该交易进行加权评分,标示其风险系数,然后根据评分给出处理结果。&br&&br&通过硬件信息采集以及历史交易记录回溯,我们可以建立很多交易风控规则来进行监控。所以规则样式的好坏,规则系数的调整,就是非常重要的用以区别风控系统档次高低的标准。&br&&br&例如,我听说著名的风控厂商RED,有一个“神经网络”机制,灰常牛逼。&br&其中有一个规则我到现在还记忆犹新:&br&某人早上八点在加利福尼亚进行了信用卡支付,到了下午一点,他在东亚某小国家发起了信用卡支付申请。系统判断两者距离过长,不是短短5小时内能够到达的,故判定交易无效,支付请求拒绝。&br&&br&规则非常重要,当然,数据也一样重要。我们不仅需要从自己的历史记录中整合数据,同时还要联合卡组织、银行、风控机构,购买他们的数据和风控服务用来增加自己的风控实力。&br&&br&SO,风控是一个不断积累数据、分析数据、运营数据、积累数据的循环过程。&br&&br&好的风控规则和参数,需要经过无数次的规则修改和调整,是一个漫长的过程。&br&不知道大家做互联网,有没有利用GA做过AB测试,同样的,风控系统也需要反复地做类似AB测试的实验,以保证理论和实际的匹配。&br&&br&最后给大家说一个小小的概念:&br&所谓风控,是指风险控制,不是风险杜绝。&br&风控的目标一定不是把所有风险全部杜绝。&br&合理的风控,目标一定是:利润最大化,而不是风险最小化&br&过于严格的风控规则,反而会伤害公司利益(看看销售和风控经常打架就知道了)&br&&br&不光是交易的风控,我们日常制定规则,法规,公司流程,也一定要秉着这个出发点进行规划。&br&&br&以上,基本上差不多了,有问题大家随时留言评论我。&br&谢谢大家原谅我的傲娇,给我点了那么多票赞同,受之有愧。&br&&br&最近(2013年7月)回头看了一下这个答案,感觉有一些描述不够精确,有一些语言不够精炼,思考着是不是重构一下这个答案……
谢邀,不过我看到一楼答案50多票赞同后就不想写了。 提问是大型支付系统的风控和对账是如何实现的,答案却是从商户角度谈使用支付公司产品对账的体验。 不过,我今天看到@黄继新 也在其他问题中逆袭了一把,质疑了第一答案。所以我就先放在这里,如果赞同数…
微信支付不是为了赢。更大的考虑是等&b&支付宝犯错失误&/b&!&br&比如网上购物明显阿里系一家独大,为什么腾讯,百度还往里面挤。明明市场份额不多,还要往里面挤破头。他们存在的意义不是为了打败淘宝,而是等待淘宝失误,只要淘宝一犯错。马上他们就加大投资力度。快速占领市场。微信支付同理。明显看的出来微信支付的发展进度比不上支付宝的,因为他们从来都不想超过支付宝。支付宝做什么,他们抄什么。你吃肉,我喝汤。等你的东西被我抄光了,你的产品优势就少了。所以你就不得不发展。发展是个好东西。可能是正面的,也可能是负面的。&br&一但你出现了什么问题!!那就对不起了!!&br&&b&大哥!!嫂子我会好好照顾的!!!&/b&&br&&br&&br&&br&&br&&b&他们是森林里面的狼,只是在背后默默的看着你,逼着你前进。你一旦犯错,尸骨无存。&/b&
微信支付不是为了赢。更大的考虑是等支付宝犯错失误! 比如网上购物明显阿里系一家独大,为什么腾讯,百度还往里面挤。明明市场份额不多,还要往里面挤破头。他们存在的意义不是为了打败淘宝,而是等待淘宝失误,只要淘宝一犯错。马上他们就加大投资力度。…
泻药。&br&1. 我试图证明,当手机弹出权限窗口时,软件已经在尝试使用权限。&br&海量的截图至少证明了,支付包在非活动的时候试图调用摄像头。&br&但这是否证明了支付宝确实在拍照呢?我没有证据,在&a href=&/question/& class=&internal&&如何评价支付宝 Android 版隐私门? - 信息技术(IT)&/a&问题下,也没有一个人拿出了确凿的证据,证明支付宝拍照并上传了。&br&&br&&u&调用摄像头&/u& 确实不等于 &u&拍照&/u&。(实际上,我们已经可以证明支付宝确实获取到了摄像头前的图像)&br&&br&监控摄像头拍到了一个叫支付宝的家伙,在我没邀请他的时候,开了我家的门。&br&我只能证明,他确实打开了我家的门,但我拿不出证据,说他偷看了我家里的东西。&br&&br&你可以以最大善意来推测,支付宝只是在检查你家门,打开你家的门之后,他什么都没做,直接就走了。&br&但我可以怀疑么,我可以怀疑。我仍然有充分的怀疑理由:因为一个正常的人,不会没事去检查你家的门。一个软件,也没有任何合理的理由,没事去检查别人的摄像头权限。&br&&br&监考老师可以证明你把写满答案的小纸条摊在了试卷的下面,但没有证据证明你看了小纸条上的内容。&br&虽然你死不承认,说你没看,但这有多少信服力?&br&我选择不相信。&br&&br&可是夹带这种事,无论看了没看,本来就足够赶你出考场。&br&&br&2. 我觉得遇到这种事情,合情理的应该是这个乱开别人家门的家伙,出来证明,拿出让人信服的理由解释一下自己,确实只是检查门,确实没有乱动你家东西。应该是面对怀疑的人,出来证明以一下自己的清白。&br&支付宝如果想证明自己清白,为什么还会禁止那个登录会发出拍照声的版本登录;&br&支付宝如果真的清白,为什么刚爆出来的时候,就立刻在服务器端停止了这些权限的申请?&br&&br&你却一个个「小编」出来,用敷衍的说辞,强调自己的正义。&br&我选择不相信。&br&&br&现在再出来一个安全顾问,仗着声音高,懂得如何骂人,不说任何技术解释,直接指着鼻子。&br&&br&我们暂时还拿不出证据证明你窃取隐私,那你倒是拿出一个合理的理由,解释我的疑惑:&br&为什么你不想拍照却总要调用我的摄像头?&br&为什么你不想偷我家东西却撬开了我家门?&br&为什么你不想看却带了小抄到考场?&br&&br&3. typcn最开始,也只是在一个不存在的网站上简单的吐了槽。谁会想到立刻被转到知乎上进行了热烈的讨论。不等一群安全专家仔细研究,支付宝就移除了这个「功能」。试图证明你窃取隐私的人,现在已经很难拿出证据。&br&所有的掌控权都在你手里:&br&- 自从事件被曝光后,支付宝就立刻停止了在非活动时申请摄像头权限。&br&- 支付宝大量功能都是动态加载的,一旦服务器下发指令,所有设备上的证据,对你有利的,对你无利的,都随你安排。&br&&br&现在你自然可以信誓旦旦。&br&&br&4. 「只有安全圈的大牛才有资格做&分析&,其他人都给我滚。你们没有任何权利发出质疑。」这种言语,我看不任何试图和平讨论的意思。&br&现在一切都成死局,我们接触证据的机会已很小。事后诸葛亮,嘲笑当初的战事荒唐。你自己那时在哪呢?&br&&br&&br&5. 我仍然保留我怀疑的权利。&br&我仍然有权利,并将我所知道的,摊到阳光下,看它在经历暴晒后,会剩下什么。无论是盐是砒霜,那都要等结局出来。&br&所有人心里都有了自己的结论,或相信阳光,或相信黑暗。你可以选择相信支付宝,你可以选择相信typcn,但都是你的自由。&br&&br&即便赢不了你,但我仍然可以用脚投票。&br&&br&链接: &a href=&/question//answer/& class=&internal&&如何评价支付宝 Android 版隐私门? - 锦年的回答&/a&&br&&br&+++++++&br&&br&需改了表述,删掉了「有罪」之类会让人争论的内容。这本不是我希望表达的。我通过自己已经掌握的东西,做出我自己的合理猜测。这有什么问题么?&br&&br&知乎上众多的回复者,没有伪造信息直接认定支付宝一定拍照上传了。我做出了我合理的推测,我希望支付宝能出来做出一个合理的解释,但支付宝没有。&br&我不是研究法律的,我不知道在遇到这种情况下知乎保持沉默是否合法,但这一定是不合理的。支付宝在遇到信任危机时,不出来做解释,只是宣告自己正义,给人盖帽子,这不是一个世界级的企业该有的样子。&br&&br&1.评论争议最大的:是「无罪推定」。&br&感谢 &a href=&/people/alex-zhou-52& class=&internal&&Alex Zhou&/a& 对「无罪推定」的解释,&br&&blockquote&无罪推定,疑罪从无。首先要知道什么叫犯罪,只有违反刑法的违法行为才能称为犯罪。也就是说,只有刑事诉讼才有无罪推定原则。民事法律关系中,是没有无罪推定的基础的,罪都不是,何来推定?&br&无罪推定是在刑事诉讼的原则。是被告人对抗公诉人。显然阿里与支付宝用户之间不是刑事诉讼关系,而是民法中消费者与服务商的关系,二者之间是合同关系。&br&民事法律强调的是权利与责任。用户怀疑隐私受到支付宝侵害,此时举证责任倒置,应该是阿里拿出证据证明自己没有侵害用户利益。而不是一口一个消费者都不懂技术,一个一个sb去辱骂那些质疑的人。让用户举证,阿里这种做法无异于耍流氓。&br&&br&用户怀疑支付宝侵犯隐私是有理由的,因为支付宝确实在不恰当的时间动用了不恰当的权限,这是合理怀疑。&br&你怀疑所有你用过的软件偷窥你生活?你有合理怀疑的理由么?&br&方舟子和韩寒是合同关系么?&/blockquote&&br&3. 关于云舒的言语:&br&云舒的几篇文章,&br&&a href=&/question//answer/& class=&internal&&如何评价支付宝 Android 版隐私门? - 云舒的回答&/a&&br&&br&&a href=&/justnow/& class=&internal&&别BB,放码过来拿10万现金吧 - 就一个未完成的故事而已 - 知乎专栏&/a&&br&&br&&a href=&/question//answer/& class=&internal&&如何看待阿里巴巴安全专家云舒针对支付宝隐私门「赏金10万」? - 云舒的回答&/a&&br&几篇文章的主旨都差不多,“哥是技术大牛,知乎大V,你们没哥厉害,都闭嘴。阿里CEO屌吧,我都敢骂他,我骂你怎么了?”全文没有任何正面的解释,支支吾吾不知道胆怯什么。&br&网友的评价:&br&&a href=&/question//answer/& class=&internal&&如何看待阿里巴巴安全专家云舒针对支付宝隐私门「赏金10万」? - 匿名用户的回答&/a&&br&&a href=&/question//answer/& class=&internal&&如何看待阿里巴巴安全专家云舒针对支付宝隐私门「赏金10万」? - Thinkraft 的回答&/a&&br&&br&&br&4. 关于支付宝的辟谣文&br&&blockquote&有人问,“支付宝为什么要调用摄像头拍照、录音这样的权限?”大家可能没有留意到,平时你扫二维码就需要用到摄像头,如果在支付宝里要给好友发送一条语音就需要用到录音这样的权限。支付宝只会根据需要申请权限,没有也不会去侵犯、泄露用户的隐私信息。&/blockquote&这一点已经被讨论的足够多,支付宝并没有按他的说法那样,在使用到摄像头时采取申请摄像头权限。权限拦截工具不可能提前也不可能预知支付宝会在什么时候使用这些权限,它只会在支付宝使用这些权限时才做拦截和提醒。支付宝再不使用相关功能时弹出拦截,也足以说明,支付宝并没有按他所说,只【根据需要申请权限】&br&&br&&blockquote&网帖上说,“支付宝安卓版每隔X分钟会在后台开启摄像头拍照,录音X秒,然后上传到服务器上”等等,这些说法纯属毫无根据的造谣。申请摄像头授权不等于实际启动摄像头。……&/blockquote&原推作者也声明了自己没有找到足够的证据。只是从硬件使用情况,一些 remote config file 和网络流量来判断。在被媒体转发后,推测变成了【声称】,又变成【曝光】。&br&申请摄像头授权等于实际调用摄像头。我已经解释了。&br&&br&&blockquote&为了提高用户体验与使用流畅度,支付宝在用户登录后,会提前触发相关权限的申请。这样,用户就不会被系统提示的授权申请打断。&br&&/blockquote&摄像头、录音这类涉及特别隐私的权限,权限管理工具默认是不会勾选【下次不再提醒】的选项的。也就是说,除非两次调用时间间隔十分小,小到以秒计算,否则,摄像头、录音每次调用都会弹窗。这样的【优化】作用微乎其微,但隐患却大到不可估计,这样优化根本无法理解,也不能让人信服。&br&&br&5. 动机&br&&br&在动机方面,没有用只是目前没有用,等到需要的时候,这些照片能说明很多事。但有用与否,在阿里之外的人,是无法明确知道的。&br&&br&- 认为支付宝没有动机的,观点大多是,存储和分析代价太大。而我却认为,这代价在阿里这样的公司面前简直微乎其微。我们在淘宝上进行一次简单的搜索,需要的计算量就不是我们普通PC可以估量的了。而如果只是面部识别和分析我们手机里的相机都能可以进行。说存储和手机流量消耗,一个用户以一个月拍一千张每张5K的照片,也不过需要5M的流量和存储,一个月我们在淘宝上搜索,购买,交易,产生的数据也远不止这个数字。重要的是,照片只要静态存储即可,需要才拿出来分析,购买记录等数据却要长期参与整个淘宝的数据分析。相同数据体积的代价,后者是前者的成千上万倍。&br&&br&在动机方面,反对支付宝的人最关心的,是支付宝取消手势密码所使用的【大数据】到底是什么。关于动机,我们需要的支付宝方面能对此做出一个合理的解释:&br&&br&- 支付宝取消手势密码的大数据到底是什么?&br&- 指压感应?解除面积?时间间隔?这些如何拿出来证明一个人唯一?更何况不是所有手机,都有对应的硬件基础。&br&- 为什么我刻意改变改变使用时手的接触面积、时间间隔,这些验证从没有失败过?&br&- 支付宝如果真的拍了照,那么这个【大数据】分析将变得异常简单而且容易理解,支付宝有没有这么做?&br&- 为什么最开始的支付宝没有出现如此频繁申请摄像头权限?&br&- 为什么在去除手势密码前不久,支付宝开始频繁申请摄像头?&br&- 为什么在去除了手势密码后的第一个版本,登陆会出现了拍照声?&br&- 为什么这个版本还被特殊对待,单独被禁止登陆了?
泻药。 1. 我试图证明,当手机弹出权限窗口时,软件已经在尝试使用权限。 海量的截图至少证明了,支付包在非活动的时候试图调用摄像头。 但这是否证明了支付宝确实在拍照呢?我没有证据,在问题下,也没…
&p&支付宝跟微信的竞争是出租车跟星巴克的竞争。&/p&&p&微信是一个社交工具,支付宝是一个支付工具,一个支付APP一直在跟社交APP对怼。而且在阿里自己内部肯定 很明白这一点的情况下,长期的坚持不懈的在错误的道路上一头走到黑,这将是互联网发展史上的一个搞笑案例。&/p&&p&&br&&/p&&p&他们没有搞明白的是: 红包本质上是一个社交行为,红包的发送,都是植入在对话内容里面的。如‘cici这件事你一定要帮我啊啊啊’。 ‘又要帮你啊,有钱吗。’ ‘对方向你发送了一个红包’。&/p&&p&支付宝以为 这是支付问题。其实不是,这个红包是对话的内容,是人际关系。钱包做的再好不能替代咖啡,虽然喝咖啡需要掏钱,但两个人喝咖啡是为了交流,一个功能很发达的钱包是没有用的。&/p&&figure&&img src=&/v2-d8b1fbebf95cce_b.png& data-rawwidth=&1164& data-rawheight=&746& class=&origin_image zh-lightbox-thumb& width=&1164& data-original=&/v2-d8b1fbebf95cce_r.png&&&/figure&&p&&br&&/p&&p&历史上曾经有一个有趣的案例,是一个卖的不错的领带企业开发出了一种擦眼镜的功能,就是把领带的背面做了块绒布,现在领带可以擦眼镜了,多好,结果根本没人买。你想想这傻死了,领带是时尚的、是面子问题、是社交性的,谁TMD想用它来擦眼镜?&/p&&p&&br&&/p&&p&对于支付宝,恰恰不应该关注的就是发红包,而是应该反过来想,有什么跟钱有关的东西,不适合在社交场景做?太多了。红包只不过发着玩而已,但有谁愿意把自己真正与钱相关的东西放在社交场合上?&/p&&p&真实的心理活动是,跟钱真正相关的东西都是讳莫如深的。&b&这才是重要的地方。&/b&&/p&&p&&br&&/p&&p&微信的 关键词是:撩。(或者是聊)&/p&&p&支付宝关键词是: 钱。&/p&&p&钱!钱!钱!&/p&&p&钱!钱!钱!&/p&&p&把最本质的东西搞搞清楚。&/p&&p&&br&&/p&&p&钱的问题,如此重要。不把它弄清楚是很stupid的,让我来梳理一下。&/p&&figure&&img src=&/v2-34d2ecbead668ade7bb31_b.png& data-rawwidth=&724& data-rawheight=&786& class=&origin_image zh-lightbox-thumb& width=&724& data-original=&/v2-34d2ecbead668ade7bb31_r.png&&&/figure&&p&&br&&/p&&p&参考上图。钱的问题根据金额大小,是可以分很多不同层次的。每一层次的消费,人群的心理和要求是不一样的。&/p&&p&对于打开率要求最高、最快最不加思索的动作的,主要是在最上面两层,买个菜,发个红包。在这两个层面,用户的需求是什么?&/p&&p&一个字:嘀。&/p&&p&就是我只想按一个键,只想听到一个声,嘀,这事就办完了。&/p&&p&谁能做到这一点,我就用谁。这也是微信在这方面大幅度胜出的原因。最近一年我越来越频繁的使用微信,因为APP打开率本来就高,堪称最方便。&/p&&p&我给小区里小卖店付账,买一瓶农夫山泉 ,为了经常与他交易 ,我加了他支付宝好友,然后有次我要付账了,在支付宝里找到他,打开一看居然是个聊天界面。我心里就蒙逼了一下,我TMD不是在付账吗,你打开一个聊天界面是几个意思啊,谁TMD有功夫跟小卖店老板交流情感啊。&/p&&p&我花了两秒钟没有找到怎么支付,从此以后我全用微信了。&/p&&p&&br&&/p&&p&在这一个层次的支付需求上,支付宝没有意识到,它已经越来越像银行了,巨大,冗余,繁多,一开APP满眼是各种东西,找不到自己想要的。&/p&&p&支付宝的崛起是当初它以互联网思维打倒银行,但是现在,它越来越像当初那个它想要打倒的对象。&/p&&p&下图是我打开支付宝的界面:东西繁多,很多内容根本不想要,页面当中还有内容load半天load不进来。&/p&&figure&&img src=&/v2-ad942f3cff_b.png& data-rawwidth=&640& data-rawheight=&1136& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&/v2-ad942f3cff_r.png&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&&br&&/p&&p&在个人财富的金字塔上,往下看,越往下越是微信不擅长的领域。这下面是巨大的机会。 &/p&&p&当你在做大宗消费的时候,5千元的iphone2万元的出国游。这个时候,你就已经不是很在乎‘嘀’一下能不能解决问题了。这时候你关心安全,关心有没有折扣,关心自身利益得到保障没有。&/p&&p&再往下一层,当你有5到10万进行投资理财,这时候你就更不关注嘀一下快不快捷了。这时候你考虑的是专业度,安全度,权威度,收益。在这些领域,一个高度专业化的金钱或个人金融工具的必要性就越来越强了。&/p&&p&如果再往下一层,到达房贷、长期投资理财,保险、年金,这些金额非常大,时间非常久的领域,用户就完全不愿意跟外界分享信息了,这些领域越私有越好,没人天天在跟别人聊个人债务的。也就是说,社交属性在这一端基本完全去除掉了。&/p&&p&&br&&/p&&p&所以可以有一个非常简洁的判断在这里,金额越大,社交属性越弱,微信越不擅长。而银行基本在最大金额最大长时间领域,是占主导地位的。&/p&&p&所以在银行和微信之间,支付宝作为头号工具,就找不到自己的一个位置吗?&/p&&p&&br&&/p&&p&让我把这个金字塔图改一下。作为一个工具一个app,不要老是想着当网红。总是跟微信死磕那1毛块1块钱的红包。想想自己满足用户什么样的需求.&/p&&figure&&img src=&/v2-0cee49d250e2f45a91d6dc6fa496b9be_b.png& data-rawwidth=&920& data-rawheight=&682& class=&origin_image zh-lightbox-thumb& width=&920& data-original=&/v2-0cee49d250e2f45a91d6dc6fa496b9be_r.png&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&从满足用户不同层次的需求出发。重新构想支付宝究竟是个什么样的产品。&/p&&ul&&li&为什么要用户天天打开你。???&br&&/li&&li&用户一周打开一次,行不行?一个月只打开一次,但成为生活必须动作
,行不行?&br&&/li&&li&用户一个月只打开一次,但接下来30年,每个月都打开,这样行不行?&/li&&/ul&&p&&br&&/p&&p&作为一个非产品经理,打酱油的,我大胆YY一下。 如果让我来搞,我要把支付宝的逻辑推翻,让一个工具重新成为工具,实践‘用完即走’的理念,着眼于用户的&b&长期需求和用户长远利益&/b&,不关注一毛钱两毛钱的小事,管好‘钱’这件事。&/p&&p&这个全新的产品,我先暂时命名它为‘支付屌’。你可以理解 说我是支付界的屌丝,也可以理解为我搞支付我就是屌。&/p&&p&&br&&/p&&p&支付屌这个产品的理念有这么几点:&/p&&p&1. 嘀。领会一下,这就是奥义所在。&/p&&p&嘀。只嘀一下。谁把产品设计成需要点两下,我就把他开除了。只能嘀一下。&/p&&p&&br&&/p&&p&2. 关注用户利益。利益利益利益。重要的事说三遍。&/p&&p&什么花式翻新都是假的,&b&利益是最重要的。&/b&你替用户管钱,你就要主动的为用户利益考虑。我们先不谈各种花式指标,你为用户谋利益了没有。&/p&&p&&br&&/p&&p&3. 钱的事,就是人生。钱是一辈子的事,钱就是你的生活,就是你的一切。这事很重要。&/p&&p&&b&人生管理,就是钱的管理。人生规划,就是钱的规划&/b&。人生过得怎么样,主要看你的钱状态怎么样。&/p&&p&所以像毛主席当年一样,气吞山河的先说一句,‘支付屌,要把地球人的钱管起来’。&/p&&p&怎么实现先不管,跟共产主义一样,理念我先放在这儿。&/p&&p&&br&&/p&&p&然后为了贯彻我的理念,我给你先出个支付屌产品内测版。&/p&&p&我这个产品跟支付宝微信一样,分四个页面。 &/p&&p&这四页是‘小钱’‘中钱’‘大钱’‘很大的钱’。&/p&&figure&&img src=&/v2-6254e8aebdc_b.png& data-rawwidth=&842& data-rawheight=&448& class=&origin_image zh-lightbox-thumb& width=&842& data-original=&/v2-6254e8aebdc_r.png&&&/figure&&p&第一页,小钱。贯彻我的核心理念:嘀。&/p&&p&什么你说付信用卡账单需要点三下?你工号是多少请到财务领工资,你被开除了。&/p&&figure&&img src=&/v2-37f01eeae929dfe07b10510_b.png& data-rawwidth=&634& data-rawheight=&1002& class=&origin_image zh-lightbox-thumb& width=&634& data-original=&/v2-37f01eeae929dfe07b10510_r.png&&&/figure&&p&&br&&/p&&p&二,当你付的钱比较多的时候,主动关注你的利益。&/p&&p&提供个人金融工具,送上可用的优惠,有积分可以抵钱的主动抵扣,要让用户可以对所有支付打分,所有商家都有评分可参考 。&/p&&figure&&img src=&/v2-dd01161a0bf_b.png& data-rawwidth=&652& data-rawheight=&964& class=&origin_image zh-lightbox-thumb& width=&652& data-original=&/v2-dd01161a0bf_r.png&&&/figure&&p&&br&&/p&&p&关于中钱和大钱,给用户更加清晰的指导。鼓励提前规划自己的财务。引导用户关注自己的利益。&/p&&figure&&img src=&/v2-88b9d0db244e753a93bea9_b.png& data-rawwidth=&642& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&642& data-original=&/v2-88b9d0db244e753a93bea9_r.png&&&/figure&&figure&&img src=&/v2-83cc289d65e96ecd1dbe4_b.png& data-rawwidth=&632& data-rawheight=&954& class=&origin_image zh-lightbox-thumb& width=&632& data-original=&/v2-83cc289d65e96ecd1dbe4_r.png&&&/figure&&p&&br&&/p&&p&最后一页,最大的那份钱。引导那些具有个人理财意识 的人,把个人财务状况,甚至家族的财务状况,放到这里来规划。我们的口号是:管好钱=管好人生!&/p&&figure&&img src=&/v2-ce0879ebfe4d42d284ce532a6ca45952_b.png& data-rawwidth=&648& data-rawheight=&968& class=&origin_image zh-lightbox-thumb& width=&648& data-original=&/v2-ce0879ebfe4d42d284ce532a6ca45952_r.png&&&/figure&&p&------------------------&/p&&p&附录:为什么‘中钱’‘大钱’很重要&/p&&p&&br&&/p&&p&2016年基金电子商务交易规模预计达到13万亿元&/p&&figure&&img src=&/v2-093aaceabd481_b.png& data-rawwidth=&698& data-rawheight=&320& class=&origin_image zh-lightbox-thumb& width=&698& data-original=&/v2-093aaceabd481_r.png&&&/figure&&p&&br&&/p&&p&2016年互联网保险的增速是行业整体增速的2倍&/p&&figure&&img src=&/v2-7a31ed3cfc00d4ab7e4b99b273bc3b11_b.png& data-rawwidth=&698& data-rawheight=&262& class=&origin_image zh-lightbox-thumb& width=&698& data-original=&/v2-7a31ed3cfc00d4ab7e4b99b273bc3b11_r.png&&&/figure&&p&&br&&/p&&p&2016年中国整体P2P交易市场规模达到15000亿元&/p&&figure&&img src=&/v2-c12b08bccc4faf6d74d2ad_b.png& data-rawwidth=&702& data-rawheight=&242& class=&origin_image zh-lightbox-thumb& width=&702& data-original=&/v2-c12b08bccc4faf6d74d2ad_r.png&&&/figure&&p&&br&&/p&&p&2016年中国权益众筹市场整体规模达到47亿元&/p&&figure&&img src=&/v2-0ae4c421c81e679f3d9a881e5dff8199_b.png& data-rawwidth=&692& data-rawheight=&236& class=&origin_image zh-lightbox-thumb& width=&692& data-original=&/v2-0ae4c421c81e679f3d9a881e5dff8199_r.png&&&/figure&
支付宝跟微信的竞争是出租车跟星巴克的竞争。微信是一个社交工具,支付宝是一个支付工具,一个支付APP一直在跟社交APP对怼。而且在阿里自己内部肯定 很明白这一点的情况下,长期的坚持不懈的在错误的道路上一头走到黑,这将是互联网发展史上的一个搞笑案例…
这是个好问题。这问题隐含的是:一家公司用什么方法规避管理层窃取公司资产?&br&
财务方面是由财务审计人员每年对公司账务进行审计核对来发现。&br&&b&题主所问的,是内部控制和IT审计方面。&/b&&br&
规避的方法是:马云没有账户权限来对支付宝余额进行操作。&br&
马云可以批准操作,但没有权限执行这个操作,即批准人和操作人是相分离的,中间还有审核人。当然,操作人的行为也受到监控。&br&
每年,还有专门的IT审计人员审计:这个批准人和操作人是否相分离、审核人审核的是否全面、账户权限是否过大或过小或过期等等。&br&
谁有动机来聘请IT审计人员以及设立这个制度?
以阿里巴巴为例,公司不是管理层的如马云,管理层存在动机窃取公司财产的动机,这和股东的利益是对立的,因此股东存在动机聘请专业人士对其公司进行审计。&br&
当然具体的制度和更复杂点,详情请参考《银监会关于XXXXXXXXXXX的指导》&br&&br&链接:&a href=&///?target=http%3A///view/104330.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&内部控制_百度百科&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A///view/1254794.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&IT审计_百度百科&i class=&icon-external&&&/i&&/a&&br&---------------------------&br&&br&3年前的答案了,鉴于很多人有疑惑,我做个补充。&br&&br&开头说了,这问题隐含的是:一家公司用什么方法规避管理层窃取公司资产?,后面用马云,只是用来指代一家公司的管理层。 &br&&br&现代公司架构和会计制度,总是相辅而生的。会计制度能成为一门学科,也是不简单啊,各类互相牵制。&br&从财务上,是整个财务审计来每年对账目进行审查。从IT系统架构上,是IT审计对系统隐患进行审查。&br&&br&从IT系统考虑,CEO完全没必要拥有IT系统的最高权限,没有意义的事情,也造成很多潜在风险。&br&&br&让马云拥有直接修改支付宝余额的IT权限,意义在哪?要知道支付宝也算是公众公司了,不是说马云有很多钱没有动机,就给予这个权限,当然马云可以决议下令修改,这就是公司行为了。
这是个好问题。这问题隐含的是:一家公司用什么方法规避管理层窃取公司资产? 财务方面是由财务审计人员每年对公司账务进行审计核对来发现。 题主所问的,是内部控制和IT审计方面。 规避的方法是:马云没有账户权限来对支付宝余额进行操作。 马云可以批准操…
谢邀&br&又要实名反对最高票答案了。(文末有更新)(文末又有更新)(又有更新。呃,自己成为最高票答案了)&br&&b&利益相关&/b&:利益相关&br&&br&&p&---------背景说明---------&/p&之前 &a data-hash=&fb6c7a5a746e& href=&///people/fb6c7a5a746e& class=&member_mention& data-editable=&true& data-title=&@支付宝& data-hovercard=&p$b$fb6c7a5a746e&&@支付宝&/a&
邀请了蚂蚁森林的产品经理回应了一个类似的回复,那个回复也是对蚂蚁森林有误解,也是最高票。见:&a href=&/question//answer/& class=&internal&&如何看待支付宝 2017 年又一次推出「集福红包」活动?&/a&&br&&br&我将蚂蚁森林产品经理的回复整理了一下,再补充了一些内容,答复如下 。&br&---------分割线---------&br&&br&&b&一、我们为什么要做蚂蚁森林&/b&&br&&br&很多道理,大家都懂,但难以坚持,比如减排。每个人都讨厌雾霾,大多数人愿意为减少雾霾做点事,但都很难坚持:因为个体的一次绿色行为,并不能直接影响这个世界。缺乏&b&正向反馈&/b&,便难以持久。&br&&br&蚂蚁森林是一个尝试,尝试用互联网的方式,对用户的消费行为产生影响,激励绿色消费。通过&b&设定目标&/b&(养成一棵虚拟的树)、&b&加入互动&/b&(相互浇水、采集能量),来不断加强用户的参与环保的意识。&br&&br&目前看下来,效果还是不错的。蚂蚁森林没有做什么广告,也没花钱做推广。上线快半年,已经有超过6000万用户参与。截止2017年1月,已有76万棵虚拟的树在蚂蚁森林养成。&br&&br&其实我们有个更宏大的目标:为每个用户提供一个「&b&碳账户」&/b&,来记录低碳行动,继而鼓励更多的低碳行动。将来条件成熟,甚至还可能实现碳资产买卖、投资。蚂蚁森林只是碳账户第一步。&br&&br&希望蚂蚁森林的形式和数据能给公益界和互联网界一点启发。互联网界有想法、有流量、有产品,公益界有目标、有需求,双方理应有&b&更多的交集&/b&。大家有好玩的想法,如果愿意,也可以分享给出来。&br&&br&&b&二、蚂蚁森林真能改善环境?&/b&&br&&br&参与蚂蚁森林的用户,至少在两个维度上改善着地球的环境:&br&&blockquote&&p&1,蚂蚁森林鼓励绿色消费,如获得绿色能量较高的地铁出行(相比于汽车)、网上缴费(相比于去营业厅)这些行为都能&b&减排&/b&;&/p&
&p&2,当虚拟的树养成后,我们会和合作伙伴在沙漠以你的名义种下一棵真树。如前所述,截止目前(2017年1月),参与者已养成了76万棵虚拟树,谢谢你们。我们也如约在沙漠里种下了76万棵&b&真树&/b&。&/p&&/blockquote&
&p&并不是消费越多,产生的绿色能量就越大。我们不是鼓励消费,而是&b&鼓励绿色消费&/b&。&/p&&br&怎样的消费才算绿色呢?通过与中国北京环境交易所 (CBEEX)合作,我们研发出一套算法,目前涵盖以下 9 种活动:网购火车票、网络购票、地铁出行、生活缴费、预约挂号、ETC 缴费、缴纳罚款、步行和线下支付。&br&&br&此外,我们也正在接入包括共享自行车骑行、电子发票、绿色包裹、电动汽车充电桩等低碳活动。希望通过这样的激励机制来鼓励用户进行绿色消费。&br&&br&&p&&b&三、我们通过蚂蚁森林获取用户信息?&/b&&/p&&br&这是误解。蚂蚁森林其实没有对用户个人信息进行额外的授权请求。所有的相关授权都是基于支付宝服务协议,只是在开通蚂蚁森林时再次告知用户,并让用户进行了二次确认。&br&(支付宝服务协议见:&a href=&///?target=https%3A///fd-inhm9zcq/index.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&支付宝服务协议&i class=&icon-external&&&/i&&/a& )&br&&br&依据法律法规规定,作为一个第三方支付平台,支付宝不仅需要识别用户身份,还需要依法保存相关交易信息(如出于反洗钱需要等)。我们对用户数据的采集和使用都是遵循用户协议及相关法律法规的。所以并不存在有交易信息是蚂蚁森林有而支付宝没有的。&br&&br&还有,你授权蚂蚁森林记录、使用的信息仅会在蚂蚁森林里使用。此外,如果你不想好友看到能量球的数值,可以在蚂蚁森林的页面点击【设置】-【隐藏能量球数值】。如果想关闭蚂蚁森林,可以点击【设置】-【关闭蚂蚁森林】。&br&&br&此外,一些网友对「用户使用须知」后续的修改有困惑,担心我们会随时、任意的修改。实际上:&br&&blockquote&1,协议是一件很严肃的事情,需要经过审慎合法的程序才能生效。而且即便有修改,也是需要一整套流程,不是「任意」修改,也不是我们想改成怎样就怎样;&br&&br&2,「用户使用须知」里的相关表述是行业惯例。不放心的话,大家可以看一下其他常用App服务协议的相关条文。&/blockquote&&br&&b&四、感激&/b&&br&&br&做蚂蚁森林我们没有背任何社交上的KPI,有人呼朋唤友来,我们欢迎;有人愿意默默种树,不加好友不互动,我们同样欢迎。重要的是减排,是种树,而不是社交。&br&&br&谢谢蚂蚁森林的用户,不管你是和朋友一块种树,还是一个人种树,谢谢你,为地球做的贡献。&br&&br&ps,打开高德地图,搜「蚂蚁森林,阿拉善(我们的合作伙伴)」。&br&&br&可以看到这批树,就在那里。&br&&figure&&img src=&/v2-80af66ea44cea6e12c1829d_b.png& data-rawwidth=&822& data-rawheight=&1458& class=&origin_image zh-lightbox-thumb& width=&822& data-original=&/v2-80af66ea44cea6e12c1829d_r.png&&&/figure&&br&&br&&figure&&img src=&/v2-b15a541fef_b.jpg& data-rawwidth=&640& data-rawheight=&426& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&/v2-b15a541fef_r.jpg&&&/figure&&br&【如果你看到上图中的「树」产生了困惑,请戳:&a href=&///?target=http%3A//mp./s/Gn5G5fYAhLgGi-8nTLW6Hw& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&看完这张照片,云某气的差点就收山了&i class=&icon-external&&&/i&&/a&】&br&&br&&br&&br&&br&&br&&br&&br&---------分割线---------(以下更新于)&br&&br&&p&因为知乎回复的排名有自己的算法,不是仅依据点赞数,且点赞数和排名都会时不时变化。严谨起见,只能圈答主了。我在原文中针对的是 &a data-hash=&3b1c5261cbf49ddc4c019& href=&///people/3b1c5261cbf49ddc4c019& class=&member_mention& data-editable=&true& data-title=&@夏宇& data-hovercard=&p$b$3b1c5261cbf49ddc4c019&&@夏宇&/a& 的原答案(如下图):&/p&&br&&br&&figure&&img src=&/v2-464909becb4fd4f319b05d_b.png& data-rawwidth=&869& data-rawheight=&757& class=&origin_image zh-lightbox-thumb& width=&869& data-original=&/v2-464909becb4fd4f319b05d_r.png&&&/figure&&br&如图。他最初的回复是质疑「蚂蚁森林的用户使用须知」,称「你把这些信息卖了,居然是为了获得绿色能量」、「马云能够一度成为首富,阿里巴巴靠什么媒体已经挖清楚了,支付宝靠的就是利用这些有的没的获取广大使用者的隐私然后变为财富」。&br&&br&这些是不实表述。此回复发布于1月20日,3天内点赞数迅速升至200,答案排名第一。&br&&br&看到他的文章后,正好我之前去找过蚂蚁森林的产品经理确认过「用户协议」的相关问题,于是我又补问了一些问题,并写下了本回复。来表明截图中的这些指控失实。相信看完双方陈述的网友,谁是谁非,应该都有自己的判断。&br&&br&遗憾的是,本文发布后,对方对自己文章中的失实部分避而不谈,反而是又更新了2个问题,让我们来解释,并说「这两个问题回答清楚了,谁都不会再有困惑」。用这样的话术来误导读者,显得好像是我们先就看到了他提的问题,只是避重就轻的没回答。&br&&br&此外,在更新的回复中,这位网友还不断明示或暗示来煽动读者情绪:&br&&blockquote&有朋友给我说我的答案被蚂蚁金服公关了……&br&&br&通知我的朋友问我官网都来说事儿了你这个回答怕不怕被删除……&br&&br&这个问题的更新到此为止,我说了,我也忙,我也只是个个人,和一个公关团队如果议论起来我没这个精力……&/blockquote&&br&其实没有必要自行制造悲情气氛,知乎推崇的是&b&就事论事&/b&。在知乎,「 &a data-hash=&cacdd0d89f19& href=&///people/cacdd0d89f19& class=&member_mention& data-editable=&true& data-title=&@蚂蚁金服& data-hovercard=&p$b$cacdd0d89f19&&@蚂蚁金服&/a&
」是一个账号,「 &a data-hash=&3b1c5261cbf49ddc4c019& href=&///people/3b1c5261cbf49ddc4c019& class=&member_mention& data-editable=&true& data-title=&@夏宇& data-hoverca
