資料來源:Visa,iThome整理,2020年4月

隨著數位支付的使用率提升,線上的支付安全升級也成必然趨勢,不論是防止信用卡被惡意人士盜刷,以及商家保存消費者信用卡號所引發的安全疑慮,一直都是關注焦點。近日,Visa也公布臺灣的支付安全未來3年發展計畫。

根據該公司的規畫,代碼化技術(Tokenization)的採用將更廣泛,不只是過去Apple Pay、Google Pay等行動支付採用,未來商家的行動App,以及線上商店的卡號保存等,也將全面採用該技術,至於新一代3D Secure(3-DS)驗證的採用,臺灣金融發卡機構將在今年陸續做好準備,部分商戶明年更是要強制採用。

以代碼化技術保護存放的信用卡資料,預計3年內所有商家完成導入

近日,Visa對外公布近三年的臺灣支付安全發展藍圖,進一步提升線上支付的安全,當中有些階段性目標是必須的規範,有些則是建議的選項,期望讓金融業者與提供電子商務的企業,日後在安全方面的投入,可以有更具體的方向。

基本上,他們提出了兩大支付安全焦點值得關注,首先是代碼化技術的推動,將朝向企業商家推進,其次是新一代3-DS驗證系統,已經正式在臺推動,Visa並提出具體時程,讓相關業者都必須提前做好準備。

以代碼化技術而言,它在2014年成為支付產業標準組織EMVCo的正式標準,該技術將信用卡的16位數號碼,置換為另一組16位字串,最主要的目的,就是為了降低資料價值,讓實際的信用卡號碼只會使用在一開始的請求過程中,之後的存放與傳送過程,其實都是使用另一組代碼。

目前,這樣的安全技術早已應用在Apple Pay、Google Pay與Samsung Pay等國際行動支付當中,讓使用者在這些行動支付中所綁定的信用卡,更有保障性。然而,隨著行動支付越來越普遍,Visa也期望將代碼化技術擴及更多應用環節,尤其是對於資料在商家的面向。

例如,在第一階段,今年10月1日前,他們預計要讓商家導入應用程式內交易代碼化,當消費者在應用程式內支付選項中,就可以使用上述已採代碼化技術的行動支付工具來付款。換言之,在商家App內即可呼叫Apple Pay、Google Pay等應用。

到了2021年,Visa期望代碼化的支付資訊,能夠為商家在資訊安全帶來多一層的防護。在1月1日,先是所有收單行(提供刷卡機或網路刷卡機制的機構)的支付閘道業者需支援EMV規格代碼化,國內這類業者包括喬睿科技與CyberSource等,接下來他們希望在7月1日之前,促成儲存信用卡資料的大型店家能達到要求,例如,每年處理100萬筆交易的商戶,在支付帳戶存檔方面都要使用代碼化技術,以保護這些儲存敏感資料,而其他企業也要做好準備,因為在一年後,2022年的7月1日,他們更是希望所有商戶都要準備就緒,保護信用卡資料都要使用代碼化技術。

這麼做有什麼好處?簡單來說,現在的線上刷卡很方便,一些網路商店會詢問消費者是否儲存信用卡號,讓日後消費不用再次輸入,而代碼化技術則可降低資料價值,信用卡組織希望這樣安全的技術,也能用在商家的App之內,讓店家App本身不用處理卡號的資料,而收單行下面的支付閘道業者也要先有能力處理代碼化交易,更進一步,就是讓所有電子商務業者都這麼做,使真正信用卡的資料,不會因為保留在商家或傳送過程遭駭,而被盜取。

對於支付安全的未來發展,Visar近日公布臺灣近三年的支付安全發展藍圖,推動EMV 3D Secure(3-DS 2.0)驗證,以及商戶採用代碼化技術是兩大主軸。

今年支付安全著重在商家App,可呼叫採代碼化技術的行動支付

綜觀Visa在此方面的推動,對於商家儲存信用卡資料的安全性,顯然該公司是希望在三年內,讓商家要以更安全的代碼化技術,來替代傳統保護方式,進一步提升支付的安全。

然而,目前上述這些代碼化技術的應用,其實還不是強制的規定,對此,Visa風險管理部副總經理沈玫芳表示,目前該公司在支付安全提供業界一個方向,等到全球市場的採用程度到達一定水準,不排除讓所有業者都納入。

至於國內商家App的代碼化技術應用現況如何?例如,去年台灣大車隊在其推出的55688 App,於綁定信用卡功能上,採用了業者提供的Token代碼化服務,但國內其他企業店家的App是否也都這麼做,例如,國內全福利中心的PX Pay,以及新光三越百貨的Skm Pay,雖然在其官方網站上指出符合PCI DSS支付卡產業資料安全標準的規範,卻未提及代碼化技術,到底是否已經採用這項技術呢?沈玫芳表示,國內多數業者都還沒有使用代碼化技術,她進一步解釋,目前在App綁定信用卡方面,稱之為Card On File Tekonization,而應用程式內交易代碼化則不同,在應用程式付款時,除了看到輸入信用卡,如果可以在App內看到Apple Pay、Google Pay、Samsung Pay等支付選項,就代表提供In-App Tekonization,也就是今年他們正推行的應用程式內交易代碼化,兩者都是強化現有支付安全的方式,可降低真實信用卡號的外曝風險。

新一代3-DS驗證更名,臺灣有3大行業商家需在2021年1月採用,並期望三年內提供消費者控制權

第二個焦點在於新一代的3-DS驗證的推動,今年終於有了明確的時程,同時,有3類型商家在明年來臨之前必須要遵循。

關於3-DS驗證,1.0版是在2000年推出,國內金融業者都已經導入,至於2.0版,則是在2016年公告。特別的是,沈玫芳指出,自今年開始,Visa開始將3-DS 2.0改稱「EMV 3-DS」。

這項機制,主要提供線上交易用戶身分認證,防止消費者未授權的線上刷卡行為,像是需要接收SMS簡訊來確認,只是過去在3-DS 1.0時代,其實許多國內商家都未提供這個驗證功能,或是選擇只在註冊時採用,不在每筆交易時採用,原因在於當時用戶體驗不好,可能會增加商家的掉單率。而新的EMV 3-DS驗證機制,將利用更多資料來驗證與安全,期望減少消費者煩瑣的驗證步驟,並讓更多商家採用。

以全球各國來看,新版3-DS驗證在歐洲的發展腳步最快,在臺灣也有業者採用,例如,中國信託商業銀行於2019年10月,率先宣布導入這項新的驗證系統,根據該公司說明,過去3DS 1.0系統僅能使用網頁開啟密碼驗證系統,這種方式在行動裝置上網刷卡消費時,驗證視窗容易影響消費體驗,也容易遭受惡意攻擊,引導消費者連結至惡意的釣魚網頁。而在金融業者開始導入新的驗證系統後,當時並無法得知有那些國內商家開始布局。

現在,Visa有了答案,EMV 3-DS驗證在這次公布的安全支付藍圖之中,他們提到幾項目標。首先,他們將促成全臺的金融發卡機構,在今年10月1日前,要有9成都導入EMV 3-DS驗證系統。

接下來,到了2021年1月16日,將開始針對高詐欺風險的電子商務商戶做要求。目前規範那些業者需要採用?沈玫芳表示,目前臺灣強制要求3個類別的商戶,包括交通運輸類、旅行業與電腦服務業,主要原因在於,這些類別在2019年比較容易受到網路攻擊。

而國內主流電商是否使用3-DS驗證?她表示,目前他們持續與收單機構溝通,她並指出,目前臺灣的電商風險並不是那麼高,因此沒有規畫在第一階段的2020年就要完成,他們認為,主要風險都在國外,所以先行採用,例如,歐洲電商的實施比較早。

較值得注意的是,沈玫芳指出,若是商家提早採用EMV 3-DS驗證,這其實意謂著金融機構也要先就緒,主要是因為亞太地區責任移轉計畫,將在4月18日開始,店家可將詐欺責任轉嫁到發卡機構。

最後,他們則是希望給予消費者控制權,時間是在2022年7月1日之前。例如,使用者在沒有出國時,可以自行把國外交易關閉,或是將網路消費關閉,等到消費時才開啟,他們希望銀行可以把這樣的功能,設計到App或網路銀行上,讓客戶加入風險決策過程。

 

新舊3-DS交易驗證系統在使用資料方面的差異

在2019年6月,Visa曾在臺說明3-DS 2.0驗證機制的不同之處,當時就提到,新交易驗證機制將利用更多資料來驗證與安全,像是網購使用的IP位置、瀏覽器時區、時間與電商名稱,以及信用卡持有人的郵件、行動電話、寄送地址等資訊,這些內容將幫助加速判斷交易真偽,簡化流程並降低對於商家掉單率的影響。



3-DS 1.0用以驗證的資料 EMV 3-DS(3-DS 2.0)用以驗證的資料
●Acquirer BIN
●Acquirer Merchant ID
●Browser User-Agent
●Cardholder Account Number
●DS URL
●Message, Extension, Version
●3DS Requestor Authentication Information (Method), Challenge Indicator, ID, Initiated Indicator
●3DS Requestor Authentication Method Verification Indicator
●3DS Requestor Decoupled Max Time, Decoupled Request Indicator
●3DS Requestor URL, App URL
●3DS Server Reference Number, Operator ID, Transaction ID, UR
●Account Type
●Acquirer BIN
●Acquirer Merchant ID
●ACS Decoupled Confirmation Indicator
●Address Match Indicator
●Browser Accept Headers
●Browser Java Enabled, Language, Screen Color Depth, Height, Widt
●Browser Time Zone
●Browser Time ZoneJavaScript Enable
●Browser User-Agent
●Card Expiry Date
●Cardholder Account
●Cardholder Account Identifier, Billing Address
●Cardholder Account Number
●Cardholder Email Address, Home Phone Number, Mobile Phone Number, Work Phone Number
●Cardholder Name
●Cardholder Shipping Address
●Device Channel, Device Information, Rendering Options Supported
●DS Reference Number, Transaction ID
●DS URL
●EMV Payment Token Indicator, Payment Token Source
●Information (Account Age, Change, Password Change, Number of Transactions per Day / Year, Shipping Name Indicator, Suspicious Activity, Payment Account Age etc
●Instalment Payment Data
●IP address
●Merchant Category Code
●Merchant Country Code
●Merchant Name
●Merchant Risk Indicator (Delivery Timeframe, Re-order, Pre-order, Gift Card)
●Message Category, Extension, Type, Version
●Message Category, Type
●Purchase Amount, Currency, Date & Time
●Purchase Date & Time
●Recurring Expiry, Frequenc
●SDK App ID, SDK Encrypted Data, Ephemeral Public Key
●SDK Reference Number, SDK Transaction ID
●Transaction Type
●Whitelisting Status, Status Source
※另外還可加上Travel Industry的資料

特別值得一提的是,目前國際支付產業標準組織EMVCo也在推動無摩擦認證Frictionless Authentication,包括像是與FIDO聯盟合作,並與Secure Remote Commerce(SRC)工作小組持續推動。

對於去年剛成形的SRC標準,這次我們詢問Visa亞太區風險負責人Joe Cunningham,他表示,這項機制目的是讓交易更加流暢,對持卡人與商戶來說,可以更方便。而這樣的機制需要以代碼化技術做為基礎,同時也跟EMV 3-DS驗證系統相輔相成,也是他們發展的一個環節。


Advertisement

更多 iThome相關內容