蘋果宣布將推出Apple Pay行動支付平臺後,來實現刷卡不用拿卡,付錢不用帶錢包的購物模式,引起各界討論,預計今年10月於美國上路。(照片提供/Apple)

圖片來源: 

Apple

行動支付在近年一直是眾多業者爭相瓜分的大餅,各種電子錢包與手機信用卡服務陸續推出,蘋果日前宣布推出Apple Pay行動支付服務後,立刻掀起各界熱烈討論,除了探討Apple Pay對行動支付產業帶來的影響與衝擊外,技術層面也大受關注。

曾一手打造出東森購物平臺的酷米移動傳媒執行長許世杰認為,Apple Pay能創造出新的行動支付時代,但關鍵並非是NFC感應技術或是指紋辨識機制,而是背後所採用的Token技術,這是將信用卡帳號轉換為一組隨機代碼作為交易用的憑證,他認為,這才是真正取代過去以信用卡為基礎的行動支付模式。

蘋果Passbook電子錢包再升級,可新增信用卡支援Apple Pay

根據蘋果揭露的Apple Pay行動支付模式,消費者結帳時,只要開啟iPhone手機的Passbook應用程式,選擇一張信用卡,藉由Touch ID做指紋辨識,再以NFC感應後即可完成消費,不需要從皮夾掏出信用卡,也不用在手機中輸入任何卡號資訊或其他驗證程序。

這個Passbook就像一個虛擬皮夾,使用者可以將優惠券、登機證、活動門票、會員卡或其他類型的行動支付票卡等統一集中儲存在應用程式上,未來Apple Pay行動支付服務啟動之後,使用者可以將信用卡、金融卡放進這個虛擬皮夾,進一步實現刷卡不用拿卡,付錢不用帶錢包的購物模式。

真正的卡號不會存在iPhone手機或蘋果伺服器,更不會流經商家

消費者若要在Passbook新增一張信用卡,可手動輸入卡號,或使用iSight相機拍攝信用卡的正面,Passbook會辨識出卡號並將其轉換成一組Token代碼(蘋果稱之為Device account number),儲存在iPhone6手機裡內建的加密晶片(Secure Element),並與裝置綁定,這個代碼只供這個裝置使用。Gartner副總裁Avivah Litan表示,消費者在使用時若透過認證載具(Token)號碼來啟動付費流程,並非使用信用卡號,如此一來,店家就不必經手、儲存或傳輸信用卡號。

指紋加上一組一次性的隨機Token代碼達到雙重防護

之後的每一次交易,Apple Pay會用這個Device account number,提供一次性的隨機Token代碼(One-time unique number),並以動態密碼(Dynamic security code)取代交易時需填入的一組位於卡片背面的安全密碼,再加上Touch ID指紋辨識作為交易憑證。許世杰表示,由於整個過程中,並不需要流通卡片資訊,因此可以徹底解決卡片資訊被盜用的問題。

假使有心人士從Passbook中竊取到Device account number,仍然無法透過其他的裝置或網路銀行進行支付,因為這組Token代碼已和裝置綁定。至於交易過程中使用的一次性的隨機Token代碼,顧名思義只能為一次性的使用且具有時效性,更不用擔心遭到竊取。

Token代碼取代卡號,技術符合EMVCo的標準規範

Visa臺灣區總經理麻少華表示,Apple Pay所採用的「Token代碼服務技術」由Visa推出,藉由一串虛擬的數位帳號、或一個可以被安全儲存於行動裝置內的Token代碼,來取代傳統塑膠卡片上的帳號資訊。

Visa、Europay與MasterCard這三大國際信用卡公司共同成立了一個EMVCo組織,負責發展、制定與主管維護EMV支付晶片卡的規格、標準與認證,監督並確保該標準於全球的安全互通性與其付款環境的可用性。

今年3月,EMVCo針對使用Token代碼技術的支付技術訂定了EMV Payment Tokenisation規範。

不過,麻少華說,Token憑證不是專為Apple Pay提供的代碼服務技術,只要符合標準規格,任何人都可以來使用,許多支付模式中也都已經採用Token服務,只是使用的方式不一樣。

同樣使用NFC感應做行動支付解決方案的大約可以分成兩類,精誠資訊流通暨支付事業部副總經理班鐵翊表示,第一類是基於TSM(Trusted Service Management ,信託服務管理)架構下的SE安全元件解決方案,行動支付業者必須設法將加密後的卡片資訊植入手機中,只是各家植入的作法不同,有的結合SIM卡,有的結合Micro SD卡,Google Wallet則是結合額外的加密晶片放進手機。

這類SE安全元件解決方案,必須和手機供應商、行動網路業者、安全元件供應商、以及可信任的第三方(也就是TSM組織)組成生態系統。班鐵翊表示,到目前為止,手機SE安全元件中經過加密的卡號還未被破解過。

另一類則是Google推出的HCE(Host Card Emulation)雲端支付解決方案,這項服務在Google的Android 4.4版本中支援。Google曾在美國推出了採用了SE安全元件作法的Google Wallet電子錢包,但推廣成效不彰,因此,Google改以NFC模擬手機SE安全元件推出了新的HCE解決方案,並將這些卡片資料存放在雲端,而不放在手機上。不過,許世杰認為,只要卡片資訊需要留通到商家,卡片就仍然可能被複製或盜用。

NFC感應設備在臺普及率僅1成

麻少華表示,目前,在臺灣地區已經可使用NFC感應技術,未來Apple Pay進入臺灣後,Visa payWave讀卡機可直接支援這項服務。

雖然,以NFC感應來做行動支付的模式已經不是新鮮事了,2年前Samsung Galaxy SIII就已經是具支付功能的奧運選手指定機,其他業者也陸續與Visa合作,推出具NFC感應的手機,麻少華說,蘋果的腳步已經算晚了。

但是目前店家的NFC讀取設備普及率偏低,據Visa統計,臺灣到去年底為止,約有1萬2千家商店採用,累計設置了超過3萬臺可支援NFC感應的Visa payWave感應讀卡機,這個數量只占了店家信用卡讀取設備的1成。麻少華表示,Apple Pay加入後可能會帶動這類設備的普及率。

Visa今年2月也來臺推廣他們支援的這項HCE行動支付解決方案,麻少華表示,HCE也有使用Visa的Token代碼服務,不過,不管是HCE還是Apple Pay,到目前為止都還未真正在臺灣上線。根據Visa官網,Visa Token代碼服務目前只在美國提供,預計2015年才會跨出美國在全球提供服務。換句話說,就算Apple Pay想要來臺提供服務,最快也要等到2015年。

Apple Pay揭露詳細運作機制後,金管會才會評估適法性

至於Apple Pay是否也能在臺灣輕鬆上路,金管會銀行局第三方支付專法承辦人員表示,要等蘋果公開進一步的詳細運作機制與生態系,才能評估現有的法規是否適用。

金管會也表示,需先評估蘋果手機技術規格及手機信用卡的使用方式,包括信用卡的儲存、下載、使用與傳輸過程,是否已符合相關的安全性法規,若不在現有法規的管轄下,也不排除會新增相關的使用準則。

Apple Pay預計今年10月於美國上路,適用的裝置有iPhone6、iPhone6 Plus及Apple Watch。Apple Pay目前與Visa、MasterCard以及American Express三大信用卡公司合作,加入這項服務的發卡機構有花旗銀行、美國銀行、美國大通銀行和美國富國銀行等。

未來消費者可以在超過22萬家商店裡使用Apple Pay付款,包括麥當勞、Subway、迪士尼樂園、玩具反斗城、Nike等。除了這些實體零售商店,Apple Pay也結合第三方應用程式,像是Groupon、MLB.com、OpenTable、Starbucks、Target、Uber等,使用者可進行線上行動支付,完成訂車、訂票等。

2014/9/26更正說明:原文提及Visa payWave讀卡機只需更新系統軟體即可支援這項服務,正確應為「Visa payWave讀卡機可直接支援這項服務」。(內文已更正)

 

Apple Pay採用了Visa推出「Token代碼服務技術」,符合EMVCo組織的Token支付規範,藉由一串虛擬的數位憑證(Token)來取代實體卡片上的帳號資訊(PAN),因此在交易過程中,卡片帳號並不會流經商家,降低被側錄的風險。(照片提供/EMVCo)

 


Advertisement

更多 iThome相關內容