https://www.ithome.com.tw/news/136821
【2020支付安全未来三年新变革】商家储存的信用卡号应代码化,全新3-DS验证
在台有3大类别商家必须启用
近日Visa公布台湾支付安全未来三年的最新规画,当中有两大重点,一方面将代
码化技术推动到商家的面向,让商家储存的信用卡资料都代码化,另一方面则是
在金融机构与商户对于EMV 3-DS的采用,预计今年10月17日就有9成金融机构导
入,明年1月16日,则将要求国内的运输、旅行与电脑服务业的商户端需强制采
用。
文/罗正汉 | 2020-04-08发表
https://imgur.com/lV6JJJt
随着数位支付的使用率提升,线上的支付安全升级也成必然趋势,不论是防止信
用卡被恶意人士盗刷,以及商家保存消费者信用卡号所引发的安全疑虑,一直都
是关注焦点。近日,Visa也公布台湾的支付安全未来3年发展计画。
根据该公司的规画,代码化技术(Tokenization)的采用将更广泛,不只是过去
Apple Pay、Google Pay等行动支付采用,而且,对于商家行动App的支援,以及
线上商店的卡号保存等,该技术将全面实施,至于新一代3D Secure(3-DS)验
证的采用,台湾金融发卡机构将在今年10月中旬陆续做好准备,部分商家明年1
月中旬更是必须强制采用。
以代码化技术保护存放的信用卡资料,预计3年内所有商家完成导入
近日,Visa对外公布近三年的台湾支付安全发展蓝图,进一步提升线上支付的安
全,当中有些阶段性目标是必须的规范,有些则是建议的选项,期望让金融业者
与提供电子商务的企业,日后在安全方面的投入,可以有更具体的方向。
基本上,他们提出了两大支付安全焦点值得关注,首先是代码化技术的推动,将
朝向企业商家推进,其次是新一代3-DS验证系统,已经正式在台推动,Visa并提
出具体时程,让相关业者都必须提前做好准备。
以代码化技术而言,它在2014年成为支付产业标准组织EMVCo的正式标准,该技
术将信用卡的16位数号码,置换为另一组16位字串,最主要的目的,就是为了降
低资料价值,让实际的信用卡号码只会使用在一开始的请求过程中,之后的存放
与传送过程,其实都是使用另一组代码。
目前,这样的安全技术早已应用在Apple Pay、Google Pay与Samsung Pay等国际
行动支付当中,让使用者在这些行动支付中所绑定的信用卡,更有保障性。然而
,随着行动支付越来越普遍,Visa也期望将代码化技术扩及更多应用环节,尤其
是对于资料在商家的面向。
例如,在第一阶段,今年10月1日前,他们预计要让商家导入应用程式内交易代
码化,当消费者在应用程式内支付选项中,就可以使用上述已采代码化技术的行
动支付工具来付款。换言之,在商家App内即可呼叫Apple Pay、Google Pay等应
用。
到了2021年,Visa期望代码化的支付资讯,能够为商家在资讯安全带来多一层的
防护。在1月1日,先是所有收单行(提供刷卡机或网络刷卡机制的机构)的支付
闸道业者需支援EMV规格代码化,国内这类业者包括乔睿科技与CyberSource等,
接下来希望在在7月1日之前,促成储存信用卡资料的大型店家能达到要求,例如
,每年处理100万笔交易的商户,在支付帐户存盘方面都要使用代码化技术,以
保护这些储存敏感资料,而其他企业也要做好准备,因为在一年后,2022年的7
月1日,他们希望所有商户都要准备就绪,保护信用卡资料都要使用代码化技术
。
这么做有什么好处?简单来说,现在的线上刷卡很方便,一些网络商店会询问消
费者是否储存信用卡号,让日后消费不用再次输入,而代码化技术则可降低资料
价值,信用卡组织希望这样安全的技术,也能用在商家的App之内,让店家App本
身不用处理卡号的资料,而收单行下面的支付闸道业者也要先有能力处理代码化
交易,更进一步,就是让所有电子商务业者都这么做,使真正信用卡的资料,不
会因为保留在商家或传送过程遭骇,而被盗取。
https://imgur.com/tpjY9SH
对于支付安全的未来发展,Visar近日公布台湾近三年的支付安全发展蓝图,推
动EMV 3D Secure(3-DS 2.0)验证,以及商户采用代码化技术是两大主轴。
今年支付安全着重在商家App,可呼叫采代码化技术的行动支付
综观Visa在此方面的推动,对于商家储存信用卡资料的安全性,显然该公司是希
望在三年内,让商家要以更安全的代码化技术,来替代传统保护方式,进一步提
升支付的安全。
然而,目前上述这些代码化技术的应用,其实还不是强制的规定,对此,Visa风
险管理部副总经理沈玟芳表示,目前该公司在支付安全提供业界一个方向,等到
全球市场的采用程度到达一定水准,不排除让所有业者都纳入。
至于国内商家App的代码化技术应用现况如何?例如,去年台湾大车队推出的
55688 App,在绑定信用卡功能上,采用了业者提供的Token代码化服务,但国内
其他企业店家的App是否也都这么做,例如,国内全福利中心的PX Pay,以及新
光三越百货的Skm Pay,虽然在其官方网站上指出符合PCI DSS支付卡产业资料安
全标准的规范,却未提及代码化技术,到底是否已经采用这项技术呢?沈玟芳表
示,国内多数业者都还没有使用代码化技术,她进一步解释,目前在App绑定信
用卡方面,称之为Card On File Tekonization,而应用程式内交易代码化则不
同,在应用程式付款时,除了看到输入信用卡,如果可以在App内看到Apple Pay
、Google Pay、Samsung Pay等支付选项,就代表提供In-App Tekonization,也
就是今年他们正推行的应用程式内交易代码化,两者都是强化现有支付安全的方
式,可降低真实信用卡号的外曝风险。
新一代3-DS验证更名,台湾有3大行业商家需在2021年1月采用,并期望三年内
提供消费者控制权
第二个焦点在于新一代的3-DS验证的推动,今年终于有了明确的时程,同时,有
3类型商家在明年来临之前必须要遵循。
关于3-DS验证,1.0版是在2000年推出,国内金融业者都已经导入,至于2.0版,
则是在2016年公告。特别的是,沈玟芳指出,自今年开始,Visa开始将3-DS 2.0
改称“EMV 3-DS”。
这项机制,主要提供线上交易用户身分认证,防止消费者未授权的线上刷卡行为
,像是需要接收SMS短信来确认,只是过去在3-DS 1.0时代,其实许多国内商家
都未提供这个验证功能,或是选择只在注册时采用,不在每笔交易时采用,原因
在于当时用户体验不好,可能会增加商家的掉单率。而新的EMV 3-DS验证机制,
将利用更多资料来验证与安全,期望减少消费者烦琐的验证步骤,并让更多商家
采用。
以全球各国来看,新版3-DS验证在欧洲的发展脚步最快,在台湾也有业者采用,
例如,中国信托商业银行于2019年10月,率先宣布导入这项新的验证系统,根据
该公司说明,过去3DS 1.0系统仅能使用网页开启密码验证系统,这种方式在行
动装置上网刷卡消费时,验证视窗容易影响消费体验,也容易遭受恶意攻击,引
导消费者连结至恶意的钓鱼网页。而在金融业者开始导入新的验证系统后,当时
并无法得知有那些国内商家开始布局。
现在,Visa有了答案,EMV 3-DS验证在这次公布的安全支付蓝图之中,他们提到
几项目标。首先,他们将促成全台金融发卡机构,在今年10月1日前,要有9成都
导入EMV 3-DS验证系统。
接下来,到了2021年1月16日,将开始针对高诈欺风险的电子商务商户做要求。
目前规范那些业者需要采用?沈玟芳表示,目前台湾强制要求3个类别的商户,
包括交通运输类、旅行业与电脑服务业,主要原因在于,这些类别在2019年比较
容易受到网络攻击。
而国内主流电商是否使用3-DS?她表示,目前他们持续与收单机构进行沟通,同
时说明台湾的电商风险其实并不是那么高,因此没有规画在第一阶段的2020年就
要完成,他们认为,主要风险都在国外,所以先行采用,例如,欧洲电商的实施
比较早。
较值得注意的是,沈玟芳指出,若是商家提早采用EMV 3-DS验证,这其实意谓著
金融机构也要先就绪,主要是因为亚太地区责任移转计画,将在4月18日开始,
店家可将诈欺责任转嫁到发卡机构。
最后,他们则是希望给予消费者控制权,时间是在2022年7月1日之前。例如,使
用者在没有出国时,可以自行把国外交易关闭,或是将网络消费关闭,等到消费
时才开启,他们希望银行可以把这样的功能,设计到App或网络银行上,让客户
加入风险决策过程。
新旧3-DS交易验证系统在使用资料方面的差异
https://imgur.com/1xZW9dy
在2019年6月,Visa曾在台说明3-DS 2.0验证机制的不同之处,当时就提到,新
交易验证机制将利用更多资料来验证与安全,像是网购使用的IP位置、浏览器时
区、时间与电商名称,以及信用卡持有人的邮件、移动电话、寄送地址等资讯,
这些内容将帮助加速判断交易真伪,简化流程并降低对于商家掉单率的影响。
3-DS 1.0用以验证的资料
●Acquirer BIN
●Acquirer Merchant ID
●Browser User-Agent
●Cardholder Account Number
●DS URL
●Message, Extension, Version
EMV 3-DS(3-DS 2.0)用以验证的资料
●3DS Requestor Authentication Information (Method), Challenge Indicator, ID, Initiated Indicator
●3DS Requestor Authentication Method Verification Indicator
●3DS Requestor Decoupled Max Time, Decoupled Request Indicator
●3DS Requestor URL, App URL
●3DS Server Reference Number, Operator ID, Transaction ID, UR
●Account Type
●Acquirer BIN
●Acquirer Merchant ID
●ACS Decoupled Confirmation Indicator
●Address Match Indicator
●Browser Accept Headers
●Browser Java Enabled, Language, Screen Color Depth, Height, Widt
●Browser Time Zone
●Browser Time ZoneJavaScript Enable
●Browser User-Agent
●Card Expiry Date
●Cardholder Account
●Cardholder Account Identifier, Billing Address
●Cardholder Account Number
●Cardholder Email Address, Home Phone Number, Mobile Phone Number, Work Phone Number
●Cardholder Name
●Cardholder Shipping Address
●Device Channel, Device Information, Rendering Options Supported
●DS Reference Number, Transaction ID
●DS URL
●EMV Payment Token Indicator, Payment Token Source
●Information (Account Age, Change, Password Change, Number of Transactions per Day / Year, Shipping Name Indicator, Suspicious Activity, Payment Account Age etc
●Instalment Payment Data
●IP address
●Merchant Category Code
●Merchant Country Code
●Merchant Name
●Merchant Risk Indicator (Delivery Timeframe, Re-order, Pre-order, Gift Card)
●Message Category, Extension, Type, Version
●Message Category, Type
●Purchase Amount, Currency, Date & Time
●Purchase Date & Time
●Recurring Expiry, Frequenc
●SDK App ID, SDK Encrypted Data, Ephemeral Public Key
●SDK Reference Number, SDK Transaction ID
●Transaction Type
●Whitelisting Status, Status Source
※另外还可加上Travel Industry的资料
特别值得一提的是,目前国际支付产业标准组织EMVCo也在推动无摩擦认证
Frictionless Authentication,包括像是与FIDO联盟合作,并与Secure Remote
Commerce(SRC)工作小组持续推动。
对于去年刚成形的SRC标准,这次我们询问Visa亚太区总裁Chris Clark,他表示
,这项机制目的是让交易更加流畅,对持卡人与商户来说,可以更方便。而这样
的机制需要以代码化技术做为基础,同时也跟EMV 3DS验证系统相辅相成,也是
他们发展的一个环节。