Apple Pay能否協助商家阻止信用卡資料外洩?

【2014年9月15日】針對蘋果(Apple)新推出的Apple Pay, Gartner副總裁Avivah Litan分享對Apple Pay功能及市場機制之看法。

蘋果終於跨足行動支付市場,宣布推出Apple Pay。目前有關Apple Pay資安防護功能的已知細節甚微,看來似乎要與威士卡(Visa)、萬事達卡(MasterCard)等信用卡知名品牌,還有發行這些信用卡的各大銀行合作,推出一套金融服務業者都贊同且認可的支付卡憑證化(tokenization)系統。

這表示消費者不必在自己的電子錢包中儲存卡片資料,而是以信用卡設定Apple Pay系統(可與iTunes帳戶使用相同信用卡,也可以設定他張卡片)。當消費者準備付款時,金融服務商會發送一組只能使用單次的認證載具(token)號碼以啟動付費流程。認證載具必須要有使用規範,例如認證載具的有效期限及範圍,還有付費金額上限等等。

認證載具號碼並非信用卡號,商家如果不必經手、儲存或傳輸信用卡號,在資安方面將帶來許多好處,例如:

a)    商家的信用卡產業合規(PCI compliance)範圍可大幅縮小。

b)    商家可避免卡片資料外洩,而且認證載具號碼不能二次使用,就不會有人想去竊取這些資料,讓系統更為安全。

我深信商家的接受度將是帶動新型態付費系統普及的主要推手,甚至比消費者的接受度還重要。Apple Pay若要成功,就必須為商家所接受。因此,Apple Pay是否具備足夠的資安功能以吸引商家採用?

a)    目前接受信用卡付款的3千多萬商家可能大多還無法認同。除非所有消費者都使用Apple Pay,商家還是必須花錢取得信用卡產業合規所要求的複雜資安功能。

b)    商家已經花錢升級EMV終端機(晶片卡用),還必須在2015年10月前做好升級與責任轉移(liability shift)相關準備,否則無法處理EMV晶片卡付款,遇詐騙時還得自行負擔損失。

EMV終端機經授權後具備近場通訊(NFC)手機付費功能,商家也必須支援感應NFC的EMV刷卡功能。但蘋果至今尚未言明是否支援EMV標準。(但未來可能提供支援)。

c)    Gartner訪談的許多大型商家都在升級POS系統,加強卡片資料的點對點加密(P2PE)管理,這是因為他們聽過太多資料外洩事件,不想成為下一家受害的零售商。有了點對點加密功能,實體店面就能提供卡片資料最快速、最嚴密的保護,因此雖然信用卡業者尚未針對這套技術達成標準化共識,市場仍對它相當有興趣。

晶片(EMV)信用卡至少還要5到7年才會在美國普及,但為了保護自身利益和卡片資料,商家是沒辦法等這麼久的。商家若採用點對點加密技術馬上就能看到效果,不必等發卡機構與消費者開始使用晶片卡。

那麼,蘋果要怎麼做才能鼓勵商家接受Apple Pay?

a)    應仿效Square等支付服務商,向商家收取較低的手續費。為了降低iTunes交易成本,蘋果已在支付整合服務(payment aggregation)方面累積許多經驗與技術。如果把這套支付整合技術用在特約商店,只要Visa和MasterCard不反對,蘋果絕對能提供比現行支付服務商及銀行更低的手續費率。

b)    在Apple Pay電子錢包中內建帶動營收與用戶忠誠度的功能,以刺激商家銷售量。蘋果也有能力做到這點,但就提升商家接受度而言,這一點的重要仍不及降低手續費。

歸納結論,Apple Pay的推出相當令人振奮,甚至有可能就此改變支付市場版圖,至少在美國是如此,因為當地商家三天兩頭就爆發資料外洩事件,資安防護問題與花費高到令人咋舌。蘋果的確可以利用這股資安熱潮,提供商家與消費者更安全的付費方式。但這畢竟只是廣大顧客群的一小部分,其他人仍然需要保護。依我個人之見,降低手續費將是Apple Pay成功的關鍵所在。Google可能在資安保護功能上仿效蘋果,接著還必須邀集合作手機製造商將手機中NFC晶片連結Google Wallet。這對屬於封閉式系統的蘋果來說更加容易,因為手機與手機所採用的軟體都是自家製造。不過,還是要等到Google加入戰局,Android手機也能提供更安全的支付機制,NFC行動支付才能真正普及。更棒的是,我們終於有可能逐漸消弭支付卡資料外洩事件,至少讓宵小將焦點轉移到其他目標上。

Gartner 簡介

Gartner Inc (紐約証交所上市編號︰IT) 為全球領先資訊科技研究及顧問機構,致力提供與科技相關的真知灼見,協助客戶每天作出明智決策。該機構對9,000家機構而言是不可或缺的合作夥伴,其中包含企業及政府機關、科技公司及投資機構等的進階資訊科技行政人員。公司匯聚Gartner Research、Gartner Executive Programs、Gartner Consulting及Gartner Events等資源,為客戶針對個別情況進行資訊科技及業務的研究、分析及解釋。Gartner成立於1979 年,總部設於美國康乃狄克州(Connecticut)史坦福市(Stamford),在全球85個國家計有6,400個合作夥伴,其中包括1,480位研究分析師、顧問,及客戶。更多有關資訊,請瀏覽 www.gartner.com