https://www.ithome.com.tw/news/136821
【2020支付安全未來三年新變革】商家儲存的信用卡號應代碼化,全新3-DS驗證
在臺有3大類別商家必須啟用
近日Visa公布臺灣支付安全未來三年的最新規畫,當中有兩大重點,一方面將代
碼化技術推動到商家的面向,讓商家儲存的信用卡資料都代碼化,另一方面則是
在金融機構與商戶對於EMV 3-DS的採用,預計今年10月17日就有9成金融機構導
入,明年1月16日,則將要求國內的運輸、旅行與電腦服務業的商戶端需強制採
用。
文/羅正漢 | 2020-04-08發表
https://imgur.com/lV6JJJt
隨著數位支付的使用率提升,線上的支付安全升級也成必然趨勢,不論是防止信
用卡被惡意人士盜刷,以及商家保存消費者信用卡號所引發的安全疑慮,一直都
是關注焦點。近日,Visa也公布臺灣的支付安全未來3年發展計畫。
根據該公司的規畫,代碼化技術(Tokenization)的採用將更廣泛,不只是過去
Apple Pay、Google Pay等行動支付採用,而且,對於商家行動App的支援,以及
線上商店的卡號保存等,該技術將全面實施,至於新一代3D Secure(3-DS)驗
證的採用,臺灣金融發卡機構將在今年10月中旬陸續做好準備,部分商家明年1
月中旬更是必須強制採用。
以代碼化技術保護存放的信用卡資料,預計3年內所有商家完成導入
近日,Visa對外公布近三年的臺灣支付安全發展藍圖,進一步提升線上支付的安
全,當中有些階段性目標是必須的規範,有些則是建議的選項,期望讓金融業者
與提供電子商務的企業,日後在安全方面的投入,可以有更具體的方向。
基本上,他們提出了兩大支付安全焦點值得關注,首先是代碼化技術的推動,將
朝向企業商家推進,其次是新一代3-DS驗證系統,已經正式在臺推動,Visa並提
出具體時程,讓相關業者都必須提前做好準備。
以代碼化技術而言,它在2014年成為支付產業標準組織EMVCo的正式標準,該技
術將信用卡的16位數號碼,置換為另一組16位字串,最主要的目的,就是為了降
低資料價值,讓實際的信用卡號碼只會使用在一開始的請求過程中,之後的存放
與傳送過程,其實都是使用另一組代碼。
目前,這樣的安全技術早已應用在Apple Pay、Google Pay與Samsung Pay等國際
行動支付當中,讓使用者在這些行動支付中所綁定的信用卡,更有保障性。然而
,隨著行動支付越來越普遍,Visa也期望將代碼化技術擴及更多應用環節,尤其
是對於資料在商家的面向。
例如,在第一階段,今年10月1日前,他們預計要讓商家導入應用程式內交易代
碼化,當消費者在應用程式內支付選項中,就可以使用上述已採代碼化技術的行
動支付工具來付款。換言之,在商家App內即可呼叫Apple Pay、Google Pay等應
用。
到了2021年,Visa期望代碼化的支付資訊,能夠為商家在資訊安全帶來多一層的
防護。在1月1日,先是所有收單行(提供刷卡機或網路刷卡機制的機構)的支付
閘道業者需支援EMV規格代碼化,國內這類業者包括喬睿科技與CyberSource等,
接下來希望在在7月1日之前,促成儲存信用卡資料的大型店家能達到要求,例如
,每年處理100萬筆交易的商戶,在支付帳戶存檔方面都要使用代碼化技術,以
保護這些儲存敏感資料,而其他企業也要做好準備,因為在一年後,2022年的7
月1日,他們希望所有商戶都要準備就緒,保護信用卡資料都要使用代碼化技術
。
這麼做有什麼好處?簡單來說,現在的線上刷卡很方便,一些網路商店會詢問消
費者是否儲存信用卡號,讓日後消費不用再次輸入,而代碼化技術則可降低資料
價值,信用卡組織希望這樣安全的技術,也能用在商家的App之內,讓店家App本
身不用處理卡號的資料,而收單行下面的支付閘道業者也要先有能力處理代碼化
交易,更進一步,就是讓所有電子商務業者都這麼做,使真正信用卡的資料,不
會因為保留在商家或傳送過程遭駭,而被盜取。
https://imgur.com/tpjY9SH
對於支付安全的未來發展,Visar近日公布臺灣近三年的支付安全發展藍圖,推
動EMV 3D Secure(3-DS 2.0)驗證,以及商戶採用代碼化技術是兩大主軸。
今年支付安全著重在商家App,可呼叫採代碼化技術的行動支付
綜觀Visa在此方面的推動,對於商家儲存信用卡資料的安全性,顯然該公司是希
望在三年內,讓商家要以更安全的代碼化技術,來替代傳統保護方式,進一步提
升支付的安全。
然而,目前上述這些代碼化技術的應用,其實還不是強制的規定,對此,Visa風
險管理部副總經理沈玟芳表示,目前該公司在支付安全提供業界一個方向,等到
全球市場的採用程度到達一定水準,不排除讓所有業者都納入。
至於國內商家App的代碼化技術應用現況如何?例如,去年台灣大車隊推出的
55688 App,在綁定信用卡功能上,採用了業者提供的Token代碼化服務,但國內
其他企業店家的App是否也都這麼做,例如,國內全福利中心的PX Pay,以及新
光三越百貨的Skm Pay,雖然在其官方網站上指出符合PCI DSS支付卡產業資料安
全標準的規範,卻未提及代碼化技術,到底是否已經採用這項技術呢?沈玟芳表
示,國內多數業者都還沒有使用代碼化技術,她進一步解釋,目前在App綁定信
用卡方面,稱之為Card On File Tekonization,而應用程式內交易代碼化則不
同,在應用程式付款時,除了看到輸入信用卡,如果可以在App內看到Apple Pay
、Google Pay、Samsung Pay等支付選項,就代表提供In-App Tekonization,也
就是今年他們正推行的應用程式內交易代碼化,兩者都是強化現有支付安全的方
式,可降低真實信用卡號的外曝風險。
新一代3-DS驗證更名,臺灣有3大行業商家需在2021年1月採用,並期望三年內
提供消費者控制權
第二個焦點在於新一代的3-DS驗證的推動,今年終於有了明確的時程,同時,有
3類型商家在明年來臨之前必須要遵循。
關於3-DS驗證,1.0版是在2000年推出,國內金融業者都已經導入,至於2.0版,
則是在2016年公告。特別的是,沈玟芳指出,自今年開始,Visa開始將3-DS 2.0
改稱「EMV 3-DS」。
這項機制,主要提供線上交易用戶身分認證,防止消費者未授權的線上刷卡行為
,像是需要接收SMS簡訊來確認,只是過去在3-DS 1.0時代,其實許多國內商家
都未提供這個驗證功能,或是選擇只在註冊時採用,不在每筆交易時採用,原因
在於當時用戶體驗不好,可能會增加商家的掉單率。而新的EMV 3-DS驗證機制,
將利用更多資料來驗證與安全,期望減少消費者煩瑣的驗證步驟,並讓更多商家
採用。
以全球各國來看,新版3-DS驗證在歐洲的發展腳步最快,在臺灣也有業者採用,
例如,中國信託商業銀行於2019年10月,率先宣布導入這項新的驗證系統,根據
該公司說明,過去3DS 1.0系統僅能使用網頁開啟密碼驗證系統,這種方式在行
動裝置上網刷卡消費時,驗證視窗容易影響消費體驗,也容易遭受惡意攻擊,引
導消費者連結至惡意的釣魚網頁。而在金融業者開始導入新的驗證系統後,當時
並無法得知有那些國內商家開始布局。
現在,Visa有了答案,EMV 3-DS驗證在這次公布的安全支付藍圖之中,他們提到
幾項目標。首先,他們將促成全臺金融發卡機構,在今年10月1日前,要有9成都
導入EMV 3-DS驗證系統。
接下來,到了2021年1月16日,將開始針對高詐欺風險的電子商務商戶做要求。
目前規範那些業者需要採用?沈玟芳表示,目前臺灣強制要求3個類別的商戶,
包括交通運輸類、旅行業與電腦服務業,主要原因在於,這些類別在2019年比較
容易受到網路攻擊。
而國內主流電商是否使用3-DS?她表示,目前他們持續與收單機構進行溝通,同
時說明臺灣的電商風險其實並不是那麼高,因此沒有規畫在第一階段的2020年就
要完成,他們認為,主要風險都在國外,所以先行採用,例如,歐洲電商的實施
比較早。
較值得注意的是,沈玟芳指出,若是商家提早採用EMV 3-DS驗證,這其實意謂著
金融機構也要先就緒,主要是因為亞太地區責任移轉計畫,將在4月18日開始,
店家可將詐欺責任轉嫁到發卡機構。
最後,他們則是希望給予消費者控制權,時間是在2022年7月1日之前。例如,使
用者在沒有出國時,可以自行把國外交易關閉,或是將網路消費關閉,等到消費
時才開啟,他們希望銀行可以把這樣的功能,設計到App或網路銀行上,讓客戶
加入風險決策過程。
新舊3-DS交易驗證系統在使用資料方面的差異
https://imgur.com/1xZW9dy
在2019年6月,Visa曾在臺說明3-DS 2.0驗證機制的不同之處,當時就提到,新
交易驗證機制將利用更多資料來驗證與安全,像是網購使用的IP位置、瀏覽器時
區、時間與電商名稱,以及信用卡持有人的郵件、行動電話、寄送地址等資訊,
這些內容將幫助加速判斷交易真偽,簡化流程並降低對於商家掉單率的影響。
3-DS 1.0用以驗證的資料
●Acquirer BIN
●Acquirer Merchant ID
●Browser User-Agent
●Cardholder Account Number
●DS URL
●Message, Extension, Version
EMV 3-DS(3-DS 2.0)用以驗證的資料
●3DS Requestor Authentication Information (Method), Challenge Indicator, ID, Initiated Indicator
●3DS Requestor Authentication Method Verification Indicator
●3DS Requestor Decoupled Max Time, Decoupled Request Indicator
●3DS Requestor URL, App URL
●3DS Server Reference Number, Operator ID, Transaction ID, UR
●Account Type
●Acquirer BIN
●Acquirer Merchant ID
●ACS Decoupled Confirmation Indicator
●Address Match Indicator
●Browser Accept Headers
●Browser Java Enabled, Language, Screen Color Depth, Height, Widt
●Browser Time Zone
●Browser Time ZoneJavaScript Enable
●Browser User-Agent
●Card Expiry Date
●Cardholder Account
●Cardholder Account Identifier, Billing Address
●Cardholder Account Number
●Cardholder Email Address, Home Phone Number, Mobile Phone Number, Work Phone Number
●Cardholder Name
●Cardholder Shipping Address
●Device Channel, Device Information, Rendering Options Supported
●DS Reference Number, Transaction ID
●DS URL
●EMV Payment Token Indicator, Payment Token Source
●Information (Account Age, Change, Password Change, Number of Transactions per Day / Year, Shipping Name Indicator, Suspicious Activity, Payment Account Age etc
●Instalment Payment Data
●IP address
●Merchant Category Code
●Merchant Country Code
●Merchant Name
●Merchant Risk Indicator (Delivery Timeframe, Re-order, Pre-order, Gift Card)
●Message Category, Extension, Type, Version
●Message Category, Type
●Purchase Amount, Currency, Date & Time
●Purchase Date & Time
●Recurring Expiry, Frequenc
●SDK App ID, SDK Encrypted Data, Ephemeral Public Key
●SDK Reference Number, SDK Transaction ID
●Transaction Type
●Whitelisting Status, Status Source
※另外還可加上Travel Industry的資料
特別值得一提的是,目前國際支付產業標準組織EMVCo也在推動無摩擦認證
Frictionless Authentication,包括像是與FIDO聯盟合作,並與Secure Remote
Commerce(SRC)工作小組持續推動。
對於去年剛成形的SRC標準,這次我們詢問Visa亞太區總裁Chris Clark,他表示
,這項機制目的是讓交易更加流暢,對持卡人與商戶來說,可以更方便。而這樣
的機制需要以代碼化技術做為基礎,同時也跟EMV 3DS驗證系統相輔相成,也是
他們發展的一個環節。