全球最安全的支付系统是什么?
5月,在新加坡举行的2018 VISA亚太区支付安全峰会 (2018 Visa Asia Pacific Security Summit)上,超过60岁的Visa与其合作方们,针对全球支付领域最先进的物联网支付技术等新科技和传统支付手段的安全性进行探讨。
Visa亚太区总裁柯如龙(Chris Clark)介绍,Visa在1958年发行了首张BankAmericard,至1997年首次达到1万亿美元的年交易总额。2008年,重组后的Visa Inc整合了美洲、亚洲、中东欧与非洲地区的市场,于美国上市,是同年全球最大的IPO。
有别于银行与发卡机构,Visa公司扮演的角色是提供交易处理和运营系统的网络处理服务商。目前在国内,扮演卡组织角色的是银联,而在国际上,全球最大的两个卡组织分别是美国的Visa与Mastercard。
柯如龙强调,从品牌成立至今,经过Visa网络的交易从未发生过网络被攻击事故。在用户数量逐年增大的情况下,Visa卡的欺诈率逐年下降,其中的原因在于Visa采取了“多管齐下”的网络安全策略,是Visa常说的“四大安全支柱”理念,即数据保护、数据脱敏、数据挖掘与分析和消费者教育。另外,也归功于Visa对客户信息保护近乎苛刻的规定和要求。
在Visa全球支付处理网络上,VisaNet每秒钟处理65000笔交易。每笔交易由消费者的刷卡动作开始,VisaNet对其账户信息进行加密,再将编码后的信息传输给发卡银行,信息解密后,发卡行核实持卡人信息,并授权消费金额给收单行,收单行再传回商户,整个过程在1秒内完成。除了消费者的银行卡号与消费金额,Visa并不获取持卡人更多信息。
中国电子支付发展迅猛,国内的消费者似乎已经习惯了手机支付带来的便捷与效率。然而,便捷的模式之下,对于信息安全的担忧是消费者在数字支付领域最关心的问题之一。
与国际卡组织的支付模式相比,国内多数电子支付的模式是绕开卡组织进行的“三方支付”,即第三方机构绕开卡组织,与商户和用户直连,相较国际通行的“四方模式”少了卡组织的信息加密传递。
Visa所代表的“四方模式”是在三方支付的基础上,增加卡组织作为银行、用户和商家之间的“连接器”与网络处理商的角色。很大程度上,卡组织所做的工作无法靠金融机构和商户一己之力去完成,尤其是在确保支付系统在全球范围的安全性上,Visa作为卡组织发挥了关键性作用。
支付行业对安全性有着极高要求,科技的进步和时代的变迁也敦促支付行业需要不断进行创新和变革。
Visa的解决方案是,推动电子令牌技术的发展。Visa全球副董事长兼首席风险官艾睿琪女士强调,Visa一向提倡“负责任的创新”理念,它意味着支付创新不仅要在便捷性和安全性之间找到平衡,还要充分利用新技术来提升支付的安全性。
目前在移动支付中,电子令牌(Token)技术被广泛应用。支付过程中的每一笔交易,参与的发卡行、收单行和商户所收到的都是经过重新编码和加密的令牌,商家在收款时将不会获得Visa持卡人或账号持有者的真实卡号(或账号)信息。
当使用了电子令牌技术后,持卡人的16位卡号将被转化为电子令牌的虚拟账号,万一虚拟账号被盗,金融机构只需重新分配给客户一个电子令牌,而无需发出新的卡片。
Visa大中华区首席风险官杨景香女士对界面新闻记者透露,全球支付行业安全的最高标准由PCI (Payment Card Industry) 安全委员会制定,它是一个非盈利支付行业数据安全标准组织,成立于2006年,Visa与Mastercard、JCB都是该组织的重要发起成员。
据了解,中国国内目前只有两家公司加入了PCI标准委员会:一个是德国艾特赛克(atsec)在中国注册的子公司,另一个是中国银联旗下的子公司BCTC。PCI所倡导的数据安全标准是动态的,会跟着安全事件的发生而变化,一年内也可能不断地发布新的支付安全标准,有专人专职在进行动态管理。
Visa推广并实施的PCI DSS(Payment Card Industry Data Security Standard)标准,是全球支付行业的安全标杆,其中最重要的原则就是对于消费者的信息,“能不储存,就不储存”。例如,每张Visa卡片背面的CVV2是一个用于网上交易时的身份识别数据。当持卡人进行网上消费时,会被要求提供这个CVV2三位数,以证明这张卡片在持卡人手里,从而确认消费者身份。但是许多商家与网站往往为了方便消费者支付,会储存卡背后的CVV2三位数字,这在PCI标准中是不允许的。
杨景香表示,Visa对于所有与卡组织有合作的商户、发卡方,无论规模大小,均要共同执行PCI标准,这是为保护消费者信息设置的硬规定。
在今年的Visa亚太区支付安全峰会现场,界面新闻记者注意到, Visa为方便技术合作伙伴的创新预留了一席之地。通过搭载Visa的核心加密技术,许多品牌的手表、胸针都能成功实现在POS机器上免密支付。
搭载了特殊芯片的可穿戴设备,能够在接入Visa的非接触式支付终端设备上实现触碰“秒付”。工作人员告诉界面新闻记者,这样的物品支付限额一般在500美金以内,但根据各个国家的要求也会上下浮动。
基于芯片的移动支付技术之所以比基于塑料磁条的传统支付技术更为安全,是因为以芯片作为内核,黑客无法像复制磁条制造伪卡一样伪造芯片。即使不使用密码,也能够通过声纹、指纹等辅助的生物识别技术安全支付。
此前在平昌冬奥会上,Visa为合作伙伴带来了免密支付的手套、纪念帖纸、纪念章等产品,其中搭载的核心技术也是Visa的NFC和“tokenization”,即令牌化技术。
杨景香透露,苹果手机Apple Pay的支付功能,其背后使用的正是Visa的Token技术。
而对于支付领域备受关注的生物识别技术,杨景香并未表现出过多的热情。她认为,生物识别或传统密码支付,都只是Visa支付安全解决方案中的一种应用。传统的PIN和密码支付或许在未来有可能被生物识别技术代替,但更大的可能性是新兴技术与现有身份识别方式的和谐共存。对Visa来说,不存在技术迭代带来的危机,无论是新技术还是传统支付手段,安全是唯一的考量标准。
目前,Visa在中国发行的卡片数量超过1亿两千万张,足以满足国内出境旅游的持卡人的使用需求。
柯如龙表示,由于中国电子支付市场尚未对国际卡组织开放, Visa至今没有获得在国内的清算处理牌照,但Visa期待能够加强与中国政府监管部门和金融机构的沟通与合作,早日参与到中国电子支付的大变革和大发展中,为中国的合作伙伴和消费者创造价值。