打造行動支付安全 建構安心購物環境

5 月 26, 2014 | 產品新聞

DIGITIMES

電子商務改變人消費習性,透過電腦來進行網路購物,省去出門逛街的時間。然行動網路流行之後,消費者上網購物不限於在家裡,可能在辦公室、車上或室外,造就行動化電子商務的特色,也衍生出行動支付的龐大市場商機。第三方支付業者要如何架設安全的硬體設備,以提供安全的行動購物環境,就讓專家來解析。

Thales e-Security 高級顧問張志明

國際級安全交易解決方案  為行動支付的安全把關

Thales 是一家法國工業集團,為國際級電子產品與系統設備的領導廠商,業務擴及航太、國防、安全等領域的市場。其Security 事業群在安全資訊系統領域,為IT產業前三大。其密碼學解決方案已提供NATO 25個國家使用,至今在25個以上國家產生3億份身分證明文件。在金融方面有80%的銀行交易是經由 Thales 保護下進行,並為19家世界最大銀行提供資訊系統安全。該集團為明日的安全需求提供最佳解決方案。

隸屬於 Thales 集團旗下的 Thales e-Security,針對當今電子商務的盛行,專供資料安全領域與密鑰管理解決方案,提供符合產業標準的資料防護、保護機密資訊、避免網路駭客攻擊、保持控制雲端資料。產品解決方案可克服加密、密鑰處理,並監控資料是否被盜取。尤其 HSM (Hardware Security Module;硬體安全模組) 是專屬的安全性硬體產品,符合 FIPS 140-2 安全等級,提供硬體強化的防篡改環境,管理與保護最關鍵的資料,為當今行動支付時代的來臨提早做好安全把關的動作。

如何確保行動交易的安全無虞,Thales e-Security 高級顧問張志明,針對「不可錯失的金礦」議題做演說,將解釋 mPOS(mobile Point of Sale;行動收單平台) 的即刻吸引力與市場機會、說明如何與為何其主要客戶會需要HSM、提供資源信息來幫助合作夥伴邁向成功。

傳統產業導入mPOS  進軍行動支付市場的方法

張志明首先針對當今的傳統支付模式做說明,傳統支付有四個主要角色,分別是消費者、商家、消費者所屬銀行、商家所屬銀行。消費者刷卡時,透過商家的刷卡機將交易資料傳至消費者所屬銀行,然後銀行經由網路向信用卡公司授權,成功後,即將款項轉移至商家所屬銀行,再由商家收款。以上30~40年的支付方式,已成為了一個嚴密控制的生態系統了。

如今因應行動支付時代的來臨,傳統支付的生態系統已經逐漸起了變化。商家捨棄厚重的刷卡機,轉而導入mPOS系統,隨時隨地都能幫消費者結帳、收款,加上又有許多第三方支付業者的卡位,讓生態變得更複雜。因此,對Thales來說,如何導入新的技術,又能維持原先的生態系統,才是多贏的策略。

mPOS所帶來的變革,包含:1. 可以讓發卡銀行多發更多卡,讓類似夜市的「微商家」也能接受信用卡消費,同時不影響消費者的支付習慣(同樣也是用刷卡、插卡或感應,只是機器不一樣而已)。2. 可以有更多店家採用,因為傳統POS機要簽兩年約,要裝GPRS/WiFi網路,初期建置成本高。若採用mPOS,其低風險與申請效率高,對新店家來說比較有吸引力(因此P2PE「點對點加密」是個能幫助達成的技術),且能增加信用卡支付的機會與金額。3. 減少現金交易,以卡代鈔,讓商家兼顧成本效益,也對PSP(Payment Service Provider;第三方支付業者)有利。

目前非接觸式的行動支付方案中,有NFC這端有NFC手機、NFC手機背匣、有NFC功能的microSD卡和有NFC功能的SIM卡(SWP SIM卡)。而信用卡公司則有 MasterCard 的 PayPass、Visa 的 payWave、美國運通的 ExpressPay,皆是為小額付費機制而設。

銀行進軍行動支付市場的案例中,他舉例像香港HSBC(匯豐銀行)最近就推出內建 NFC 晶片的 iPhone 背蓋,就等於是一張 Visa 的 payWave 卡,並可透過 App 來管理與做密碼保護。而另一家恒生銀行則是提供 SWP SIM 卡,等於內建一張 MasterCard 的 PayPass卡,讓消費者使用該 SIM 卡以進行行動支付。上述範例因為是不同陣營銀行搭配信用卡公司的解決方案,仍無法涵蓋到所有消費者的需求。

至於其他遠端行動支付部分,則五花八門,有 Square (比紅陽出道更早的 mPOS 系統服務商)、PayPal (在其PayPal Store輸入手機號碼+PIN碼來付費)、LevelUp (掃描手機上以QR Code方式呈現的信用卡以付費)。

mPOS的安全交易  如何確保個資不外洩

利用mPOS可以快速導入進入行動支付,但安全部分非常重要,這牽扯到:1. 從讀卡機產生的密鑰;2. 全程必須確定PIN碼是被保護著;3. 解密的資料必須與商家的網路隔絕。也就是在每個步驟都要確定消費者的機密資料不會被商家盜取,而該公司就是要幫助解決這些問題,提供交易安全的平台或方案。

張志明剖析mPOS的運作方式,就是客戶接受付費金額並輸入PIN之後,此時必須將信用卡的個資與PIN碼進行編碼,傳到商家的平板或手機,然後將該資料透過開放式網路,傳到HSM的支付閘道器,這些步驟都是P2PE (點對點加密)區,確保資料都是在編碼的狀態下傳遞,最後資料會傳到後端的HSM的獲取者來解密。在整個交易過程中,銀行端都沒有經手到加密解密,都是經由Thales的HSM機制來控制。交易過程中,後端的HSM都沒有變動,只有前面的交易方式改變而已,因此並不會影響到前面說的生態圈。

至於為何mPOS和PSP目前會這麼夯?因為客戶已準備好購買,mPOS並不會改變消費習慣。且對PSP業者來說也不需要成立銀行,只要小規模具吸引力付費方式即可。再來看行動支付市場,因為商業因素,使得NFC SE付費難以量產化;HCE(終端卡模擬)尚屬早期制定階段,因此mPOS可說是目前最快導入且能夠成為多贏的最好方案。

PSP業者在行動支付市場  如何讓交易資料更安全

至於PSP業者部分,為何需要HSM?他解釋,因為以硬體為主的安全機制,顯然可以減少金鑰被盜取的風險,而且透過HSM來管理金鑰是最簡單的、最具成本效益的作法。還有支援PIN碼功能的讀卡器,也意味著提供符合PCI PIN碼的安全,是必要的。

再來就是 HSM 也符合信用卡交易的規則,符合 Visa Ready 的 mPOS 計畫(永遠能接受Visa卡)、符合 MasterCard的mPOS 最佳實踐方案、有 PCI P2PE 系統認證、有 EMV/PCI 讀卡機認證。

他表示 Thales 的設備在出貨時,都要依照信用卡公司所指定由 Fedex 或 DHL 送貨,並使用易碎貼紙,確保送到銀行人員簽收並收貨為止,包裝完整未拆。也就是運送過程都符合一定的標準程序,以確保產品送達時不會遭受偷換或損壞。

Thales 的伺服器無法被撬開,且運作時無法被竊取記憶體內的資料,以防止金鑰資料外洩,只要 PSP 導入 HSM,客戶(商家)便能更有保障,提升其交易量,連帶 PSP 也將提升營收與利潤。若沒導入的話,微商家可能常常發生客戶刷卡失敗或個資洩漏,將對 PSP 失去信心轉而去尋找更安全的 PSP 業者。因此 HSM 也是完整 mPOS 生態鏈中必要的元件,能夠提供 PSP 業者最簡單、防盜取且最高層級的安全解決方案。

導入 HSM 對客戶的關鍵價值點,在於賺錢、省錢、簡單運作,除了協助 PSP 增加交易量、低創業成本&遠程金鑰注入、迅速發展為國際化公司之外,也能幫助商家縮小PCI DSS (支付卡產業資料安全標準)的範圍、任何時間、地點都能接受刷卡支付、減少員工培訓,維持既有消費者體驗,以共創多贏。