https://www.ithome.com.tw/news/136821 【2020支付安全未来三年新变革】商家储存的信用卡号应代码化，全新3-DS验证 在台有3大类别商家必须启用 近日Visa公布台湾支付安全未来三年的最新规画，当中有两大重点，一方面将代 码化技术推动到商家的面向，让商家储存的信用卡资料都代码化，另一方面则是 在金融机构与商户对於EMV 3-DS的采用，预计今年10月17日就有9成金融机构导 入，明年1月16日，则将要求国内的运输、旅行与电脑服务业的商户端需强制采 用。 文/罗正汉 | 2020-04-08发表 https://imgur.com/lV6JJJt 随着数位支付的使用率提升，线上的支付安全升级也成必然趋势，不论是防止信 用卡被恶意人士盗刷，以及商家保存消费者信用卡号所引发的安全疑虑，一直都 是关注焦点。近日，Visa也公布台湾的支付安全未来3年发展计画。 根据该公司的规画，代码化技术（Tokenization）的采用将更广泛，不只是过去 Apple Pay、Google Pay等行动支付采用，而且，对於商家行动App的支援，以及 线上商店的卡号保存等，该技术将全面实施，至於新一代3D Secure（3-DS）验 证的采用，台湾金融发卡机构将在今年10月中旬陆续做好准备，部分商家明年1 月中旬更是必须强制采用。 以代码化技术保护存放的信用卡资料，预计3年内所有商家完成导入 近日，Visa对外公布近三年的台湾支付安全发展蓝图，进一步提升线上支付的安 全，当中有些阶段性目标是必须的规范，有些则是建议的选项，期望让金融业者 与提供电子商务的企业，日後在安全方面的投入，可以有更具体的方向。 基本上，他们提出了两大支付安全焦点值得关注，首先是代码化技术的推动，将 朝向企业商家推进，其次是新一代3-DS验证系统，已经正式在台推动，Visa并提 出具体时程，让相关业者都必须提前做好准备。 以代码化技术而言，它在2014年成为支付产业标准组织EMVCo的正式标准，该技 术将信用卡的16位数号码，置换为另一组16位字串，最主要的目的，就是为了降 低资料价值，让实际的信用卡号码只会使用在一开始的请求过程中，之後的存放 与传送过程，其实都是使用另一组代码。 目前，这样的安全技术早已应用在Apple Pay、Google Pay与Samsung Pay等国际 行动支付当中，让使用者在这些行动支付中所绑定的信用卡，更有保障性。然而 ，随着行动支付越来越普遍，Visa也期望将代码化技术扩及更多应用环节，尤其 是对於资料在商家的面向。 例如，在第一阶段，今年10月1日前，他们预计要让商家导入应用程式内交易代 码化，当消费者在应用程式内支付选项中，就可以使用上述已采代码化技术的行 动支付工具来付款。换言之，在商家App内即可呼叫Apple Pay、Google Pay等应 用。 到了2021年，Visa期望代码化的支付资讯，能够为商家在资讯安全带来多一层的 防护。在1月1日，先是所有收单行（提供刷卡机或网路刷卡机制的机构）的支付 闸道业者需支援EMV规格代码化，国内这类业者包括乔睿科技与CyberSource等， 接下来希望在在7月1日之前，促成储存信用卡资料的大型店家能达到要求，例如 ，每年处理100万笔交易的商户，在支付帐户存档方面都要使用代码化技术，以 保护这些储存敏感资料，而其他企业也要做好准备，因为在一年後，2022年的7 月1日，他们希望所有商户都要准备就绪，保护信用卡资料都要使用代码化技术 。 这麽做有什麽好处？简单来说，现在的线上刷卡很方便，一些网路商店会询问消 费者是否储存信用卡号，让日後消费不用再次输入，而代码化技术则可降低资料 价值，信用卡组织希望这样安全的技术，也能用在商家的App之内，让店家App本 身不用处理卡号的资料，而收单行下面的支付闸道业者也要先有能力处理代码化 交易，更进一步，就是让所有电子商务业者都这麽做，使真正信用卡的资料，不 会因为保留在商家或传送过程遭骇，而被盗取。 https://imgur.com/tpjY9SH 对於支付安全的未来发展，Visar近日公布台湾近三年的支付安全发展蓝图，推 动EMV 3D Secure（3-DS 2.0）验证，以及商户采用代码化技术是两大主轴。 今年支付安全着重在商家App，可呼叫采代码化技术的行动支付 综观Visa在此方面的推动，对於商家储存信用卡资料的安全性，显然该公司是希 望在三年内，让商家要以更安全的代码化技术，来替代传统保护方式，进一步提 升支付的安全。 然而，目前上述这些代码化技术的应用，其实还不是强制的规定，对此，Visa风 险管理部副总经理沈玟芳表示，目前该公司在支付安全提供业界一个方向，等到 全球市场的采用程度到达一定水准，不排除让所有业者都纳入。 至於国内商家App的代码化技术应用现况如何？例如，去年台湾大车队推出的 55688 App，在绑定信用卡功能上，采用了业者提供的Token代码化服务，但国内 其他企业店家的App是否也都这麽做，例如，国内全福利中心的PX Pay，以及新 光三越百货的Skm Pay，虽然在其官方网站上指出符合PCI DSS支付卡产业资料安 全标准的规范，却未提及代码化技术，到底是否已经采用这项技术呢？沈玟芳表 示，国内多数业者都还没有使用代码化技术，她进一步解释，目前在App绑定信 用卡方面，称之为Card On File Tekonization，而应用程式内交易代码化则不 同，在应用程式付款时，除了看到输入信用卡，如果可以在App内看到Apple Pay 、Google Pay、Samsung Pay等支付选项，就代表提供In-App Tekonization，也 就是今年他们正推行的应用程式内交易代码化，两者都是强化现有支付安全的方 式，可降低真实信用卡号的外曝风险。 新一代3-DS验证更名，台湾有3大行业商家需在2021年1月采用，并期望三年内 提供消费者控制权 第二个焦点在於新一代的3-DS验证的推动，今年终於有了明确的时程，同时，有 3类型商家在明年来临之前必须要遵循。 关於3-DS验证，1.0版是在2000年推出，国内金融业者都已经导入，至於2.0版， 则是在2016年公告。特别的是，沈玟芳指出，自今年开始，Visa开始将3-DS 2.0 改称「EMV 3-DS」。 这项机制，主要提供线上交易用户身分认证，防止消费者未授权的线上刷卡行为 ，像是需要接收SMS简讯来确认，只是过去在3-DS 1.0时代，其实许多国内商家 都未提供这个验证功能，或是选择只在注册时采用，不在每笔交易时采用，原因 在於当时用户体验不好，可能会增加商家的掉单率。而新的EMV 3-DS验证机制， 将利用更多资料来验证与安全，期望减少消费者烦琐的验证步骤，并让更多商家 采用。 以全球各国来看，新版3-DS验证在欧洲的发展脚步最快，在台湾也有业者采用， 例如，中国信托商业银行於2019年10月，率先宣布导入这项新的验证系统，根据 该公司说明，过去3DS 1.0系统仅能使用网页开启密码验证系统，这种方式在行 动装置上网刷卡消费时，验证视窗容易影响消费体验，也容易遭受恶意攻击，引 导消费者连结至恶意的钓鱼网页。而在金融业者开始导入新的验证系统後，当时 并无法得知有那些国内商家开始布局。 现在，Visa有了答案，EMV 3-DS验证在这次公布的安全支付蓝图之中，他们提到 几项目标。首先，他们将促成全台金融发卡机构，在今年10月1日前，要有9成都 导入EMV 3-DS验证系统。 接下来，到了2021年1月16日，将开始针对高诈欺风险的电子商务商户做要求。 目前规范那些业者需要采用？沈玟芳表示，目前台湾强制要求3个类别的商户， 包括交通运输类、旅行业与电脑服务业，主要原因在於，这些类别在2019年比较 容易受到网路攻击。 而国内主流电商是否使用3-DS？她表示，目前他们持续与收单机构进行沟通，同 时说明台湾的电商风险其实并不是那麽高，因此没有规画在第一阶段的2020年就 要完成，他们认为，主要风险都在国外，所以先行采用，例如，欧洲电商的实施 比较早。 较值得注意的是，沈玟芳指出，若是商家提早采用EMV 3-DS验证，这其实意谓着 金融机构也要先就绪，主要是因为亚太地区责任移转计画，将在4月18日开始， 店家可将诈欺责任转嫁到发卡机构。 最後，他们则是希望给予消费者控制权，时间是在2022年7月1日之前。例如，使 用者在没有出国时，可以自行把国外交易关闭，或是将网路消费关闭，等到消费 时才开启，他们希望银行可以把这样的功能，设计到App或网路银行上，让客户 加入风险决策过程。 新旧3-DS交易验证系统在使用资料方面的差异 https://imgur.com/1xZW9dy 在2019年6月，Visa曾在台说明3-DS 2.0验证机制的不同之处，当时就提到，新 交易验证机制将利用更多资料来验证与安全，像是网购使用的IP位置、浏览器时 区、时间与电商名称，以及信用卡持有人的邮件、行动电话、寄送地址等资讯， 这些内容将帮助加速判断交易真伪，简化流程并降低对於商家掉单率的影响。 3-DS 1.0用以验证的资料 ●Acquirer BIN ●Acquirer Merchant ID ●Browser User-Agent ●Cardholder Account Number ●DS URL ●Message, Extension, Version EMV 3-DS(3-DS 2.0)用以验证的资料 ●3DS Requestor Authentication Information (Method), Challenge Indicator, ID, Initiated Indicator ●3DS Requestor Authentication Method Verification Indicator ●3DS Requestor Decoupled Max Time, Decoupled Request Indicator ●3DS Requestor URL, App URL ●3DS Server Reference Number, Operator ID, Transaction ID, UR ●Account Type ●Acquirer BIN ●Acquirer Merchant ID ●ACS Decoupled Confirmation Indicator ●Address Match Indicator ●Browser Accept Headers ●Browser Java Enabled, Language, Screen Color Depth, Height, Widt ●Browser Time Zone ●Browser Time ZoneJavaScript Enable ●Browser User-Agent ●Card Expiry Date ●Cardholder Account ●Cardholder Account Identifier, Billing Address ●Cardholder Account Number ●Cardholder Email Address, Home Phone Number, Mobile Phone Number, Work Phone Number ●Cardholder Name ●Cardholder Shipping Address ●Device Channel, Device Information, Rendering Options Supported ●DS Reference Number, Transaction ID ●DS URL ●EMV Payment Token Indicator, Payment Token Source ●Information (Account Age, Change, Password Change, Number of Transactions per Day / Year, Shipping Name Indicator, Suspicious Activity, Payment Account Age etc ●Instalment Payment Data ●IP address ●Merchant Category Code ●Merchant Country Code ●Merchant Name ●Merchant Risk Indicator (Delivery Timeframe, Re-order, Pre-order, Gift Card) ●Message Category, Extension, Type, Version ●Message Category, Type ●Purchase Amount, Currency, Date & Time ●Purchase Date & Time ●Recurring Expiry, Frequenc ●SDK App ID, SDK Encrypted Data, Ephemeral Public Key ●SDK Reference Number, SDK Transaction ID ●Transaction Type ●Whitelisting Status, Status Source ※另外还可加上Travel Industry的资料 特别值得一提的是，目前国际支付产业标准组织EMVCo也在推动无摩擦认证 Frictionless Authentication，包括像是与FIDO联盟合作，并与Secure Remote Commerce（SRC）工作小组持续推动。 对於去年刚成形的SRC标准，这次我们询问Visa亚太区总裁Chris Clark，他表示 ，这项机制目的是让交易更加流畅，对持卡人与商户来说，可以更方便。而这样 的机制需要以代码化技术做为基础，同时也跟EMV 3DS验证系统相辅相成，也是 他们发展的一个环节。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.230.90.218 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1586370672.A.3A3.html