账号:
密码:
CTIMES / 文章 /   
后卡债时代的新网路支付工具
 

【作者: 淩育健】2007年02月15日 星期四

浏览人次:【3855】
  

近年来由于双卡风暴的影响,让发卡银行体验到利润背后的风险;台湾金融机构对于持卡人的授信考量,将步上金融发展成熟国家的后尘,授信额度将趋于严谨,信用交易将更为谨慎。为维持消费者方便的支付方式,同时平衡金融支付工具的发展,台湾需要建立更完善的支付机制,因应后卡债时代的市场需求,使消费者能使用最合适的支付工具进行消费。


目前「消费扣款」的消费模式,可让消费者利用晶片金融卡刷卡消费。 「消费扣款」模式让持卡人不需要负担刷卡手续费,消费金额将直接由帐户中扣除,同时针对扣款错误与退货的问题,提供相关的反向处理交易。这将可提供商家更弹性的计费模式,让网路商家选择交易以固定手续计算或以交易百分比计算。本文将分析台湾支付市场的需求,并介绍各主要支付工具的安控与金流服务。


台湾EC交易支付工具概况

现阶段网站交易主要的线上支付方式是以信用卡、银行汇款转帐、便利商店缴费、邮政划拨、货到付款、传真信用卡订单以及其他(E-coin/行动支付)等为主。根据2005年资策会创新研究所进行的调查显示,网站交易还是以信用卡、银行汇款以及便利商店缴费为主,如(表一)所示:


(表一) <资料来源:2005电子商务法制及基础环境建构计画/资策会创新所整理>

 

消费者

使用比例

商家

提供比例

商家成本

消费者

成本

支付

模式

信用卡

31.8%

23.8%

2.65%~3%

1~3万年租费

0元

线上

银行汇款转帐

24.3%

28.60%

实体帐户0元

虚拟帐户12元

17元

线上/实体

便利商店缴费

22.6%

4%

25元

0元

实体

邮政划拨

7.9%

11.20%

10~15元

0元

实体

货到付款

7.4%

14.70%

0.8%~1.5%

(依商家消费者协议付费)

实体

传真信用卡订单

5.%

7.90%

同信用卡

0元

实体

其他(E-coin/行动支付)

0.6%

6.20%

依方式

3%~20%

0元

线上

智慧卡

0.2%

0.30%

同信用卡

0元

线上

支票/现金袋

0.1%

3.30%

0元

0元

实体


安全性有待加强

线上交易的安全问题一直以来都是阻碍电子商务发展的主因之一,根据资策会去年针对消费者「不放心从事网购」的调查,消费者主要仍对虚拟商品通路有很大的心理障碍,其次则以交易安全与个人资料安全考量,也占有相当大的比重,如(表二)所示。


(表二) <资料来源:资策会,2006年10月>

不放心从事网购原因

2005

2006

无法亲自检视商品

72

77

售后服务不确定

34

43

交易不够安全

39

29

个人资料隐私权

36

27

网路商店信用度不明

25

26

取/送货速度太慢

10

15

商品资讯不足

11

13

价格不够吸引人

10

12

商品品牌不熟悉

9

12


以商家角度分析

整体市场规模以投资理财44.7%的比例最高,其次为17.5%的旅游服务,再次为占11.3%的美容商品。这些属于单价较高的商品,若使用信用卡交易商家相对要负担较高的手续费。相对于「消费扣款」,收单银行在「消费扣款」上可提供商家更弹性的计费方式,商家可依据不同的商品鼓励消费者用不同的支付工具。



《图一 》
《图一 》数据源:资策会,2006年11月

以消费者角度分析

消费者对于价格与方便性相当注重,特卖促销与加值服务对消费者而言也具有吸引力。但由于商家把信用卡作为支付工具的手续费与风险转嫁到消费者身上,因此也降低消费者以此线上交易的意愿。


(表三) <资料来源:资策会,2006年11月>

从事网购原因

2005

2006

售价较便宜

46

55

方便搜寻商品资讯

45

48

送货到府

39

42

有特卖活动或赠品

30

35

商品资讯丰富且更新快速

27

30

没时间逛街购物

20

19

购买较私密的商品

14

9


分析与归纳

对消费者与网路商家来说,价格与成本都是重要因素,信用卡盗刷问题也加重商家的营运成本,消费者对网上交易安全仍有心理阻碍。不过晶片金融卡的「消费扣款」模式,可提供弹性的计费模式,能为商家节省成本,并能保障安全,防止盗刷。下面将深入讨论信用卡与晶片金融卡的安全机制。


线上交易机制安全

线上交易安全可分为技术与心理两层面,前者确保交易资料的隐密性与正确性,后者则是增加消费者到网路商店交易的信赖度。若以技术方式分类,可把常用线上即时支付工具区分为磁条卡(磁条信用卡)以及晶片卡(晶片信用卡、晶片金融卡)等。


磁条卡交易安全机制

目前磁条信用卡提供卡号、有效日期与信用卡背面的CVV Code作为交易的认证,但这些资讯都是以明码写在信用卡上面,安全性堪虑。因此VISA国际信用卡组织推出VISA 3-D的验证服务,MasterCard与JCB也相继支援这样的线上验证方式。


VISA 3D

信用卡虽在线上购物领域发展多年,却无法如实体商店交易般蓬勃发展,在于网路交易之安全性一直被受争议,成为阻碍电子商务发展的最重要因素。虽然国际组织自1996年起推动SET验证机制,但SET验证机制投资规模大且程序复杂,因此市场接受度有限。


为解决问题,VISA国际组织规划对网路特约商店、发卡银行及持卡人建立全球通用的VISA 验证服务。这项全球通用的系统包含了编码技术、逻辑通行管制、实体资料保护及网路安全。


3-D Secure交易就是VISA国际组织所推动的安全交易新模式;MasterCard与JCB国际组织也随后采用。 3-D Secure相容性高,能相互整合其他网路支付解决方案,所谓「Visa/MasterCard/JCB验证支付」便以3-D Secure安全模式为基础。操作平台能够透过网路连线,即时确保参与网路交易的 VISA或是MasterCard 持卡人与网路特约商店获得银行授权,保护持卡人进行网路交易时所输入的资讯。


晶片卡交易安全机制

晶片卡说明

IC卡(Integrated Circuits Card)或智慧卡(Smart Card)最早是1974年由法国人Roland Moreno确立架构,卡片内含微型矽晶片,具有运算及资讯处理能力,密码装置使其较一般磁条卡有较高的安全性,因而应用广泛。晶片卡特性可分为记忆卡(Memory Card)和智慧卡(Smart Card 或CPU Card)两者。记忆卡没有微处理器,仅具有储存资料以及固定简易的逻辑运算功能,无法进行复杂的数学运算。因此记忆卡安全性较低,通常被应用于如电话卡、门禁卡与大众捷运卡等。智慧卡具有微处理器,可进行如加解密等较为复杂的数学运算。智慧卡功能性较为多样化,能同时进行较复杂的安全机制。


至于在读写介面部分可分为以下几类:


  • ●接触式IC卡(Contact Card):IC卡必须与读写器接触,由读写器读取资料后由程式判断资料来源、使用者权限、写入相关资料、记载IC卡进出系统、使用系统资源之记录。


  • ●非接触式IC卡(Contactless Card):IC卡只要与IC卡读写器接近,经感应线圈以无线射频(RF)与读写器感应即可读写,其它功能与接触式相同。


  • ●双介面式IC卡(Combi、Hybrid):将接触式与非接触式两颗晶片植入同一张卡片上,两颗晶片各别独立运作(Hybrid)或于单一晶片上,同时提供接触与非接触二种不同介面(Combi)。



晶片信用卡

目前台湾的「晶片信用卡」智慧卡,使用介面包括接触式与双介面式IC 卡,都是EMV规格。


EMV为Europay、MasterCard及VISA三大国际组织就付款系统(Payment System)所制定的晶片卡相关规格,在1999年2月共同成立之EMVCo组织,主要任务即是维护EMV付款晶片卡标准,确保标准在全球的互通性。


EMV晶片卡提供许多安全机制,主要定义于EMV规格书BOOK 2中,EMV晶片卡的交易流程,大部分以EMV 2000 Version 4.0 BOOK 2为基础,再搭配EMV 2000 Version 4.0 BOOK 3及VISA或MasterCard的实际应用。


在安全流程中,读卡机根据持卡者插入的晶片卡,设定选择适当的应用程式开始交易,读取所需资料如卡号,发卡银行凭证或卡片凭证等。读卡机会对卡片进行初步的离线认证,目前认证方式可区分为SDA(Static Data Authentication)及DDA(Dynamic Data Authentication)两种。 SDA只能确认自卡片读出之部分重要资料内容如卡号效期等,验证是否由合法发卡银行设定且未经窜改,但无法保证卡片是否为伪造。另外在卡片无法被复制的前提下,DDA可确保卡片确实来自合法发卡行。


若要确认持卡者的合法性,透过CVM​​(Cardholder Verification Method)的设定,可证明使用者是否为当初发卡行发卡时所认定的合法持卡者,让发卡行在使用者认证上有更大的弹性。


再来读卡机便会产生线上授权所需的授权请求认证资料(Authorization Request Cryptogram;ARQC)。 ARQC是以每张卡片唯一的基码对相关交易资料做出运算所求得,可保证交易资料的来源辨识性与正确性。读卡机将根据上述步骤的结果与收单行及发卡行核对,决定是否需要线上授权,或直接离线拒绝或同意该交易。


发卡行认可产生授权回覆认证资料(Authorization Response Cryptogram;ARPC)。 ARPC同样是以每张卡片唯一的基码对ARQC和授权结果做出运算所求得,可确证授权结果。含ARPC的授权回覆讯息透过发卡行及相关网路,传送至收单行。完成交易后的交易凭证(Transaction Certificate;TC),可做为后续请款的依据,流程如(图二)所示。



《图二 芯片金融卡认证流程示意图》
《图二 芯片金融卡认证流程示意图》

晶片金融卡

晶片金融卡计划目前共82家金融机构参与,市场约有3766万张晶片金融卡的发行量,目前台湾的晶片金融卡使用的介面是银行公会的6.20规格接触式IC卡。


金融卡与信用卡最大不同之在于是Debit之交易,目前能确保防止木马程式侵入网路银行盗领的好方法,是结合晶片金融卡及晶片卡读取机,连结个人电脑后,便能确保Debit交易的安全。


晶片金融卡交易流程是由持卡人插入晶片金融卡并输入密码就可以进行交易,每输入一次密码可控制只能做一笔交易。读取设备将交易资料传入晶片金融卡并取得交易验证码(Mac)或数位签章(digital signature),并将交易资料送至代理机构,由代理机构将交易资料直接透过跨行网路转送财金公司。财金公司则透过跨行网路,将资料直接转送发卡机构验证卡片交易资料授权码是否无误,再将讯息透过跨行网路传回财金公司。


发卡机构传回同意付款讯息,由财金公司透过跨行网路进行即时代收、付款清算作业,并将讯息传回代理机构。设备最后将确认讯息回传代理、财金、发卡机构,即完成交易。


分析与归纳

无论是以VISA 3D交易或晶片卡的交易,都是为了增加安全性而加入双因子的概念。 VISA 3D除本身卡片的资​​料外还加入另一组密码,晶片卡使用晶片技术,运用密码运算以及晶片防拷贝的特性,保护卡片内的资料隐密性。未来VISA 3D的支付模式也会与晶片卡相互整合,提供更安全的线上支付模式。


未来的整合式金流服务平台

为因应WEB 2.0的创新网路环境,迎接新电子商务世代的来临,未来的整合式金流服务平台需具备以下的条件:


智慧型整合服务

金流服务的目标对象为网路商家,如何提供商家智慧型的服务与协助,替商家选择最有利的支付方式,降低手续费成本,是鼓励商家未来选择金流服务的最重要因素。当消费者键入交易金额时,智慧型系统便能替商家整理最节省手续费的支付方式,有效引导消费者选取付款。


便捷支付服务

方便是消费者选择在网路上消费的主要原因之一,但在汇款与银行转帐部分,目前市场只提供虚拟帐号的方式,持卡人需记下虚拟帐号后再到网路ATM或实体ATM转帐,中间的交易过程未能即时自动化,加上每天三万元的限制,让消费者未能享受即时方便的服务,因此妨碍了Debit支付工具的发展。


晶片金融卡可作为后卡债时代的一种新支付工具。持卡人不论在何种通路使用,只要输入晶片金融卡密码及确认交易讯息后,即可完成消费扣款交易,而无需支付手续费。晶片金融卡可在多元化通路使用,对电子商店而言,没有盗刷风险与手续费分成固定与变动费率的问题;另外对于销售高单价商品的客户,可有效降低风险与营运成本。


安全的支付服务

线上支付需要有足够的安全机制以应付资安问题,但大多数的网路商家都欠缺足够的资安技术。因为网路商家最在意的是利润与永续经营,对资安技术人力的投资较低,间接导致大部分消费者对网路交易产生安全顾虑。


对于消费者而言,安心才是最重要的考量。消费者会以一般印象判断网路商店交易是否安全,政府所推动SOSA优良电子商店认证即为参考指标之一。但认证容易被假冒,且对商家金流资安并未有效地监督,消费者还是有所顾虑。不过消费者可以参考资安业者所提供的安全网站认证标章,拥有此标章的网路商家,代表在网路上传输资料皆经过SSL加密,并已通过特定程序审核。


《图三-b 安全网站认证标章2》
《图三-b 安全网站认证标章2》

结语

因此未来的金流平台,需要提供电子商店足够的资安技术支援,营造能满足消费者安心刷卡的环境。对于合乎安全标准的电子商店,金流服务业者需提供认证机制,让一般消费者判断。这种服务验证机制有待金融单位与相关业务共同实现,只有让消费者更​​有信心,电子商务在网路的发展才能更上一层楼。


(作者为网际威信HiTRUST产品经理凌育健)


相关文章
骇客攻击层出不穷 IoT安全备受关注
5G资讯安全发展现况观察与分析
软硬合击 打造物联网安全环境
物联网安全方兴未艾
工业物联网下的资安思维
comments powered by Disqus
相关讨论
  相关新闻
» 仁大资讯Booster5让小店家也能做在地行销
» 从制造大国迈向创造大国 中国数位制造技术前景看好
» 穗高科技导入资通ciMes落实智慧制造管理
» Criteo研究结果 透过数据掌握全方位消费者
» Sophos 在 Intercept 早期试用方案中新增深度学习功能
  相关产品
» AMD远端工作站扩充支援 Radeon Pro WX 4100绘图卡现已搭载於HPE Edgeline EL4000工程工作站
» 群晖科技推出付费加值服务 提供主动式预警、快速反应时间、24 小时硬体换修等进阶服务
» 女娲创造让机器人走入家中 「凯比同学」成为全新家庭夥伴
» 使用AirCheck G2 Wireless Tester可有效排除WLAN故障
» PTC发表新连网服务解决方案

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2020 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw