重點(diǎn)提示
根據(jù)調(diào)研公司JuniperResearch的研究顯示,移動(dòng)支付到2015年預(yù)計(jì)可達(dá)6700億美元*(約合人民幣4.1萬(wàn)億元)。其主要推動(dòng)力來(lái)自移動(dòng)POS(mPOS)解決方案、移動(dòng)票務(wù)和近場(chǎng)通信(NFC)交易日趨廣泛的使用。事實(shí)上,調(diào)研公司ABIResearch已預(yù)測(cè),到2019年,mPOS設(shè)備的安裝基數(shù)將很快占市場(chǎng)上所有pos機(jī)的46%,在五年期內(nèi)將以5倍的速度增長(zhǎng),在全球達(dá)到5100萬(wàn)臺(tái)。
許多因素推動(dòng)了mPOS支付方案的快速運(yùn)用。移動(dòng)設(shè)備的高滲透率是一方面。根據(jù)comScore的一項(xiàng)最新調(diào)查顯示,亞洲的移動(dòng)設(shè)備滲透率最高,90%的受訪者使用智能手機(jī),62%擁有平板電腦。
mPOS機(jī)購(gòu)置部署的成本低也是另一因素。傳統(tǒng)POS機(jī)需要支付高昂的安裝費(fèi),還需要用高昂的專(zhuān)用通信線路連接第三方支付服務(wù)提供商(PSP)的網(wǎng)絡(luò),才能實(shí)現(xiàn)收銀臺(tái)付款服務(wù)。相比之下,移動(dòng)支付僅需讀卡器作為移動(dòng)設(shè)備的配件。
Thalese-Security亞太地區(qū)區(qū)域營(yíng)銷(xiāo)總監(jiān)葉維屏透露:“mPOS機(jī)給商戶(hù)帶來(lái)了很高的靈活性。目前,mPOS機(jī)讀卡器的成本每臺(tái)只要幾百美元,有的甚至還不到200美元。”
商戶(hù)只需將新式的mPOS讀卡器插入平板電腦等移動(dòng)設(shè)備,就能搭載豐富的媒體應(yīng)用。例如,同時(shí)運(yùn)行會(huì)員積分計(jì)劃等應(yīng)用,通過(guò)展示更具視覺(jué)沖擊力的圖像促進(jìn)銷(xiāo)售,還能讓顧客邊結(jié)賬邊逛店,這種移動(dòng)性的增加同樣有利于提升銷(xiāo)售。人們可能沒(méi)有意識(shí)到,mPOS支付方案其實(shí)具有更高的數(shù)據(jù)安全性,這其實(shí)是它的另一個(gè)重要的附加值。
葉維屏說(shuō):“我們總認(rèn)為用傳統(tǒng)的POS機(jī)比較安全,因?yàn)樗鼜V泛應(yīng)用PCI-DSS(支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))。然而,最近美國(guó)知名零售商塔吉特集團(tuán)(Target Group)發(fā)生的數(shù)據(jù)泄露事件給我們敲響了警鐘。”調(diào)查發(fā)現(xiàn),在感恩節(jié)前一天到12月15日期間,傳統(tǒng)的POS機(jī)根本無(wú)法阻擋塔吉特超市內(nèi)發(fā)生的數(shù)據(jù)盜竊。期間,塔吉特在美國(guó)的1797家門(mén)店幾乎全部遭殃,黑客在其門(mén)店的4萬(wàn)臺(tái)信用卡讀卡器上遠(yuǎn)程安裝軟件,成功盜取了塔吉特的客戶(hù)數(shù)據(jù)。
塔吉特承認(rèn),約4000萬(wàn)消費(fèi)者的信用卡和借記卡數(shù)據(jù)可能被盜。該事件成為美國(guó)零售商的第二大銀行卡泄露事件。
葉維屏談道:“我們必須理解商戶(hù)的核心競(jìng)爭(zhēng)力并不是數(shù)據(jù)安全,而且處處保護(hù)數(shù)據(jù)也是件極其復(fù)雜的事。”
葉維屏進(jìn)一步解釋道,支付的傳統(tǒng)四方業(yè)務(wù)模式涉及到銀行、收單行、商戶(hù)和消費(fèi)者,在此模式下,支付卡產(chǎn)業(yè)的交易安全標(biāo)準(zhǔn)主要適用于從商戶(hù)端到收單行之間的設(shè)備,如圖1所示。
圖1
驗(yàn)證一筆交易需要三個(gè)主要的密鑰:商戶(hù)密鑰、設(shè)備密鑰和PSP密鑰。消費(fèi)者的PIN碼是加密的,但并非對(duì)所有消費(fèi)者的數(shù)據(jù)來(lái)說(shuō)都是必須的,尤其是當(dāng)同時(shí)處理大量交易可能造成網(wǎng)絡(luò)數(shù)據(jù)溢出。在葉維屏看來(lái),這可能是塔吉特案例中遇到的一個(gè)主要問(wèn)題。引入mPOS設(shè)備后,消費(fèi)者的所有數(shù)據(jù)和PIN碼在整個(gè)流程中都得到了保護(hù)和加密,如圖2所示。
圖2
葉維屏指出:“mPOS滿(mǎn)足了三個(gè)重要的安全流程。第一,它保護(hù)了讀卡器中的密鑰。第二,它確保PIN碼絕不會(huì)暴露在防篡改安全模塊(TRSM)之外。第三,它將PSP網(wǎng)關(guān)的解密數(shù)據(jù)與商戶(hù)網(wǎng)絡(luò)隔絕。”
所以,無(wú)需信任整個(gè)網(wǎng)絡(luò),就能隨時(shí)隨地接受信用卡。事實(shí)上,智能手機(jī)和平板電腦上豐富靈活的用戶(hù)界面讓商戶(hù)擺脫了用傳統(tǒng)POS機(jī)時(shí)所受?chē)?yán)格控制。因?yàn)檎麄€(gè)流程縮小了PCI DSS認(rèn)證范圍,將新商戶(hù)尤其是那些小商戶(hù)的購(gòu)置成本降到了最低。
圖3
葉維屏解釋說(shuō):“最重要的是,這種新的支付方式可能更安全。過(guò)去,在終端機(jī)中注入密鑰必須一個(gè)個(gè)手動(dòng)完成,但在mPOS的應(yīng)用中,所有設(shè)備可以隨時(shí)進(jìn)行無(wú)線同步更新。此外,讀卡器本身獨(dú)立存在于一個(gè)外形較小的配件中,意味著它更不容易被破解。
“它還能消除微商戶(hù)無(wú)卡交易的高風(fēng)險(xiǎn)。在Visa和萬(wàn)事達(dá)卡看來(lái),無(wú)卡交易在銀行卡欺詐中排名第一。而通過(guò)與支付網(wǎng)關(guān)的HSM硬件互補(bǔ),mPOS提升了安全,簡(jiǎn)化了操作。”
葉維屏援引了最近Royal Gate的例子。RoyalGate是一家B2M(面向市場(chǎng)營(yíng)銷(xiāo)的電子商務(wù)企業(yè))平臺(tái)提供商,總部設(shè)在日本。作為一家初創(chuàng)企業(yè),RoyalGate面臨著各類(lèi)重大挑戰(zhàn)。首先,它必須確保讓大企業(yè)無(wú)論何地都能收款。其次,它還需要支持所有類(lèi)型的銀行卡的支付,包括磁條卡和EMV接觸式及非接觸式卡。此外,在日常運(yùn)營(yíng)中Royal Gate還需要在非受信的設(shè)備上和網(wǎng)絡(luò)中保護(hù)數(shù)據(jù)。
圖4
采用mPOS方案后,Royal Gate能在生產(chǎn)mPOS讀卡器時(shí)生成并注入密鑰。它還在交易中運(yùn)用了DUKPT(一次一密)協(xié)議,即使發(fā)生數(shù)據(jù)泄露,也能將風(fēng)險(xiǎn)縮小到一筆交易上。
消費(fèi)者在商戶(hù)處刷卡后,讀卡器會(huì)通過(guò)藍(lán)牙連接平板電腦,然后通過(guò)安全交易SSL鏈接將交易路由至Royal Gate的支付數(shù)據(jù)中心,再將付款傳到收單行。該系統(tǒng)可讓RoyalGate一次處理100萬(wàn)個(gè)特殊加密的密鑰。
雖然mPOS機(jī)能為商戶(hù)提供更安全的解決方案,但是近年來(lái)新出現(xiàn)的三方支付模式仍給支付帶來(lái)一定的安全風(fēng)險(xiǎn)。
葉維屏說(shuō):“像Paypal和支付寶這類(lèi)第三方支付平臺(tái)的興起將傳統(tǒng)的四方模式轉(zhuǎn)向了三方模式,因?yàn)榇祟?lèi)第三方支付平臺(tái)既付款也收款,在一個(gè)平臺(tái)上分飾兩角。對(duì)商戶(hù)來(lái)說(shuō),交易的手續(xù)費(fèi)會(huì)降低,但是在新的支付環(huán)境中交易到底有多安全仍有待進(jìn)一步審查,更何況第三方支付平臺(tái)可能會(huì)面臨政府日趨嚴(yán)格的監(jiān)管措施,這肯定也會(huì)影響到業(yè)務(wù)。”