全球最安全的支付系統(tǒng)是什么？

5月，在新加坡舉行的2018 VISA亞太區(qū)支付安全峰會(huì) (2018 Visa Asia Pacific Security Summit)上，超過(guò)60歲的Visa與其合作方們，針對(duì)全球支付領(lǐng)域最先進(jìn)的物聯(lián)網(wǎng)支付技術(shù)等新科技和傳統(tǒng)支付手段的安全性進(jìn)行探討。

Visa亞太區(qū)總裁柯如龍(Chris Clark)介紹，Visa在1958年發(fā)行了首張BankAmericard，至1997年首次達(dá)到1萬(wàn)億美元的年交易總額。2008年，重組后的Visa Inc整合了美洲、亞洲、中東歐與非洲地區(qū)的市場(chǎng)，于美國(guó)上市，是同年全球最大的IPO。

Visa亞太區(qū)總裁柯如龍

有別于銀行與發(fā)卡機(jī)構(gòu)，Visa公司扮演的角色是提供交易處理和運(yùn)營(yíng)系統(tǒng)的網(wǎng)絡(luò)處理服務(wù)商。目前在國(guó)內(nèi)，扮演卡組織角色的是銀聯(lián)，而在國(guó)際上，全球最大的兩個(gè)卡組織分別是美國(guó)的Visa與Mastercard。

柯如龍強(qiáng)調(diào)，從品牌成立至今，經(jīng)過(guò)Visa網(wǎng)絡(luò)的交易從未發(fā)生過(guò)網(wǎng)絡(luò)被攻擊事故。在用戶數(shù)量逐年增大的情況下，Visa卡的欺詐率逐年下降，其中的原因在于Visa采取了“多管齊下”的網(wǎng)絡(luò)安全策略，是Visa常說(shuō)的“四大安全支柱”理念，即數(shù)據(jù)保護(hù)、數(shù)據(jù)脫敏、數(shù)據(jù)挖掘與分析和消費(fèi)者教育。另外，也歸功于Visa對(duì)客戶信息保護(hù)近乎苛刻的規(guī)定和要求。

在Visa全球支付處理網(wǎng)絡(luò)上，VisaNet每秒鐘處理65000筆交易。每筆交易由消費(fèi)者的刷卡動(dòng)作開(kāi)始，VisaNet對(duì)其賬戶信息進(jìn)行加密，再將編碼后的信息傳輸給發(fā)卡銀行，信息解密后，發(fā)卡行核實(shí)持卡人信息，并授權(quán)消費(fèi)金額給收單行，收單行再傳回商戶，整個(gè)過(guò)程在1秒內(nèi)完成。除了消費(fèi)者的銀行卡號(hào)與消費(fèi)金額，Visa并不獲取持卡人更多信息。

中國(guó)電子支付發(fā)展迅猛，國(guó)內(nèi)的消費(fèi)者似乎已經(jīng)習(xí)慣了手機(jī)支付帶來(lái)的便捷與效率。然而，便捷的模式之下，對(duì)于信息安全的擔(dān)憂是消費(fèi)者在數(shù)字支付領(lǐng)域最關(guān)心的問(wèn)題之一。

與國(guó)際卡組織的支付模式相比，國(guó)內(nèi)多數(shù)電子支付的模式是繞開(kāi)卡組織進(jìn)行的“三方支付”，即第三方機(jī)構(gòu)繞開(kāi)卡組織，與商戶和用戶直連，相較國(guó)際通行的“四方模式”少了卡組織的信息加密傳遞。

Visa所代表的“四方模式”是在三方支付的基礎(chǔ)上，增加卡組織作為銀行、用戶和商家之間的“連接器”與網(wǎng)絡(luò)處理商的角色。很大程度上，卡組織所做的工作無(wú)法靠金融機(jī)構(gòu)和商戶一己之力去完成，尤其是在確保支付系統(tǒng)在全球范圍的安全性上，Visa作為卡組織發(fā)揮了關(guān)鍵性作用。

支付行業(yè)對(duì)安全性有著極高要求，科技的進(jìn)步和時(shí)代的變遷也敦促支付行業(yè)需要不斷進(jìn)行創(chuàng)新和變革。

Visa的解決方案是，推動(dòng)電子令牌技術(shù)的發(fā)展。Visa全球副董事長(zhǎng)兼首席風(fēng)險(xiǎn)官艾睿琪女士強(qiáng)調(diào)，Visa一向提倡“負(fù)責(zé)任的創(chuàng)新”理念，它意味著支付創(chuàng)新不僅要在便捷性和安全性之間找到平衡，還要充分利用新技術(shù)來(lái)提升支付的安全性。

目前在移動(dòng)支付中，電子令牌（Token）技術(shù)被廣泛應(yīng)用。支付過(guò)程中的每一筆交易，參與的發(fā)卡行、收單行和商戶所收到的都是經(jīng)過(guò)重新編碼和加密的令牌，商家在收款時(shí)將不會(huì)獲得Visa持卡人或賬號(hào)持有者的真實(shí)卡號(hào)（或賬號(hào)）信息。

當(dāng)使用了電子令牌技術(shù)后，持卡人的16位卡號(hào)將被轉(zhuǎn)化為電子令牌的虛擬賬號(hào)，萬(wàn)一虛擬賬號(hào)被盜，金融機(jī)構(gòu)只需重新分配給客戶一個(gè)電子令牌，而無(wú)需發(fā)出新的卡片。

Visa大中華區(qū)首席風(fēng)險(xiǎn)官楊景香女士對(duì)界面新聞?dòng)浾咄嘎叮蛑Ц缎袠I(yè)安全的最高標(biāo)準(zhǔn)由PCI (Payment Card Industry) 安全委員會(huì)制定，它是一個(gè)非盈利支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)組織，成立于2006年，Visa與Mastercard、JCB都是該組織的重要發(fā)起成員。

據(jù)了解，中國(guó)國(guó)內(nèi)目前只有兩家公司加入了PCI標(biāo)準(zhǔn)委員會(huì)：一個(gè)是德國(guó)艾特賽克(atsec)在中國(guó)注冊(cè)的子公司，另一個(gè)是中國(guó)銀聯(lián)旗下的子公司BCTC。PCI所倡導(dǎo)的數(shù)據(jù)安全標(biāo)準(zhǔn)是動(dòng)態(tài)的，會(huì)跟著安全事件的發(fā)生而變化，一年內(nèi)也可能不斷地發(fā)布新的支付安全標(biāo)準(zhǔn)，有專(zhuān)人專(zhuān)職在進(jìn)行動(dòng)態(tài)管理。

Visa推廣并實(shí)施的PCI DSS（Payment Card Industry Data Security Standard）標(biāo)準(zhǔn)，是全球支付行業(yè)的安全標(biāo)桿，其中最重要的原則就是對(duì)于消費(fèi)者的信息，“能不儲(chǔ)存，就不儲(chǔ)存”。例如，每張Visa卡片背面的CVV2是一個(gè)用于網(wǎng)上交易時(shí)的身份識(shí)別數(shù)據(jù)。當(dāng)持卡人進(jìn)行網(wǎng)上消費(fèi)時(shí)，會(huì)被要求提供這個(gè)CVV2三位數(shù)，以證明這張卡片在持卡人手里，從而確認(rèn)消費(fèi)者身份。但是許多商家與網(wǎng)站往往為了方便消費(fèi)者支付，會(huì)儲(chǔ)存卡背后的CVV2三位數(shù)字，這在PCI標(biāo)準(zhǔn)中是不允許的。

楊景香表示，Visa對(duì)于所有與卡組織有合作的商戶、發(fā)卡方，無(wú)論規(guī)模大小，均要共同執(zhí)行PCI標(biāo)準(zhǔn)，這是為保護(hù)消費(fèi)者信息設(shè)置的硬規(guī)定。

在今年的Visa亞太區(qū)支付安全峰會(huì)現(xiàn)場(chǎng)，界面新聞?dòng)浾咦⒁獾剑?Visa為方便技術(shù)合作伙伴的創(chuàng)新預(yù)留了一席之地。通過(guò)搭載Visa的核心加密技術(shù)，許多品牌的手表、胸針都能成功實(shí)現(xiàn)在POS機(jī)器上免密支付。

搭載了特殊芯片的可穿戴設(shè)備，能夠在接入Visa的非接觸式支付終端設(shè)備上實(shí)現(xiàn)觸碰“秒付”。工作人員告訴界面新聞?dòng)浾?，這樣的物品支付限額一般在500美金以內(nèi)，但根據(jù)各個(gè)國(guó)家的要求也會(huì)上下浮動(dòng)。

基于芯片的移動(dòng)支付技術(shù)之所以比基于塑料磁條的傳統(tǒng)支付技術(shù)更為安全，是因?yàn)橐孕酒鳛閮?nèi)核，黑客無(wú)法像復(fù)制磁條制造偽卡一樣偽造芯片。即使不使用密碼，也能夠通過(guò)聲紋、指紋等輔助的生物識(shí)別技術(shù)安全支付。

此前在平昌冬奧會(huì)上，Visa為合作伙伴帶來(lái)了免密支付的手套、紀(jì)念帖紙、紀(jì)念章等產(chǎn)品，其中搭載的核心技術(shù)也是Visa的NFC和“tokenization”，即令牌化技術(shù)。

平昌冬奧會(huì)上Visa的支付勛章

楊景香透露，蘋(píng)果手機(jī)Apple Pay的支付功能，其背后使用的正是Visa的Token技術(shù)。

而對(duì)于支付領(lǐng)域備受關(guān)注的生物識(shí)別技術(shù)，楊景香并未表現(xiàn)出過(guò)多的熱情。她認(rèn)為，生物識(shí)別或傳統(tǒng)密碼支付，都只是Visa支付安全解決方案中的一種應(yīng)用。傳統(tǒng)的PIN和密碼支付或許在未來(lái)有可能被生物識(shí)別技術(shù)代替，但更大的可能性是新興技術(shù)與現(xiàn)有身份識(shí)別方式的和諧共存。對(duì)Visa來(lái)說(shuō)，不存在技術(shù)迭代帶來(lái)的危機(jī)，無(wú)論是新技術(shù)還是傳統(tǒng)支付手段，安全是唯一的考量標(biāo)準(zhǔn)。

目前，Visa在中國(guó)發(fā)行的卡片數(shù)量超過(guò)1億兩千萬(wàn)張，足以滿足國(guó)內(nèi)出境旅游的持卡人的使用需求。

柯如龍表示，由于中國(guó)電子支付市場(chǎng)尚未對(duì)國(guó)際卡組織開(kāi)放， Visa至今沒(méi)有獲得在國(guó)內(nèi)的清算處理牌照，但Visa期待能夠加強(qiáng)與中國(guó)政府監(jiān)管部門(mén)和金融機(jī)構(gòu)的溝通與合作，早日參與到中國(guó)電子支付的大變革和大發(fā)展中，為中國(guó)的合作伙伴和消費(fèi)者創(chuàng)造價(jià)值。