數位認證-電子支付的基本要求
過去,商業建立在以物易物及叮噹響的”錢”,而後紙鈔、信用狀、支票、信用卡、ATM、銀行轉帳及網路銀行陸續問世,現在,支付 型態進入另一個轉變:電子支付。根據Visa2016電子支付研究,全球使用行動支付的消費者較去年成長三倍,而土耳其、丹麥、挪威 是最多人使用行動支付的國家。 透過APP消費也帶動今年電子支付成長10% (Capgemini),比預估的全球成長率3.4%快了3倍。而 Worldpay’s 的最新研究也指出,電子錢包將會在2019年取代信用卡,成為最普遍的付款方式。
電子支付的使用提升民眾對資訊安全的疑慮
Thales 與 Wakefield 在美國訪問超過1000名的消費者,探討民眾使用電子支付的方法與他們對交易所感受到的安全性。結果發現, 60%的受訪者都有使用電子支付的服務,Y世代更有74%的人使用這些技術服務。最受歡迎的電子支付平台是 PayPal,約占51%;其他電子支付平台則只有約10%的使用率。
- PayPal (51%)
- Apple Pay (11%)
- Google Wallet (7%)
- Android Pay (6%)
- Chase Pay (6%)
- Samsung Pay (5%)
- Venmo (3%)
然而當電子支付成為一個更快速、簡單及便利的支付方式時,人們也對其安全性產生疑慮。
- 約有9成(88%)的人表示,如果因網路犯罪而資訊洩漏,遭受損失時,將停止使用該電子支付平台。
- 40%的人表示,旅行中使用電子支付會感覺不安全
民眾停止使用電子支付的導因如下:
- 銀行帳戶存款被竊– 70%
- 信用卡帳戶出現未授權的消費– 68%
- 帳號及密碼被竊– 59%
- 垃圾郵件增加– 30%
消費者很享受電子支付所提供的便利性,然而行動支付業者應該認知到,消費者未來是否使用他們的服務/產品,取決於消費者的信任度。我們都知道公司信用可能毀於任何一個失誤,因此,行動支付業者應在基礎設施、交易和資訊上,提供符合消費者期望的強力保護措施。
如何建立行動及電子支付的數位認證
使用加密設備是電子支付的關鍵技術,雖然加密技術已行之有年,但現在受到更廣泛地部屬應用,以確保支付資訊從開始就受到保護。這增加了支付平台業者的經營彈性,因為資訊可以通過行動電話等不受信任的設備和網路進行傳輸。新的支付技術和無處不在的行動設備改變了支付環境和點到點的安全交易機制。
中小企業不用納入PCI DSS(支付卡產業資料安全標準)範圍,也能使用mPOS(行動POS)進行支付。所有持卡人資料都能在mPOS讀卡機內被安全的加密,商家系統只能接收加密過的支付資料,因此資訊可以在不受信任的設備和網路間傳輸。 由於商家無法取得任何解密支付數據的金鑰,因此商家無論在智慧型手機或平板電腦上使用mPOS,都不會受限於合規審查,並能依個別需求規劃各種應用,提供豐富的消費者體驗。
加密技術中,保護金鑰最有效的方法之一就是HSM(硬體加密模組)。HSM能顯著降低金鑰洩漏,以及商家和支付平台間點到點加密 (P2PE)應用的金鑰管理風險。這些P2PE應用需要經過具物理和邏輯篡改的驗證方法來保護金鑰和加密過程,因此廣泛在支付過程中被使用,確保系統的安全性。
另一個關鍵問題是支付平台業者在保護其後端系統免受威脅採取的措施。時至今日,一個行動縝密的駭客幾乎可以入侵任何組織的設施,因此提供後端資料額外的保護是有其必要性的。權限設定和資料監控是最基本的加密管控,無論在系統/操作系統和應用程序內,支付和用戶資訊都需要完善的保護。
這種加密設備的組合將權限設定為只有必要人員才能存取資料,除了能減少攻擊外,也能監控與支付相關的敏感數據存取。即使網路被侵入、防禦被繞過,資料被成功駭入的次數也會減少,您也能掌握入侵攻擊狀況,即時採取行動。