“行动支付”是近来热门的话题,多数人对行动支付的理解是将行动装置与信用卡功能结合,让使用者透过手机等载体刷卡付款。但其实,行动支付可分为远端支付与近端支付。远端支付是指电子商务、行动应用模式或电子钱包等可提供线上支付的方式,而近端支付则是利用NFC非接支付方式在实体店消费的商业应用。具体例子如Visa所推出的行动非接技术。其中远端行动支付主要分为TSM与HCE两大流派,前者是目前多数台湾企业所采用的解决方案,的Pay也属于此种(但Pay更进一步引入Visa code服务)。后者则是2013年底推出的新架构,也受到台湾部分金融企业的关注。 美国Visa国际维萨股份有限公司台湾分公司董事陈志今日(11/7)讲解了TSM、HCE、Visa服务背后的特点、区别、生态架构,以及Visa手机支付在台湾的现状。
【移动支付及生态架构介绍】
▲移动支付( )可分为远程和近端两种。远程支付已经出现多年,例如网络购物、电子商务、网上银行等。近年来,近端移动支付中NFC应用越来越流行。利用内置的NFC功能,可以用手机刷卡购物。
▲所有信用卡均内置EMV芯片作为安全元件,Visa推出后,在传统卡上加入NFC线圈,实现轻触即可付款。目前正在讨论的NFC手机支付,则进一步利用手机内置的NFC功能进行支付。
▲要实现NFC移动支付,必须要有完整的生态系统作为后盾。首先手机要有相应的APP,加上无线网络和门店的支持,还要考虑到信息安全。目前NFC移动支付比较主流的方案有两种,分别是TSM()信托服务管理方案和领先的HCE(Host Card)方案。下面简单介绍一下两者的特点。
【移动支付解决方案:TSM信托服务管理解决方案】
TSM( )代表信任服务管理。在此类型中,用户必须通过内置、外置、SIM卡等方式在手机中添加安全元件芯片。手机中的安全元件取代了实体卡,将支付卡的重要信息存储在手机中。在SIM卡模式中,由于移动网络运营商和发卡机构共用SIM卡作为安全元件,但各自都有各自的保密要求,因此需要使用一个公正的第三方:TSM信任服务管理机构来负责中间数据的交换和集成。
▲黄色框中展示的是传统信用卡支付流程,在柜台刷卡后会将消费信息发送给收单机构,通过支付网络与发卡机构确认相关信息,最后按顺序将确认信息回传给商户,完成消费。在TSM解决方案中,除了生态系统中原有的四大单元,不需要改变,还增加了手机供应商、移动网络运营商、安全组件供应商和TSM,分别负责NFC手机制造、提供移动网络解决方案和安全组件协议、制造安全组件和安全数据转换。因此TSM移动支付表面上只是从实体卡刷卡变成了手机刷卡,但整个生态系统要复杂得多。
▲通过TSM,NFC移动支付应用于票务、交通、发卡机构和会员忠诚度计划(如折扣、增值服务)等领域。
【移动支付解决方案:HCE解决方案】
HCE(Host Card)是去年年底发布的移动支付解决方案。HCE功能可以让版本以上设备通过内置的NFC服务和应用模拟芯片卡,让用户用智能手机进行感应式支付,同时让发卡机构将支付账户存储在安全虚拟的云端进行管理。相比于TSM,HCE解决方案不需要在手机上增加安全元件,因此不需要移动网络运营商(他们仍然要提供网络,但没有安全机制)和安全元件供应商的介入,整体生态系统更加简单。不过HCE对网络的依赖性高是这个解决方案的一个小缺点。
▲在HCE方案中,传统的支付流程不变,新的手机供应商和移动网络运营商加入进来,生产具有NFC功能和内置版本的设备,为消费者的手机提供移动网络。消费者的卡信息存储在具有安全功能的云支付平台供应商中。因此,手机内部无需安装额外的安全元件芯片。电信运营商在这个架构中仍然存在,但它们只扮演网络服务提供商的角色,并不像TSM方案中那么复杂。
▲在HCE方案下,云端支付平台会通过互联网发送一次性加密密钥,消费者必须通过密钥验证后才能付款,付款完成后或密钥过期(密钥保质期约一小时)后必须连网更新密钥。在某些服务中,HCE还允许用户一次性获取多组密钥。但由于密钥是一次性的,且有时间限制,如果长时间处于没有互联网的环境中(如出国),HCE移动支付的使用将相当受限。
【TSM与HCE解决方案对比】
▲TSM与HCE最大的不同在于卡资料的储存位置与安全设定。TSM将卡资料储存于手机内的安全元件中,优点是使用时几乎无须连网,可对应更多装置且弹性较大,但需额外安全元件供应商或电信业者配合,生态较复杂。HCE将卡资料储存于云端,由云端主机负责安全机制,同时提供浮动的一次性金钥供手机进行感应式支付,优点是生态较简单,安全性也很好,缺点是较依赖互联网,对应平台较有限。不过两套系统的读卡器互相兼容,因此店家不需要额外准备一套设备来迎合两套机制。
【福利:Visa代码服务技术】
Visa于2014年9月推出了Visa Code 技术。Code 技术的工作原理是将传统塑料卡上的敏感支付账户信息替换为虚拟的数字账号或可以安全存储在移动设备中的“代码”。Code 技术的主要目的是解决商店存储过多卡号造成的金融安全漏洞问题(例如商店系统被黑客入侵),同时也可以降低消费者移动支付信息被盗的风险。Pay本身采用TSM的移动支付解决方案,并增加了代码服务,因此安全性更高。
▲上图代表代码服务技术的应用和操作流程。首先,商店将用户的卡号提交给 Visa 代码服务。然后 Visa 代码服务发卡机请求授权。授权通过后,Visa 代码服务会将代码发送回申请的商店。此时商店可以保留代码并删除消费者的卡号信息。消费者的卡号将存储在高度安全的系统中。当消费者要结账时,商家将代码提供给收单机构,Visa 代码服务网络对其进行解码。然后发卡机构确认卡号和代码信息。最后,Visa 代码服务网络将确认的代码通过收单机构传输给商店,完成结账过程。一个卡号也可以对应多组代码,因此不会因为某个代码被盗而造成更大的损失。
▲使用条码对消费者、商家、收单机构及发卡机构均有裨益,目前台湾也有部分商家在研究此业务,但受限于法规及客观环境,暂时无法在台湾推出。
【Visa谈台湾手机支付现状】
Visa认为,NFC手机支付在台湾成功发展有几大关键因素,第一,支持NFC技术的手机必须在台湾越来越普及,越来越多商户必须安装Visa等感应式读卡器;第二,建立消费者使用电子支付的习惯。联发科与中华电信的NFC TSM信托服务管理系统今年已取得Visa的安全及商用解决方案认证。同时,Visa也积极与发卡机构、收单机构及科技公司详细讲解HCE的运作模式与系统组成。Visa也持续扩大Visa感应式读卡器的普及率,截至2013年12月31日,全台共有超过12,000家商户在使用Visa卡读卡器超过30,000台。
▲Visa认为,NFC手机支付要在台湾成功,有几个关键因素。第一,支持NFC技术的手机必须在台湾越来越普及,越来越多商家必须安装像Visa这样的感应式读卡器。第二,要建立消费者使用电子支付的习惯。
▲美国Visa国际有限公司台湾分公司董事长陈志认为,台湾移动支付相关配套设施已逐步到位,Visa将持续与台湾业界合作,推动移动支付市场发展。