针对苹果(Apple)新推出的 Apple Pay, Gartner 副总裁 Avivah Litan 分享对 Apple Pay 功能及市场机制之看法。
苹果终于跨足行动支付市场,宣布推出 Apple Pay。目前有关 Apple Pay 资安防护功能的已知细节甚微,看来似乎要与威士卡(Visa)、万事达卡(MasterCard)等信用卡知名品牌,还有发行这些信用卡的各大银行合作,推出一套金融服务业者都赞同且认可的支付卡凭证化(tokenization)系统。
这表示消费者不必在自己的电子钱包中储存卡片资料,而是以信用卡设定 Apple Pay 系统(可与 iTunes 账户使用相同信用卡,也可以设定他张卡片)。当消费者准备付款时,金融服务商会发送一组只能使用单次的认证载具(token)号码以启动付费流程。认证载具必须要有使用规范,例如认证载具的有效期限及范围,还有付费金额上限等等。
认证载具号码并非信用卡号,商家如果不必经手、储存或传输信用卡号,在资安方面将带来许多好处,例如:
- 商家的信用卡产业合规(PCI compliance)范围可大幅缩小。
- 商家可避免卡片资料外泄,而且认证载具号码不能二次使用,就不会有人想去窃取这些资料,让系统更为安全。
我深信商家的接受度将是带动新型态付费系统普及的主要推手,甚至比消费者的接受度还重要。Apple Pay 若要成功,就必须为商家所接受。因此,Apple Pay 是否具备足够的资安功能以吸引商家采用?
- 目前接受信用卡付款的3千多万商家可能大多还无法认同。除非所有消费者都使用 Apple Pay,商家还是必须花钱取得信用卡产业合规所要求的复杂资安功能。
- 商家已经花钱升级 EMV 终端机(芯片卡用),还必须在 2015 年 10 月前做好升级与责任转移(liability shift)相关准备,否则无法处理 EMV 芯片卡付款,遇诈骗时还得自行负担损失。
EMV 终端机经授权后具备近场通讯(NFC)手机付费功能,商家也必须支援感应 NFC 的 EMV 刷卡功能。但苹果至今尚未言明是否支援 EMV 标准。(但未来可能提供支援)。
- Gartner访谈的许多大型商家都在升级 POS 系统,加强卡片资料的点对点加密(P2PE)管理,这是因为他们听过太多资料外泄事件,不想成为下一家受害的零售商。有了点对点加密功能,实体店面就能提供卡片资料最快速、最严密的保护,因此虽然信用卡业者尚未针对这套技术达成标准化共识,市场仍对它相当有兴趣。
芯片(EMV)信用卡至少还要 5 到 7 年才会在美国普及,但为了保护自身利益和卡片资料,商家是没办法等这么久的。商家若采用点对点加密技术马上就能看到效果,不必等发卡机构与消费者开始使用芯片卡。
那么,苹果要怎么做才能鼓励商家接受 Apple Pay?
- 应仿效 Square 等支付服务商,向商家收取较低的手续费。为了降低 iTunes 交易成本,苹果已在支付整合服务(payment aggregation)方面累积许多经验与技术。如果把这套支付整合技术用在特约商店,只要 Visa 和 MasterCard 不反对,苹果绝对能提供比现行支付服务商及银行更低的手续费率。
- 在 Apple Pay 电子钱包中内建带动营收与用户忠诚度的功能,以刺激商家销售量。苹果也有能力做到这点,但就提升商家接受度而言,这一点的重要仍不及降低手续费。
归纳结论,Apple Pay 的推出相当令人振奋,甚至有可能就此改变支付市场版图,至少在美国是如此,因为当地商家三天两头就爆发资料外泄事件,资安防护问题与花费高到令人咋舌。苹果的确可以利用这股资安热潮,提供商家与消费者更安全的付费方式。
但这毕竟只是广大顾客群的一小部分,其他人仍然需要保护。依我个人之见,降低手续费将是 Apple Pay 成功的关键所在。Google 可能在资安保护功能上仿效苹果,接着还必须邀集合作手机制造商将手机中 NFC 芯片连结 Google Wallet。这对属于封闭式系统的苹果来说更加容易,因为手机与手机所采用的软件都是自家制造。不过,还是要等到 Google 加入战局,Android 手机也能提供更安全的支付机制,NFC 行动支付才能真正普及。
更棒的是,我们终于有可能逐渐消弭支付卡资料外泄事件,至少让宵小将焦点转移到其他目标上。
