Apple 在 9/9 的發表會上發表 Apple Pay 的付款機制後,引起多方討論。在引入 NFC 到 iPhone 6/6+ 上,搭配原有的 Touch ID 與 Passbook app,形成一種安全又方便的付款機制。
Macworld 網站在 9/12 日刊出一篇由 Rich Mogull 執筆的文章,小弟拜讀後,對 Apple Pay 在未來所能發揮的影響力有了更深一層的瞭解。Mogull 是任職於 Securosis 的安全分析專案,有 20 年的相關經驗,這篇文章對 Apple Pay 有較深入的說明與剖析,值得想更進一步瞭解 Apple Pay 的朋友閱讀。 雖然小弟的英文不好,但還是試著將該篇文章的重點譯寫出來,供您參考,也歡迎您指正。 該篇文章的重點如下(依段落先後):
。您應該會有以信用卡去接觸商家感應器付款的經驗,這種感應的方式有別於以往用刷卡的方式來傳遞資料。Apple 在 9/9 所發表的 Apple Pay 與上述的付款方法是類似的。
。這類感應付費方式與 Apple Pay 背後所仰賴 NFC(Near Field Communication,近場通訊)技術並不是最近才研發出來的。早在 1990 年後期,NFC 就已經發展出來並以許多種形式存在了(Google Wallet 就是一例)。NFC 雖然不一定會成為使用最為廣泛的支付方式,但它絕不是最新的技術。
。Apple Pay 背後所採用的技術有些是新的,有些則是之前就已經存在的。要瞭解 Apple Pay 的創新之處,可以從實際付款的流程中來瞭解。首先當然是要先買部 iPhone 6/6+,因為只有這二款 iPhone 才配備有安全元件(Secure Element,下文簡寫為 SE)與 NFC 晶片。拿到手機後,要先載入信用卡資料或者授權給 Apple Store 帳號所綁定的信用卡。Apple 是第一家支援這種信用卡資料載入系統的廠商,這可能是因為它是第一家取得一些信用卡銀行授權的緣故。
。特別的是,當 iPhone 掃瞄信用卡號(註:類似拍照的操作)後,並不會將之儲存在本身的內部或 Apple 的伺服器上,而是向信用卡的發卡銀行要求一個根據信用卡號與裝置所產生的裝置帳號號碼(Device Account Number,下文簡寫為 DAN)。這個過程稱為記號化(Tokenization),記號化有許多種形式,但基本概念就是以一些具有與原始資料相同結構與格式的隨機資料,來取代敏感的原始資料。比方說,就有一些記號化方法能接收真實的信用卡資料,並將之儲存在資料庫中,然後回傳一個能通過 LUHN 查核(註:用以檢查信用卡號是否為有效卡號的演算法)的替代用信用卡號。
。記號化這種方式很不錯,因為它可以在傳統的系統(預期會收到信用卡號)上運作(不需更新系統),而且不會將真正的信用卡號曝露出來。記號化工作通常在付款網路中處理,信用卡劃過刷卡機時,系統會將信用卡號轉成記號,回傳給店家以供後續客服所需。如果店家的系統被駭入,也無法得到真正的信用卡號。這種記號也可以是店家專屬的,其他的地方沒辦法使用同樣的記號。
。記號化也可以用在網購上,使用者先到銀行的付款網站上刷卡,然後付款網站就會回傳記號給店家的網站使用。
。上述所舉的二種情境仍有信用卡號外洩的機會。在店家刷卡時,店家就可以取得卡號。在網路上刷卡時 ,也有可能在所使用的電腦上、網路以及付款網站上被盜取卡號。
。Apple Pay 應用的記號化方式則與上述的方式不同。銀行發給 Apple Pay 的 DAN 並不是商店專屬的,而是信用卡號與某部 iPhone 專屬的。(註:同一信用卡在不同的 iPhone 上會有不同的記號,不同信用卡在同一部 iPhone 上也會有不同的記號。)這種方式將易用性與安全性有效地結合在一起。
。這種方式與 Google Wallet 不同。使用 Google Wallet 時,Google 會存有您的信用卡資料(既使 Google 的安全防護很有一套)。使用 Apple Pay 的話,Apple 則不需儲存卡號,只要儲存記號即可(在這方面我們並不需要去信賴 Apple)。
。DAN 會回傳給 iPhone 並儲存在 SE 上。SE 並不是 Apple 的 Secure Enclave,它代表智慧卡上需要以高安全性操作才能存取的,被保護的記憶體區域。如果您的手機上裝有 SIM 卡,SIM 卡上就有 SE,NFC 晶片上也有 SE。SE 是用信用卡進行非接觸式付款所必須的。
。上述的非接觸式付款通常需要使用者在付款時另外再輸入一組密碼以將信用卡號從 SE 中解鎖出來。但在 Apple Pay 上,可以用 Touch ID 的方式將 SE 中的 DAN(非信用卡號)解鎖出來使用。這大量地縮減了刷卡所需的時間。
。Apple Watch 也將支援 Apple Pay,雖然目前還不清楚透過 Apple Watch 來登錄信用卡的程序,但單獨使用 Apple Watch 來進行付款是可以預期的。試想一下您在運動時,慢跑過一家商店,您不再需要從溼答答的小衣袋中,將沾滿汗水的鈔票(註:或手機)拿出來付款的情境,這不是很方便嗎?如果要將 Apple Watch 拿來進行 Apple Pay 的話,至少要在將 Apple Watch 拿下來時,再加上一道密碼的保護,要輸入密碼(或者有新的感應器能識別使用者)才能使用,否則就會又會有安全方面的問題出現。用 Apple Watch 上網買東西也行得通,可推出專屬 App,能取得手錶上的 DAN,這樣就可以在 Apple Watch 上進行付款。光用 Safari 瀏覽網站然後進行付款是行不通的,需要透過 Apple 審核過的 App 來進行才安全。
接著談到了 Apple Pay 與其他的行動支付系統的不同之處:
。Apple Pay 與最早行動支付系統比起來已有許多進步。Google Wallet 在 2011 年時推出,當時也有一些支持 Softcard 技術的行動通信廠商以及 Paypal 著手發展行動支付的機制。這些技術並沒有獲得廣泛的採用。Apple Pay 的出現,將改變行動支付無法推展開來的困境,理由如下:
1。Apple Pay 有較佳的使用者經驗。不管是在線上或使用 App 登錄,Google Wallet 都得要使用者輸入信用卡號,付款時,要先輸入密碼以確認交易,此外,Google Wallet 支援 NFC,但在實際的應用上,還得要看 Android 裝置硬體與軟體的搭配。如果一支 Android 手機支援 NFC 通訊,但卻沒有 SE,那就沒辦法用非接觸式的方式來付款。即時 Android 手機上有 SE,但也可能因為沒有 NFC 或通信商的限制而無法使用 Google Wallet。
。電信商可能因支持 Softcard 與 Google 形成競爭情勢,而不支持 Google 的行動支付方案。此外,Google 會在其系統中儲存您的卡片與交易資料(Wallet 會核發虛擬的預付卡到裝置上),雖然 Google 有其隱私保密條款,但還是會儲存所有交易的完整資料。
。Softcard 也是一種 App,不但只能在指定手機上運行,也要有特定通信商的支援。使用 Softcard 的通信商也可以取得交易資料,並依照自己的需要來運用這些資料。
2。Apple Pay 的一個特點就是 Apple 不需拿到您的交易資料就可以讓您進行交易,連商家也沒辦法得知您的卡號與姓名等隱私資料。
3。Apple Pay 有不同的商業模式。Apple 不需要追蹤交易過程,不需處理付款工作,因為它完全掌握了付款載具的硬體,所以不會受到電信商的控制。相對的,雖然 Google 是行動支付的先驅,但至今卻還是免不了受到電信商與硬體製造商的限制。行動電話供應商守著 Softcard,而 Paypal 則是沒有自家的硬體載具,相對而言就比較使不上力。
。Apple Pay 是 Apple 的一項長期投資,可能也是一項最重要的投資。Apple 致力於消費者付款體驗的提升,然後藉此提高載具的銷售量。其所創造的利潤會有多大目前還看不出來,但隨著裝置的普及,勢必造成商家的壓力,每一筆交易所帶來的一丁點過水費,將會匯集成龐大的收益。
。使用 Apple Pay 這類系統的商家也會受益,因為這套系統會降低交易的風險。遇上購物詐騙時,商家會有損失,而採用網路交易時,商家也會因為要維護安全性而付出較高的服務費。卡片遺失時,發卡銀行也需要負擔發卡的費用。因此,採用像 Apple Pay 這類的行動支付機制的,不管是 Apple、銀行、商家還是消費者都蒙其利(註:不管是由此收費獲利、減少費用支出、降低風險或者是使用便利等)。
總結:
。Apple Pay 對商家與付款網路而言是一種更安全的機制,對使用者而言則是更方便更具隱密性的付款方式。Apple Pay 有著更好的使用者體驗、更安全、更隱密的優點,背後支持這些的商業模式,更是合理地讓每個人都自然而然地被涵蓋了進來。
-譯文完
留言
張貼留言