代碼服務技術(Token)行動支付方案嶄露頭角。2014年9月,蘋果(Apple)正式發表iPhone 6,並在iPhone 6內建行動支付系統–Apple Pay,其採用的就是「Token」代碼服務技術。事實上,Apple Pay亦是市場上第一個以Token技術為基礎的行動支付系統;而Apple Pay的問世,也象徵著行動支付發展將揭開新的一頁。
Visa總監陳志銘表示,行動支付系統目前可分為三種應用模式,分別為信託服務管理(Trust Service Manager, TSM)平台、主機卡模擬(Host Card Emulation, HCE)技術,以及最新的Token代碼服務;目前以TSM交易方式最為普及,近來國內多個TSM平台也正如火如荼建置中,而HCE及Token代碼服務則是較為新穎的行動支付方案。
陳志銘進一步分析,HCE是由Google所提出,它能允許Android裝置上的NFC應用程式模擬晶片卡,讓使用者能夠以智慧型手機進行感應支付,不過帳戶資料則是被發卡機構存放在雲端平台上管理,如此一來不僅可以省卻行動支付安全元件(Secure Element)及MicroSD或SIM卡的硬體設計,亦能簡化商業模式,免除電信商的中介成本;不過,無論是TSM或是HCE模式,支付方式仍然屬於卡片資訊的直接交換,偽卡與盜刷風險依然存在,於是便衍生了Token代碼服務技術。
Token代碼服務技術的原理是透過一連串虛擬的數位帳號,或是一組可被安全儲存於行動裝置內的「代碼」,來代替傳統信用卡上敏感的支付帳號資訊。當商家收到Token代碼時,會以Token代碼與發卡銀行的系統溝通,待發卡銀行將此Token代碼還原成原來的使用者資訊,並且確認無誤後,便會再轉發一組可供商家請款的授權序號,確認付款成功。
值得注意的是,Token代碼服務整個流程中並未涉及卡片資訊的交換。Token代碼的產生與還原全在原發卡銀行系統中進行,不會流通到商家,即使Token代碼被竊取,也只是一串隨機亂碼,且只在特定時間內或對特定商家有效,降低信用卡資料被盜取的風險。
陳志銘指出,Token代碼服務除了可確保使用者的卡片資訊安全外,亦能降低雲端系統中擁有大筆消費者信用卡資訊的商家被駭客侵入並竊取資訊的疑慮。舉例而言,蘋果公司的iTunes、App Store存在著上億筆信用卡帳號,其他擁有電子支付系統的公司亦然,若能將這些帳號都轉化成Token代碼存取在雲端上,使信用卡帳號只保存於發卡銀行而非流通在外,便能豎立起一堵堅實的資安壁壘。
如此一來,Token代碼服務技術不僅能用於近端的行動支付,遠端的電子商務交易,如網購、線上刷卡,同樣能藉由Token代碼服務保障交易安全性。
據悉,國際晶片卡標準化組織(EMVCo)是在2014年3月發布EMVCo Tokenization Specification v1.0標準,而發卡銀行組織Visa亦已於2014年9月正式推出Token代碼服務技術。Apple Pay就是市場上第一個基於Token代碼服務技術的行動支付系統。
