打造行動支付安全建構安心購物環境

按讚加入DIGITIMES智慧應用粉絲團

轉寄列印

Thales e-Security高級顧問張志明。

電子商務改變人消費習性，透過電腦來進行網路購物，省去出門逛街的時間。然行動網路流行之後，消費者上網購物不限於在家裡，可能在辦公室、車上或室外，造就行動化電子商務的特色，也衍生出行動支付的龐大市場商機。第三方支付業者要如何架設安全的硬體設備，以提供安全的行動購物環境，就讓專家來解析…

國際級安全交易解決方案為行動支付的安全把關

Thales(泰雷茲)是一家法國工業集團，為國際級電子產品與系統設備的領導廠商，業務擴及航太、國防、安全等領域的市場。其Security事業群在安全資訊系統領域，為IT產業前三大。其密碼學解決方案已提供NATO 25個國家使用，至今在25個以上國家產生3億份身分證明文件。在金融方面有80%的銀行交易是經由Thales保護下進行，並為19家世界最大銀行提供資訊系統安全。該集團為明日的安全需求提供最佳解決方案。

隸屬於泰雷茲集團旗下的Thales e-Security，針對當今電子商務的盛行，專供資料安全領域與密鑰管理解決方案，提供符合產業標準的資料防護、保護機密資訊、避免網路駭客攻擊、保持控制雲端資料。產品解決方案可克服加密、密鑰處理，並監控資料是否被盜取。尤其HSM(Hardware Security Module；硬體加密模組)是專屬的安全性硬體產品，符合FIPS 140-2安全等級，提供硬體強化的防篡改環境，管理與保護最關鍵的資料，為當今行動支付時代的來臨提早做好安全把關的動作。

如何確保行動交易的安全無虞，Thales e-Security的高級顧問張志明，針對「不可錯失的金礦」議題做演說，將解釋mPOS(mobile Point of Sale；行動收單平台)的即刻吸引力與市場機會、說明如何與為何其主要客戶會需要HSM、提供資源信息來幫助合作夥伴邁向成功。

傳統產業導入mPOS 進軍行動支付市場的方法

張志明首先針對當今的傳統支付模式做說明，傳統支付有四個主要角色，分別是消費者、商家、消費者所屬銀行、商家所屬銀行。消費者刷卡時，透過商家的刷卡機將交易資料傳至消費者所屬銀行，然後銀行經由網路向信用卡公司授權，成功後，即將款項轉移至商家所屬銀行，再由商家收款。以上30？40年的支付方式，已成為了一個嚴密控制的生態系統了。

如今因應行動支付時代的來臨，傳統支付的生態系統已經逐漸起了變化。商家捨棄厚重的刷卡機，轉而導入mPOS系統，隨時隨地都能幫消費者結帳、收款，加上又有許多第三方支付業者的卡位，讓生態變得更複雜。因此，對Thales來說，如何導入新的技術，又能維持原先的生態系統，才是多贏的策略。

mPOS所帶來的變革，包含：1. 可以讓發卡銀行多發更多卡，讓類似夜市的「微商家」也能接受信用卡消費，同時不影響消費者的支付習慣(同樣也是用刷卡、插卡或感應，只是機器不一樣而已)。2. 可以有更多店家採用，因為傳統POS機要簽兩年約，要裝GPRS？WiFi網路，初期建置成本高。若採用mPOS，其低風險與申請效率高，對新店家來說比較有吸引力(因此P2PE「點對點加密」是個能幫助達成的技術)，且能增加信用卡支付的機會與金額。3. 減少現金交易，以卡代鈔，讓商家兼顧成本效益，也對PSP(Payment Service Provider；第三方支付業者)有利。

目前非接觸式的行動支付方案中，有NFC這端有NFC手機、NFC手機背匣、有NFC功能的microSD卡和有NFC功能的SIM卡(SWP SIM卡)。而信用卡公司則有MasterCard的PayPass、Visa的payWave、美國運通的ExpressPay，皆是為小額付費機制而設。

銀行進軍行動支付市場的案例中，他舉例像香港HSBC(匯豐銀行)最近就推出內建NFC晶片的iPhone背蓋，就等於是一張Visa的payWave卡，並可透過App來管理與做密碼保護。而另一家恒生銀行則是提供SWP SIM卡，等於內建一張MasterCard的PayPass卡，讓消費者使用該SIM卡以進行行動支付。上述範例因為是不同陣營銀行搭配信用卡公司的解決方案，仍無法涵蓋到所有消費者的需求。

至於其他遠端行動支付部分，則五花八門，有Square(比紅陽出道更早的mPOS系統服務商)、PayPal(在其PayPal Store輸入手機號碼+PIN碼來付費)、LevelUp(掃描手機上以QR Code方式呈現的信用卡以付費)。

mPOS的安全交易如何確保個資不外洩

利用mPOS可以快速導入進入行動支付，但安全部分非常重要，這牽扯到：1. 從讀卡機產生的密鑰；2. 全程必須確定PIN碼是被保護著；3. 解密的資料必須與商家的網路隔絕。也就是在每個步驟都要確定消費者的機密資料不會被商家盜取，而該公司就是要幫助解決這些問題，提供交易安全的平台或方案。

張志明剖析mPOS的運作方式，就是客戶接受付費金額並輸入PIN之後，此時必須將信用卡的個資與PIN碼進行編碼，傳到商家的平板或手機，然後將該資料透過開放式網路，傳到HSM的支付閘道器，這些步驟都是P2PE (點對點加密)區，確保資料都是在編碼的狀態下傳遞，最後資料會傳到後端的HSM的獲取者來解密。在整個交易過程中，銀行端都沒有經手到加密解密，都是經由Thales的HSM機制來控制。交易過程中，後端的HSM都沒有變動，只有前面的交易方式改變而已，因此並不會影響到前面說的生態圈。

至於為何mPOS和PSP目前會這麼夯？因為客戶已準備好購買，mPOS並不會改變消費習慣。且對PSP業者來說也不需要成立銀行，只要小規模具吸引力付費方式即可。再來看行動支付市場，因為商業因素，使得NFC SE付費難以量產化；HCE(終端卡模擬)尚屬早期制定階段，因此mPOS可說是目前最快導入且能夠成為多贏的最好方案。

PSP業者在行動支付市場如何讓交易資料更安全

至於PSP業者部分，為何需要HSM？他解釋，因為以硬體為主的安全機制，顯然可以減少金鑰被盜取的風險，而且透過HSM來管理金鑰是最簡單的、最具成本效益的作法。還有支援PIN碼功能的讀卡器，也意味著提供符合PCI PIN碼的安全，是必要的。

再來就是HSM也符合信用卡交易的規則，符合Visa Ready的mPOS計畫(永遠能接受Visa卡)、符合MasterCard的mPOS最佳實踐方案、有PCI P2PE系統認證、有EMV？PCI讀卡機認證。

他表示Thales的設備在出貨時，都要依照信用卡公司所指定由Fedex或DHL送貨，並使用易碎貼紙，確保送到銀行人員簽收並收貨為止，包裝完整未拆。也就是運送過程都符合一定的標準程序，以確保產品送達時不會遭受偷換或損壞。

Thales的伺服器無法被撬開，且運作時無法被竊取記憶體內的資料，以防止金鑰資料外洩，只要PSP導入HSM，客戶(商家)便能更有保障，提升其交易量，連帶PSP也將提升營收與利潤。若沒導入的話，微商家可能常常發生客戶刷卡失敗或個資洩漏，將對PSP失去信心轉而去尋找更安全的PSP業者。因此HSM也是完整mPOS生態鏈中必要的元件，能夠提供PSP業者最簡單、防盜取且最高層級的安全解決方案。

導入HSM對客戶的關鍵價值點，在於賺錢、省錢、簡單運作，除了協助PSP增加交易量、低創業成本&遠程金鑰注入、迅速發展為國際化公司之外，也能幫助商家縮小PCI DSS(支付卡產業資料安全標準)的範圍、任何時間、地點都能接受刷卡支付、減少員工培訓，維持既有消費者體驗，以共創多贏。

轉寄列印

按讚加入DIGITIMES智慧應用粉絲團

更多關鍵字報導： Thales 行動支付 SIM卡第三方支付

最新產品方案

新創團隊

奇翼醫電股份有限公司
遠距群體即時生理管理平台

羽渡科技股份有限公司
純軟體無人機召用技術服務

台灣圖靈鏈股份有限公司
透過IOTA區塊鏈建構符合W3C DID圖靈數位身份

工一科技有限公司
B2B2B B2B2G

奧特圖股份有限公司
品牌電商的顧客智能經營服務

近７日熱門點閱

新創企業海外接地氣　張鈺惠談跨文化的營運挑戰

新四年政策聚焦三大技術林佳龍擘劃交通國家隊願景

Vuzix推智慧眼鏡　搭載Micro LED鏡片

會工作的寵物、三臂「英雄」　機器人成CES 2021焦點

智慧製造如火如荼推展　中小企業還缺哪塊拼圖？

推薦活動

羅姆先進技術應用研討會

解析2021：運算新契機疫後新未來」DIGITIMES Research產業趨勢論壇

Aprisa布局及布線技術介紹-增強IC產品性能，縮短設計時間

Maxim 工業電源保護線上研討會

Netapp安全管理、彈性上雲線上研討會

最新技術專輯

2020資安論壇專輯

2020智慧車與車聯網論壇專輯

2020企業機房論壇專輯

2020智慧工廠(高雄)論壇專輯

2020智慧工廠(新竹)論壇專輯

熱門報告 - Research