国泰航空、万豪酒店集团,去年(2018)都曾发生大规模的个资外泄风波,许多人的姓名、地址、e-mail、护照号码、信用卡号,都可能暴露在黑客入侵的威胁下。
即便各国政府力推移动支付政策,但许多民众就是因为在安全上有疑虑,仍不愿意使用。VISA大中华区首席风险长杨景香认为:「电子化的最后一哩总是最难的,很多人不用就是安全考量。」创新是一把利人利己的双面刃,同时带来机会与威胁。
不过杨景香告诉《数码时代》:「过去60年,从来没有任何数据外泄事件,发生在Visa的支付网络VisaNet上。」事实上,当年苹果 Pay之所以能在全球落地使用,若没有背后VISA的关键技术撑腰,就不会有今天方便安全的支付体验。
苹果 Pay落地关键,Visa代码化服务
信用卡组织VISA,是一个与全球交易系统绵密交织的庞大网络,维护支付生态系统的安全、降低敏感数据的价值,是所有创新工作的最优先。Visa亚太区风险负责人Joe Cunningham认为,理想的未来世界,是一个不需要密码的环境,透过日新月异的身分验证科技,「提供消费者更好、更安全和无缝的支付体验。」
Visa代码化服务(Visa Token Service)是移动支付背后的一大推手,没有它苹果 Pay无法在全球落地使用。杨景香表示:「代码化就是让敏感的数据变得不敏感。」简单来说,就是以独特的数码代码(token)取代真实的16码卡号,如此一来在支付过程就能降低持卡人敏感的帐户资讯暴露风险,当卡片遗失、遭窃或过期,发卡机构能立即更新帐户资讯。
▲当年苹果 Pay之所以能在全世界落地使用,背后的关键是基於VISA代码技术的诞生。
代码化服务最为人所知的应用就是苹果 Pay,杨景香解释,用户只有在第一次绑订卡片时,需要输入16码卡号,之后iPhone中存的就是代码,可以想像成把卡号变成另一种语言,每次消费都是用代码交易,银行之所以还知道这笔交易是持卡人消费,是因为VISA将这组代码翻译给银行,通过VISA授权后,才能把代码跟持卡人之间的关系串起来,「 就算犯罪份子偷走了代码,也不知道代码背后的关系。 」代码(Token)并非新技术,VISA之所以能成功,是因为连接商户、收单行、发卡行、消费者之间的关系,让代码可以在支付生态圈中彼此串联。
杨景香分析,当年苹果 Pay之所以能在全世界落地使用,背后关键是基於VISA代码技术的诞生,「没有VISA背后的代码技术是落不了地的,VISA在中间解读代码关系,是最关键的一步。」目前VISA也持续向许多发卡机构、线上支付商家推广代码技术,像是影音串流平台Netflix ,在2017年就采用VISA代码化服务,让支付安全更加可靠。
数据中心连炸弹都不怕,60年来VisaNet零出包
Visa的支付网络VisaNet,在去年(2018)共处理超过1,270亿笔商户和金融机构间的交易。VISA大中华区首席风险长杨景香说,过去60年来从来没有一次数据外泄问题发生在VISA上,但为何信用卡盗刷、卡号外泄问题仍层出不穷?
「因为商户端不是做支付,对系统安全的保护、理解,可能跟做金融的不同。」杨景香说,现在各行各业都跟支付脱不了关系,无论是电商、零售、游戏业者,参与的玩家越来越多,不过许多厂商都是IT背景,并非金融支付专业,对於数据、安全等级的把关有所差异,因此许多时候数据外泄问题都出在商户端。
▲VISA大中华区首席风险长杨景香说:「我们的数据中心比五角大厦还要安全,建筑的材料安全性、系统的安全性都是顶级的。」(图为美国五角大厦)
杨景香透露,许多黑客的终极目标,并非美国五角大厦等单位,而是支付网络VisaNet,看准VisaNet每分每秒庞大的金流交易,不只是技术上的资安保护,杨景香说:「我们的数据中心比五角大厦还要安全,建筑的材料安全性、系统的安全性都是顶级的。」
VISA的数据中心遍布世界各处,但因为涉及全球规模的交易安全,这些数据中心地点相当保密,连门牌都没有,在地图上也找不到,完全比照美国军事基地等级,VISA数据中心有多坚固呢?杨景香说:「 连炸弹掉下炸,都不会发生问题。 」
即时给出风险评分,为交易安全把关
随着无现金交易成为全球重要的趋势,也是许多政府、新创努力的领域,而支付过程中的摩擦体验,常让消费者放弃交易。根据研究机构Javelin调查,高达51%的受访者,都曾因交易过程中授权被错误识别,导致交易被拒绝,最后不得不选择其他信用卡完成支付,如此一来,就会让竞争对手的信用卡成为首选支付方式。
风险侦测授权服务(Visa Advanced Authorisation,VAA),是VISA近期相当自豪的一项服务,杨景香说:「这个产品非常强大,在业界绝对是领头羊。」
VAA服务之所以厉害,在於可做到「即时」风险评分。杨景香解释,过去刷卡时,卡片插进机器会需要等个几秒钟,「现在许多友商做的都是『准即时』,意思是交易完成后,才知道风险评分,再回头去看交易安全与否。」杨景香解释:「VAA是在授权之前,就可以依据评分安全与否,来决定通不通过交易。」
▲VAA这是一个结合机器学习与赢咖4的预测性分析技术,会分析500多种独特的风险属性,每笔交易处理时间,大约只需要千分之一秒,VISA系统就能「即时(real time)」给出风险评分。
VAA这是一个结合机器学习与赢咖4的预测性分析技术,会分析500多种独特的风险属性,每笔交易处理时间,大约只需要千分之一秒,VISA系统就能「即时(real time)」给出风险评分,并与金融机构共享风险评分,辨别是否批准或拒绝交易。虽然几秒钟跟千分之一秒的时间,在实际交易体验上,感受上没有太剧烈的差异,但对於后端的交易安全把关来说,是更加可靠严谨。
VISA全球高级副总裁Melissa McSherry认为:「如何在不影响流畅支付体验的情况下,把正常交易与犯罪分子的诈欺交易区分开来,是现在支付行业所面临的最严峻的挑战之一。」
VAA是VISA反诈欺策略中的关键技术,能够有效降低金融机构及零售商的支付风险,目前在全球129个国家地区的8,000多家金融机构,都已经采用VAA技术。VISA每天平均分析超过60亿笔数据,官方表示,VAA服务一年帮助发卡银行防止超过250亿美元的诈骗损失,透过新科技多管齐下,VISA现在已经把全球欺诈率维持在0.1%以下,创下历史新低。
