行動支付安全的IT解決方案
晶片安全技術用在SIM卡,包括電信、支付、政府識別證件如電子護照及IoT安全等,早已是非常可靠的安全解決方案,英飛凌科技亞太有限公司經理朱耀輝指出,隨著行動電子商務逐漸普及,晶片安全技術也可望成為行動支付業者用來保護資料的主要解決方案。
由於行動支付的解決方案,多半也都會跟著整體支付市場的發展,朱耀輝認為,必須要先了解整體支付市場的發展趨勢。目前大多數國家已經開始從傳統的磁條卡,開始轉向為EMV晶片卡。朱耀輝表示,晶片卡未來的發展趨勢,除了必須要符合比較高的標準如CC EAL6+外,晶片卡的品質必須要有高可用性,生產過程的成本不能太高,也不能太複雜,而且不能只是單靠一家或兩家的業者來供應。
隨著手機應用愈來愈多樣化,功能已經不再只是用來通話,舉凡購買線上音樂、購物、叫車等,許多人都可以用手機完成,促成這些改變的關鍵,其實就是行動支付。
朱耀輝指出,行動支付能夠迅速普及的原因包括,行動支付工具變得很方便,很容易使用,多管道及客製化的體驗過程,不管是對消費者或商家,也都很有吸引力,愈來愈多的創新支付平台也讓選擇更加多樣化,許多支付工具也都已經整合到購物的流程中,不管是在台灣、泰國或新加坡,都已經能夠上網使用行動支付購物,但更重要的是,許多銀行或機構都已設置標準,確保支付的過程是很安全的,也讓行動支付應用會愈來愈普遍。
事實上,從2014年起,許多行動支付如Apple Pay、Samsung Pay、Android Pay就已開始陸續上市,朱耀輝提醒業者,應該要好好思考,這些行動支付有什麼區別,可以為自己的客戶帶來什麼效益。
以Apple Pay為例,技術特色包括使用NFC技術,支援的信用支付以VISA、Mastercard及美國運通(American Express)為主,使用安全晶片技術(Secure Element;SE)也已經放入手機中,透過alternate(tokenized)技術,可以將真實的信用資訊保護得很好。
朱耀輝表示,使用Apple Pay完成支付認證的過程也非常簡單,使用者只要用Apple Pay對所持有的信用卡拍下照片,再發到Token Service Provider(TSP)後,就可將信用卡號碼轉換成Token號碼,輸入到手機中的SE晶片中,需要支付時,只需要將手機貼近讀卡機,Token號碼就會送到TSP,銀行再從TSP取得信用卡的真實號碼,在使用行動支付的過程中,信用卡號碼都不會洩漏。
Samsung Pay的一個特色則是支援MST Technology,商家不需要更換現有的磁條讀卡機,只需要將三星手機放在讀卡機旁邊,就可以直接使用Samsung Pay。
至於Android Pay,訴求為簡單(Simplicity)、安全(Security)、可選擇(Choice),因此不像Apple Pay或Samsung Pay是提供自有品牌手機使用,Android Pay為開放授權平台,採用HCE技術將信用資料放在雲端,所有支援Android 4.4版本以上的設備都可以導入,apps也可以直接整合Android Pay,甚至不需要開啟apps,就可以直接完成支付。
朱耀輝指出,三大行動支付系統如何儲存支付資訊,是最值得關注的地方。手機存放機敏資訊的安全防護方式有四種:首先是存放在手機中;其次則是Trusted Execution Environment(TEE),用手機CPU一小部分的區域專門來存放這資訊;第三種是Clound-based SE,將資料存放在雲端;第四種則是Secure Element,將資料存放在安全晶片中。
四種不同的方式各有優缺點,朱耀輝強調,安全是有代價的,安全不是免費的,如果要最便宜的,但也是最不安全的,就是將資料直接存放在手機中;比較便宜也比較安全的方式,是將資料存放在雲端;TEE不管是成本或安全度的排名都是次高;成本最高但也最安全的技術則是eSE。
朱耀輝指出,2014年共有708個資料洩漏事件,共有8,200萬個個人資料被竊取,平均每個洩漏事件導致新台幣350萬元的損失,業者必須要導入更新也更容易使用的安全技術如FIDO,才能避免類似的洩漏。