針對蘋果(Apple)新推出的 Apple Pay, Gartner 副總裁 Avivah Litan 分享對 Apple Pay 功能及市場機制之看法。
蘋果終於跨足行動支付市場,宣布推出 Apple Pay。目前有關 Apple Pay 資安防護功能的已知細節甚微,看來似乎要與威士卡(Visa)、萬事達卡(MasterCard)等信用卡知名品牌,還有發行這些信用卡的各大銀行合作,推出一套金融服務業者都贊同且認可的支付卡憑證化(tokenization)系統。
這表示消費者不必在自己的電子錢包中儲存卡片資料,而是以信用卡設定 Apple Pay 系統(可與 iTunes 帳戶使用相同信用卡,也可以設定他張卡片)。當消費者準備付款時,金融服務商會發送一組只能使用單次的認證載具(token)號碼以啟動付費流程。認證載具必須要有使用規範,例如認證載具的有效期限及範圍,還有付費金額上限等等。
認證載具號碼並非信用卡號,商家如果不必經手、儲存或傳輸信用卡號,在資安方面將帶來許多好處,例如:
- 商家的信用卡產業合規(PCI compliance)範圍可大幅縮小。
- 商家可避免卡片資料外洩,而且認證載具號碼不能二次使用,就不會有人想去竊取這些資料,讓系統更為安全。
我深信商家的接受度將是帶動新型態付費系統普及的主要推手,甚至比消費者的接受度還重要。Apple Pay 若要成功,就必須為商家所接受。因此,Apple Pay 是否具備足夠的資安功能以吸引商家採用?
- 目前接受信用卡付款的3千多萬商家可能大多還無法認同。除非所有消費者都使用 Apple Pay,商家還是必須花錢取得信用卡產業合規所要求的複雜資安功能。
- 商家已經花錢升級 EMV 終端機(晶片卡用),還必須在 2015 年 10 月前做好升級與責任轉移(liability shift)相關準備,否則無法處理 EMV 晶片卡付款,遇詐騙時還得自行負擔損失。
EMV 終端機經授權後具備近場通訊(NFC)手機付費功能,商家也必須支援感應 NFC 的 EMV 刷卡功能。但蘋果至今尚未言明是否支援 EMV 標準。(但未來可能提供支援)。
- Gartner訪談的許多大型商家都在升級 POS 系統,加強卡片資料的點對點加密(P2PE)管理,這是因為他們聽過太多資料外洩事件,不想成為下一家受害的零售商。有了點對點加密功能,實體店面就能提供卡片資料最快速、最嚴密的保護,因此雖然信用卡業者尚未針對這套技術達成標準化共識,市場仍對它相當有興趣。
晶片(EMV)信用卡至少還要 5 到 7 年才會在美國普及,但為了保護自身利益和卡片資料,商家是沒辦法等這麼久的。商家若採用點對點加密技術馬上就能看到效果,不必等發卡機構與消費者開始使用晶片卡。
那麼,蘋果要怎麼做才能鼓勵商家接受 Apple Pay?
- 應仿效 Square 等支付服務商,向商家收取較低的手續費。為了降低 iTunes 交易成本,蘋果已在支付整合服務(payment aggregation)方面累積許多經驗與技術。如果把這套支付整合技術用在特約商店,只要 Visa 和 MasterCard 不反對,蘋果絕對能提供比現行支付服務商及銀行更低的手續費率。
- 在 Apple Pay 電子錢包中內建帶動營收與用戶忠誠度的功能,以刺激商家銷售量。蘋果也有能力做到這點,但就提升商家接受度而言,這一點的重要仍不及降低手續費。
歸納結論,Apple Pay 的推出相當令人振奮,甚至有可能就此改變支付市場版圖,至少在美國是如此,因為當地商家三天兩頭就爆發資料外洩事件,資安防護問題與花費高到令人咋舌。蘋果的確可以利用這股資安熱潮,提供商家與消費者更安全的付費方式。
但這畢竟只是廣大顧客群的一小部分,其他人仍然需要保護。依我個人之見,降低手續費將是 Apple Pay 成功的關鍵所在。Google 可能在資安保護功能上仿效蘋果,接著還必須邀集合作手機製造商將手機中 NFC 晶片連結 Google Wallet。這對屬於封閉式系統的蘋果來說更加容易,因為手機與手機所採用的軟體都是自家製造。不過,還是要等到 Google 加入戰局,Android 手機也能提供更安全的支付機制,NFC 行動支付才能真正普及。
更棒的是,我們終於有可能逐漸消弭支付卡資料外洩事件,至少讓宵小將焦點轉移到其他目標上。
