随着ApplePay、SamSung Pay、HCE云端支付等移动支付产品在全球的推广应用,其共同蕴含的Token(标记化支付)技术也崭露头角,受到越来越多的关注,成为引领移动支付业务创新发展的最新前沿技术。Token为移动支付产业描绘了一个更加美好的明天,必将主宰移动支付的未来。
支付安全可靠
Token技术是由国际芯片卡标准化组织EMVCo于2014年正式发布,其原理在于通过支付标记(token)代替银行卡号进行交易的验证,从而避免卡号信息泄露带来的风险。Token是使用一个唯一的数值来替代传统的银行卡主账号的过程,同时确保该数值的应用被限定在一个特定的商户、渠道或设备。
与传统的银行卡支付相比,Token的安全性主要体现在以下几方面:
交易处理过程用Token代替卡主账号。这样可以有效保护卡号信息,将Token作为账号的替代值流转在支付的各个环节,使得在支付流程中,独一无二的卡主账号只在Token SP、转接方、发卡方间传递,由于三者专线连接且彼此互信,商户与收单机构仅存有Token,敏感信息没有留存,要泄露的也只能是Token。
被限定在特定的应用场景。Token即使被泄露也往往没有用武之地,因为Token的发行需要可信的机构向TSP申请,申请方称为TR(Token请求方),可以提交Token的限定场景(比如说苹果公司发起Token申请,希望限定Token在某台iphone使用;再比如某网站发起Token申请,希望限定Token在该网站使用)。这一措施降低了Token泄露后的影响范围。
支付灵活性更高。与传统的银行卡验证功能相比较,Token综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能,能更好地进行交易合法性识别和风险管控。毋庸置疑,运用Token不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。
兼容现有的技术及业务模式。应用Token技术,不用担心持卡人无法选择正确的银行卡支付,因为卡号的后四位仍然会出现在商户网站,用于提示。同时,IC卡的身份认证机制,包括联机认证与脱机认证,这两种认证方式均可结合Token使用。因此,Token应用无需持卡人感知并做出改变。
实行分层验证机制。发行Token类似发行银行卡,银行在发银行卡时会对持卡人进行身份核实与信用风险评估,TSP在发行Token时也要进行身份验证,根据不同的验证手段与可信程度,对验证结果分层描述,可分为高安全、中等安全、低安全以及无身份验证等层级,甚至可以用数值精准地描述。验证结果返回给TR,并出现在交易过程中,供参与交易的各方开展交易风险监控时参考。
应用前景广阔
EMVCo在规范中描述了Token全球性技术框架的四种典型场景:
在线商户、数字钱包、非接NFC支付、二维码支付,涵盖了线上与线下的支付场景,但是其生命力还远不止于此,在银行卡交易的各个环节及应用银行卡号的任何支付场景,只要确保银行卡号可以替换,就可以实现标记化支付交易,并且与现有基于银行卡号的交易一样,具有通用性,可以跨行使用,相关的安全技术以及业务方式均可在交易中体现。
Token技术应用范围非常广泛,但要推动Token在国内快速发展,还有一些亟待解决的问题:一是监管部门及银行卡组织(中国银联)要建立一套开放、统一、公平、合理的技术标准与业务规则,以及认证检测体系;二是要建立Token Requestor和Token SP系统,Token传递路径上的所有参与方(POS、收单方、转接方、发卡方)均需要按照规范进行相应的系统升级,以保证良好的互操作性和一致性。
安全性是移动支付业务发展的基础与前提,是决定移动支付是否能被广大消费者接受的最重要因素,方便、快捷支付方式必须建立在安全基础之上,因此何种技术占据了安全支付的制高点,它就会支配移动支付的未来,这非Token莫属!