應商視野
Vendor Vision

行動支付安全機制應更受重視

3DS v2.0 帶來更好的線上刷卡體驗

3DS (3 Domain Security) 是卡組織針對線上刷卡( 或無卡支付) 的一種安全設計,目前是免費授權的,因此非支付卡產業的一般企業也可以引進並實施該安全標準,來強化整體自我資安防護能力。

採訪/施鑫澤

  2017年發卡機構通報,信用卡詐欺金額中,台灣線上交易詐欺金額占9成以上,詐欺金額達16億台幣。只要能舉證卡號卡片被盜刷,多是由發卡銀行負擔盜刷損失,如何增加信用卡安全,避免卡號及末三碼洩漏成為發卡銀行、卡組織及特約商店(收單銀行) 的重要挑戰。
  過去透過在刷卡時,由消費者記得一組由發卡行或信用卡組織發給消費者的一個密碼,在線上購物的同時進行驗證,確認此筆交易是由消費者自己發起,來防止信用卡被惡意人士盜刷。隨著手機的便利,線上刷卡時由發卡銀行發送一組六位數密碼到消費者登記的手機,由消費者將該密碼打入線上頁面,由於線上的商店、收單銀行均無法得知該密碼,因此發卡銀行透過發送該密碼到消費者手機,之後驗證該密碼被驗證就可以確認交易是由消費者本人發起的。此安全機
制即為3DS (3 Domain Security)。

3DS 讓行動支付更加安全

  安律信息技術總經理黃廷弘表示,3DS是由EMVCo所制定,針對標準EMV 3-D Secure–Protocol and Core Functions Specification v2.0用於規範 3D 交易中的 ACS(Access Control Server)、DS(Directory Server)及 3DSS(3DS Server)的產品及訊息的規格,並結合 PCI 安全標準委員會 (PCI SSC) 制定了PCI 3DS的安全審查標準,應用在對於 3DS 系統的運作環境及資料安全。

  EMVCo 最初由 EMV (Europay、MasterCard與Visa)三大組織於1999年2 月共同成立, 目前由 A E 、D i s c o v e r 、J C B 、M a s t e r C a r d 、Union Pay、Visa共同負責。黃廷弘以實務上做舉例,當消費者在蝦皮購物平台發起刷卡請求,蝦皮將透過 VISA的網路傳送給中國信託(發卡行),中國信託負責驗證持卡人身份並將驗證結果透過VISA (卡組織)將驗證結果傳回給蝦皮,完成持卡人驗證並完成收單。以上這三個領域(Domain) 建立起一個防止消費者未授權的線上刷卡安全機制,便叫做 3 Domain Security。

  至於行動裝置方面,EMVCo 則訂定了 3DS SDK 的技術規格標準,並由 PCI SSC 進行 3DS SDK 的審查。運作上所有 3DS 項目,如ACS、DS、3DSS 需要通過E M V C o 的產品測試, 並通過各國際卡組織,包括 AE、JCB、Discover、 MasterCard、Union Pay、Visa 等的運作測試後才能確保其互通性。

  PCI SSC 的安全需求則是在 3DS 產品的運作環境中的安全需求,並由 PCI SSC 核可的 QSA 公司(如安律信息技術)進行安全的審查,信用卡組織通常在於 3DS產品通過其運作測試、支付機構與商戶通過 PCI 3DS 審查後才正式核可 3DS 的服務上線。

  黃廷弘表示,透過落實國際卡組織所制訂出的嚴格安全標準,PCI DSS 和PCI 3DS,執行安全標準中的所有細節,方可將資安風險事件降到最低。當前這個標準是免費授權的,因此非支付卡產業的一般企業也可以引進並實施該安全標準,來強化整體自我資安防護能力,減少資料外洩的發生機率。

  黃廷弘指出,早期的EMV 3DS 1.0 規格,是 Verified by Visa所提出, 至今已經 17 年,3DS 1.0 致力於提供發卡行取得持卡人在無卡交易時進行確認。但由於 1.0 的持卡人登錄方式與確認方式過於複雜且容易產生阻礙,造成使用後商戶的轉換率下降,尤其是線上交易持卡人當初註冊在發卡行的密碼,消費者不容易記住,導致交易成功率下降以及授權失敗、中途取消交易的比例大大增加,雖然降低了偽冒的損失,但卻無法得大廣大特約商店的青睞。

  隨著銀聯和 E M V C o 的加入後推出新一代的 3DS V2.0 , 由 EMVCo所制定的 3DS V2.0 規格,則針對 3DS 跨領域營運所需要的技術元件、服務交易的資訊規格以及互相傳遞的資料格式、安全格式等提出了統一的規格。目前發卡及收單銀行採購 EMVCo核可的 3DS 2.0產品與卡組織測試成功後就可以推出 3DS 2.0的服務。因應行動商務的盛行,3DS2.0 的出現,讓運用在無卡交易的電子商務交易時,可透過 3DS 發卡行取得持卡人的確認過程更加容易、簡
單且安全。降低信用卡盜刷風險,提升交易安全。PCI 3DS 的標準產生,更加快了整體營運安全審查的便利性。

  黃廷弘透露,預估 VISA 於2019年4月將開始要求相關單位需要進行 PCI 3DS 的合規審查。

PCI 3DS V2.0不只提升體驗感 也更安全

  EMV 3-D Secure V2.0是一個新的交易安全介面,提供 APP 交易確認、與數字錢包整合並支持傳統的瀏覽器電商交易。消費者可以通過發卡機構來驗證自己的身份,同時新的持卡人確認方式也被引進,如臉部辨識、指紋在手持設備上可以用來確認持卡人的身份,大大的增進了行動裝置電子商務的便利性。EMVCo 發布的 EMV 3-D Secure V2.0規範,支持支付行業通過主要的電子商戶通路和連接設備包含在 APP 內購買,提供一致的消費者體驗。

  對於電商來說,安律信息資深總顧問李哲祥表示,3DS V2.0 相較於上一版本有所不同。首先,發卡行 (Issuer) 在 ACS 中是以風險為基礎作為核准認證並授權交易。第二,是通過 DS 直接向商家通知授權結果,增加發卡行和商戶之間的安全性,如 3DS V2.0 不僅提升消費者體驗感,介於不同卡別,更橫跨電子商務和移動商務,以下為 3DS 2.0 的幾個優勢:

  • 領先的安全標準並提供無縫集成身份驗證增加電子商務交易的安全性。
  • OTP (One time password)動態密碼。
  • 使用移動裝置和電子商務時,同時持卡人的體驗也會更好。
  • 透過不同的通路或設備使支付的過程中更順暢,同時降低風險充分的與 APP結合。由於目前行動購物的市場在很多國家都已經超過電腦的購物,3DS 2.0 透過SDK (軟體開方元件) 與手機、APP 緊密的結合。
  • 無摩擦的驗證流程,取消彈窗式的驗證,減少釣魚風險
  • 提供一次性的使用密碼及以個人背景的身份驗證

  另外 3DS V2.0 允許透過生物特徵(OBB)如指紋,臉部識別或是新的驗證技術,來驗證持卡人的身份。支持發卡行也可以自行驗證持卡人身份,如一次性密碼(OTP)進行驗證。不管是從商戶,發卡行或持卡人的角度,由銀行和商戶提供持卡人一個更安全的環境,不僅降低盜刷的風險,無摩擦的持卡人驗證使消費者也更願意使用,PCI3DS V2.0 需要從發卡行,商戶和消費者共同參與,未來才能有效降低盜刷風險,創造多贏的局面。

  3DS 讓購物更快、更安全、跟盜刷說再見,期許卡組織的 PCI 3DS 讓安全更上一層樓。