移动支付安全的IT解决方案
芯片安全技术用在SIM卡,包括电信、支付、政府识别证件如电子护照及IoT安全等,早已是非常可靠的安全解决方案,英飞凌科技亚太有限公司经理朱耀辉指出,随着移动电子商务逐渐普及,芯片安全技术也可望成为移动支付业者用来保护数据的主要解决方案。
由于移动支付的解决方案,多半也都会跟着整体支付市场的发展,朱耀辉认为,必须要先了解整体支付市场的发展趋势。目前大多数国家已经开始从传统的磁条卡,开始转向为EMV芯片卡。朱耀辉表示,芯片卡未来的发展趋势,除了必须要符合比较高的标准如CC EAL6+外,芯片卡的品质必须要有高可用性,生产过程的成本不能太高,也不能太复杂,而且不能只是单靠一家或两家的业者来供应。
随着手机应用愈来愈多样化,功能已经不再只是用来通话,举凡购买在线音乐、购物、叫车等,许多人都可以用手机完成,促成这些改变的关键,其实就是移动支付。
朱耀辉指出,移动支付能够迅速普及的原因包括,移动支付工具变得很方便,很容易使用,多管道及定制化的体验过程,不管是对消费者或商家,也都很有吸引力,愈来愈多的创新支付平台也让选择更加多样化,许多支付工具也都已经整合到购物的流程中,不管是在台湾、泰国或新加坡,都已经能够上网使用移动支付购物,但更重要的是,许多银行或机构都已设置标准,确保支付的过程是很安全的,也让移动支付应用会愈来愈普遍。
事实上,从2014年起,许多移动支付如Apple Pay、Samsung Pay、Android Pay就已开始陆续上市,朱耀辉提醒业者,应该要好好思考,这些移动支付有什麽区别,可以为自己的客户带来什麽效益。
以Apple Pay为例,技术特色包括使用NFC技术,支持的信用支付以VISA、Mastercard及美国运通(American Express)为主,使用安全芯片技术(Secure Element;SE)也已经放入手机中,透过alternate(tokenized)技术,可以将真实的信用信息保护得很好。
朱耀辉表示,使用Apple Pay完成支付认证的过程也非常简单,使用者只要用Apple Pay对所持有的信用卡拍下照片,再发到Token Service Provider(TSP)后,就可将信用卡号码转换成Token号码,输入到手机中的SE芯片中,需要支付时,只需要将手机贴近读卡机,Token号码就会送到TSP,银行再从TSP取得信用卡的真实号码,在使用移动支付的过程中,信用卡号码都不会泄漏。
Samsung Pay的一个特色则是支持MST Technology,商家不需要更换现有的磁条读卡机,只需要将三星手机放在读卡机旁边,就可以直接使用Samsung Pay。
至于Android Pay,诉求为简单(Simplicity)、安全(Security)、可选择(Choice),因此不像Apple Pay或Samsung Pay是提供自有品牌手机使用,Android Pay为开放授权平台,采用HCE技术将信用数据放在云端,所有支持Android 4.4版本以上的设备都可以导入,apps也可以直接整合Android Pay,甚至不需要开启apps,就可以直接完成支付。
朱耀辉指出,三大移动支付系统如何储存支付信息,是最值得关注的地方。手机存放机敏信息的安全防护方式有四种:首先是存放在手机中;其次则是Trusted Execution Environment(TEE),用手机CPU一小部分的区域专门来存放这信息;第三种是Clound-based SE,将数据存放在云端;第四种则是Secure Element,将数据存放在安全芯片中。
四种不同的方式各有优缺点,朱耀辉强调,安全是有代价的,安全不是免费的,如果要最便宜的,但也是最不安全的,就是将数据直接存放在手机中;比较便宜也比较安全的方式,是将数据存放在云端;TEE不管是成本或安全度的排名都是次高;成本最高但也最安全的技术则是eSE。
朱耀辉指出,2014年共有708个数据泄漏事件,共有8,200万个个人数据被窃取,平均每个泄漏事件导致新台币350万元的损失,业者必须要导入更新也更容易使用的安全技术如FIDO,才能避免类似的泄漏。