國泰航空、萬豪酒店集團,去年(2018)都曾發生大規模的個資外洩風波,許多人的姓名、地址、e-mail、護照號碼、信用卡號,都可能暴露在駭客入侵的威脅下。
即便各國政府力推行動支付政策,但許多民眾就是因為在安全上有疑慮,仍不願意使用。VISA大中華區首席風險長楊景香認為:「電子化的最後一哩總是最難的,很多人不用就是安全考量。」創新是一把利人利己的雙面刃,同時帶來機會與威脅。
不過楊景香告訴《數位時代》:「過去60年,從來沒有任何資料外洩事件,發生在Visa的支付網路VisaNet上。」事實上,當年Apple Pay之所以能在全球落地使用,若沒有背後VISA的關鍵技術撐腰,就不會有今天方便安全的支付體驗。
Apple Pay落地關鍵,Visa代碼化服務
信用卡組織VISA,是一個與全球交易系統綿密交織的龐大網絡,維護支付生態系統的安全、降低敏感資料的價值,是所有創新工作的最優先。Visa亞太區風險負責人Joe Cunningham認為,理想的未來世界,是一個不需要密碼的環境,透過日新月異的身分驗證科技,「提供消費者更好、更安全和無縫的支付體驗。」
Visa代碼化服務(Visa Token Service)是行動支付背後的一大推手,沒有它Apple Pay無法在全球落地使用。楊景香表示:「代碼化就是讓敏感的數據變得不敏感。」簡單來說,就是以獨特的數位代碼(token)取代真實的16碼卡號,如此一來在支付過程就能降低持卡人敏感的帳戶資訊暴露風險,當卡片遺失、遭竊或過期,發卡機構能立即更新帳戶資訊。
代碼化服務最為人所知的應用就是Apple Pay,楊景香解釋,用戶只有在第一次綁訂卡片時,需要輸入16碼卡號,之後iPhone中存的就是代碼,可以想像成把卡號變成另一種語言,每次消費都是用代碼交易,銀行之所以還知道這筆交易是持卡人消費,是因為VISA將這組代碼翻譯給銀行,通過VISA授權後,才能把代碼跟持卡人之間的關係串起來,「 就算犯罪份子偷走了代碼,也不知道代碼背後的關係。 」代碼(Token)並非新技術,VISA之所以能成功,是因為連接商戶、收單行、發卡行、消費者之間的關係,讓代碼可以在支付生態圈中彼此串聯。
楊景香分析,當年Apple Pay之所以能在全世界落地使用,背後關鍵是基於VISA代碼技術的誕生,「沒有VISA背後的代碼技術是落不了地的,VISA在中間解讀代碼關係,是最關鍵的一步。」目前VISA也持續向許多發卡機構、線上支付商家推廣代碼技術,像是影音串流平台Netflix ,在2017年就採用VISA代碼化服務,讓支付安全更加可靠。
數據中心連炸彈都不怕,60年來VisaNet零出包
Visa的支付網路VisaNet,在去年(2018)共處理超過1,270億筆商戶和金融機構間的交易。VISA大中華區首席風險長楊景香說,過去60年來從來沒有一次資料外洩問題發生在VISA上,但為何信用卡盜刷、卡號外洩問題仍層出不窮?
「因為商戶端不是做支付,對系統安全的保護、理解,可能跟做金融的不同。」楊景香說,現在各行各業都跟支付脫不了關係,無論是電商、零售、遊戲業者,參與的玩家越來越多,不過許多廠商都是IT背景,並非金融支付專業,對於資料、安全等級的把關有所差異,因此許多時候資料外洩問題都出在商戶端。
楊景香透露,許多駭客的終極目標,並非美國五角大廈等單位,而是支付網路VisaNet,看準VisaNet每分每秒龐大的金流交易,不只是技術上的資安保護,楊景香說:「我們的資料中心比五角大廈還要安全,建築的材料安全性、系統的安全性都是頂級的。」
VISA的數據中心遍布世界各處,但因為涉及全球規模的交易安全,這些數據中心地點相當保密,連門牌都沒有,在地圖上也找不到,完全比照美國軍事基地等級,VISA數據中心有多堅固呢?楊景香說:「 連炸彈掉下炸,都不會發生問題。 」
即時給出風險評分,為交易安全把關
隨著無現金交易成為全球重要的趨勢,也是許多政府、新創努力的領域,而支付過程中的摩擦體驗,常讓消費者放棄交易。根據研究機構Javelin調查,高達51%的受訪者,都曾因交易過程中授權被錯誤識別,導致交易被拒絕,最後不得不選擇其他信用卡完成支付,如此一來,就會讓競爭對手的信用卡成為首選支付方式。
風險偵測授權服務(Visa Advanced Authorisation,VAA),是VISA近期相當自豪的一項服務,楊景香說:「這個產品非常強大,在業界絕對是領頭羊。」
VAA服務之所以厲害,在於可做到「即時」風險評分。楊景香解釋,過去刷卡時,卡片插進機器會需要等個幾秒鐘,「現在許多友商做的都是『準即時』,意思是交易完成後,才知道風險評分,再回頭去看交易安全與否。」楊景香解釋:「VAA是在授權之前,就可以依據評分安全與否,來決定通不通過交易。」
VAA這是一個結合機器學習與人工智慧的預測性分析技術,會分析500多種獨特的風險屬性,每筆交易處理時間,大約只需要千分之一秒,VISA系統就能「即時(real time)」給出風險評分,並與金融機構共享風險評分,辨別是否批准或拒絕交易。雖然幾秒鐘跟千分之一秒的時間,在實際交易體驗上,感受上沒有太劇烈的差異,但對於後端的交易安全把關來說,是更加可靠嚴謹。
VISA全球高級副總裁Melissa McSherry認為:「如何在不影響流暢支付體驗的情況下,把正常交易與犯罪分子的詐欺交易區分開來,是現在支付行業所面臨的最嚴峻的挑戰之一。」
VAA是VISA反詐欺策略中的關鍵技術,能夠有效降低金融機構及零售商的支付風險,目前在全球129個國家地區的8,000多家金融機構,都已經採用VAA技術。VISA每天平均分析超過60億筆資料,官方表示,VAA服務一年幫助發卡銀行防止超過250億美元的詐騙損失,透過新科技多管齊下,VISA現在已經把全球欺詐率維持在0.1%以下,創下歷史新低。
