VISA在台推動代碼化到商家及EMV 3-DS驗證 - 信用卡

https://www.ithome.com.tw/news/136821

【2020支付安全未來三年新變革】商家儲存的信用卡號應代碼化，全新3-DS驗證
在臺有3大類別商家必須啟用

近日Visa公布臺灣支付安全未來三年的最新規畫，當中有兩大重點，一方面將代
碼化技術推動到商家的面向，讓商家儲存的信用卡資料都代碼化，另一方面則是
在金融機構與商戶對於EMV 3-DS的採用，預計今年10月17日就有9成金融機構導
入，明年1月16日，則將要求國內的運輸、旅行與電腦服務業的商戶端需強制採
用。

文/羅正漢 | 2020-04-08發表

https://imgur.com/lV6JJJt

隨著數位支付的使用率提升，線上的支付安全升級也成必然趨勢，不論是防止信
用卡被惡意人士盜刷，以及商家保存消費者信用卡號所引發的安全疑慮，一直都
是關注焦點。近日，Visa也公布臺灣的支付安全未來3年發展計畫。

根據該公司的規畫，代碼化技術（Tokenization）的採用將更廣泛，不只是過去
Apple Pay、Google Pay等行動支付採用，而且，對於商家行動App的支援，以及
線上商店的卡號保存等，該技術將全面實施，至於新一代3D Secure（3-DS）驗
證的採用，臺灣金融發卡機構將在今年10月中旬陸續做好準備，部分商家明年1
月中旬更是必須強制採用。


以代碼化技術保護存放的信用卡資料，預計3年內所有商家完成導入

近日，Visa對外公布近三年的臺灣支付安全發展藍圖，進一步提升線上支付的安
全，當中有些階段性目標是必須的規範，有些則是建議的選項，期望讓金融業者
與提供電子商務的企業，日後在安全方面的投入，可以有更具體的方向。

基本上，他們提出了兩大支付安全焦點值得關注，首先是代碼化技術的推動，將
朝向企業商家推進，其次是新一代3-DS驗證系統，已經正式在臺推動，Visa並提
出具體時程，讓相關業者都必須提前做好準備。

以代碼化技術而言，它在2014年成為支付產業標準組織EMVCo的正式標準，該技
術將信用卡的16位數號碼，置換為另一組16位字串，最主要的目的，就是為了降
低資料價值，讓實際的信用卡號碼只會使用在一開始的請求過程中，之後的存放
與傳送過程，其實都是使用另一組代碼。

目前，這樣的安全技術早已應用在Apple Pay、Google Pay與Samsung Pay等國際
行動支付當中，讓使用者在這些行動支付中所綁定的信用卡，更有保障性。然而
，隨著行動支付越來越普遍，Visa也期望將代碼化技術擴及更多應用環節，尤其
是對於資料在商家的面向。

例如，在第一階段，今年10月1日前，他們預計要讓商家導入應用程式內交易代
碼化，當消費者在應用程式內支付選項中，就可以使用上述已採代碼化技術的行
動支付工具來付款。換言之，在商家App內即可呼叫Apple Pay、Google Pay等應
用。

到了2021年，Visa期望代碼化的支付資訊，能夠為商家在資訊安全帶來多一層的
防護。在1月1日，先是所有收單行（提供刷卡機或網路刷卡機制的機構）的支付
閘道業者需支援EMV規格代碼化，國內這類業者包括喬睿科技與CyberSource等，
接下來希望在在7月1日之前，促成儲存信用卡資料的大型店家能達到要求，例如
，每年處理100萬筆交易的商戶，在支付帳戶存檔方面都要使用代碼化技術，以
保護這些儲存敏感資料，而其他企業也要做好準備，因為在一年後，2022年的7
月1日，他們希望所有商戶都要準備就緒，保護信用卡資料都要使用代碼化技術
。

這麼做有什麼好處？簡單來說，現在的線上刷卡很方便，一些網路商店會詢問消
費者是否儲存信用卡號，讓日後消費不用再次輸入，而代碼化技術則可降低資料
價值，信用卡組織希望這樣安全的技術，也能用在商家的App之內，讓店家App本
身不用處理卡號的資料，而收單行下面的支付閘道業者也要先有能力處理代碼化
交易，更進一步，就是讓所有電子商務業者都這麼做，使真正信用卡的資料，不
會因為保留在商家或傳送過程遭駭，而被盜取。

https://imgur.com/tpjY9SH
對於支付安全的未來發展，Visar近日公布臺灣近三年的支付安全發展藍圖，推
動EMV 3D Secure（3-DS 2.0）驗證，以及商戶採用代碼化技術是兩大主軸。


今年支付安全著重在商家App，可呼叫採代碼化技術的行動支付

綜觀Visa在此方面的推動，對於商家儲存信用卡資料的安全性，顯然該公司是希
望在三年內，讓商家要以更安全的代碼化技術，來替代傳統保護方式，進一步提
升支付的安全。

然而，目前上述這些代碼化技術的應用，其實還不是強制的規定，對此，Visa風
險管理部副總經理沈玟芳表示，目前該公司在支付安全提供業界一個方向，等到
全球市場的採用程度到達一定水準，不排除讓所有業者都納入。

至於國內商家App的代碼化技術應用現況如何？例如，去年台灣大車隊推出的
55688 App，在綁定信用卡功能上，採用了業者提供的Token代碼化服務，但國內
其他企業店家的App是否也都這麼做，例如，國內全福利中心的PX Pay，以及新
光三越百貨的Skm Pay，雖然在其官方網站上指出符合PCI DSS支付卡產業資料安
全標準的規範，卻未提及代碼化技術，到底是否已經採用這項技術呢？沈玟芳表
示，國內多數業者都還沒有使用代碼化技術，她進一步解釋，目前在App綁定信
用卡方面，稱之為Card On File Tekonization，而應用程式內交易代碼化則不
同，在應用程式付款時，除了看到輸入信用卡，如果可以在App內看到Apple Pay
、Google Pay、Samsung Pay等支付選項，就代表提供In-App Tekonization，也
就是今年他們正推行的應用程式內交易代碼化，兩者都是強化現有支付安全的方
式，可降低真實信用卡號的外曝風險。


新一代3-DS驗證更名，臺灣有3大行業商家需在2021年1月採用，並期望三年內
提供消費者控制權

第二個焦點在於新一代的3-DS驗證的推動，今年終於有了明確的時程，同時，有
3類型商家在明年來臨之前必須要遵循。

關於3-DS驗證，1.0版是在2000年推出，國內金融業者都已經導入，至於2.0版，
則是在2016年公告。特別的是，沈玟芳指出，自今年開始，Visa開始將3-DS 2.0
改稱「EMV 3-DS」。

這項機制，主要提供線上交易用戶身分認證，防止消費者未授權的線上刷卡行為
，像是需要接收SMS簡訊來確認，只是過去在3-DS 1.0時代，其實許多國內商家
都未提供這個驗證功能，或是選擇只在註冊時採用，不在每筆交易時採用，原因
在於當時用戶體驗不好，可能會增加商家的掉單率。而新的EMV 3-DS驗證機制，
將利用更多資料來驗證與安全，期望減少消費者煩瑣的驗證步驟，並讓更多商家
採用。

以全球各國來看，新版3-DS驗證在歐洲的發展腳步最快，在臺灣也有業者採用，
例如，中國信託商業銀行於2019年10月，率先宣布導入這項新的驗證系統，根據
該公司說明，過去3DS 1.0系統僅能使用網頁開啟密碼驗證系統，這種方式在行
動裝置上網刷卡消費時，驗證視窗容易影響消費體驗，也容易遭受惡意攻擊，引
導消費者連結至惡意的釣魚網頁。而在金融業者開始導入新的驗證系統後，當時
並無法得知有那些國內商家開始布局。

現在，Visa有了答案，EMV 3-DS驗證在這次公布的安全支付藍圖之中，他們提到
幾項目標。首先，他們將促成全臺金融發卡機構，在今年10月1日前，要有9成都
導入EMV 3-DS驗證系統。

接下來，到了2021年1月16日，將開始針對高詐欺風險的電子商務商戶做要求。
目前規範那些業者需要採用？沈玟芳表示，目前臺灣強制要求3個類別的商戶，
包括交通運輸類、旅行業與電腦服務業，主要原因在於，這些類別在2019年比較
容易受到網路攻擊。

而國內主流電商是否使用3-DS？她表示，目前他們持續與收單機構進行溝通，同
時說明臺灣的電商風險其實並不是那麼高，因此沒有規畫在第一階段的2020年就
要完成，他們認為，主要風險都在國外，所以先行採用，例如，歐洲電商的實施
比較早。

較值得注意的是，沈玟芳指出，若是商家提早採用EMV 3-DS驗證，這其實意謂著
金融機構也要先就緒，主要是因為亞太地區責任移轉計畫，將在4月18日開始，
店家可將詐欺責任轉嫁到發卡機構。

最後，他們則是希望給予消費者控制權，時間是在2022年7月1日之前。例如，使
用者在沒有出國時，可以自行把國外交易關閉，或是將網路消費關閉，等到消費
時才開啟，他們希望銀行可以把這樣的功能，設計到App或網路銀行上，讓客戶
加入風險決策過程。


新舊3-DS交易驗證系統在使用資料方面的差異

https://imgur.com/1xZW9dy
在2019年6月，Visa曾在臺說明3-DS 2.0驗證機制的不同之處，當時就提到，新
交易驗證機制將利用更多資料來驗證與安全，像是網購使用的IP位置、瀏覽器時
區、時間與電商名稱，以及信用卡持有人的郵件、行動電話、寄送地址等資訊，
這些內容將幫助加速判斷交易真偽，簡化流程並降低對於商家掉單率的影響。


3-DS 1.0用以驗證的資料
●Acquirer BIN
●Acquirer Merchant ID
●Browser User-Agent
●Cardholder Account Number
●DS URL
●Message, Extension, Version

EMV 3-DS(3-DS 2.0)用以驗證的資料
●3DS Requestor Authentication Information (Method), Challenge Indicator, ID, Initiated Indicator
●3DS Requestor Authentication Method Verification Indicator
●3DS Requestor Decoupled Max Time, Decoupled Request Indicator
●3DS Requestor URL, App URL
●3DS Server Reference Number, Operator ID, Transaction ID, UR
●Account Type
●Acquirer BIN
●Acquirer Merchant ID
●ACS Decoupled Confirmation Indicator
●Address Match Indicator
●Browser Accept Headers
●Browser Java Enabled, Language, Screen Color Depth, Height, Widt
●Browser Time Zone
●Browser Time ZoneJavaScript Enable
●Browser User-Agent
●Card Expiry Date
●Cardholder Account
●Cardholder Account Identifier, Billing Address
●Cardholder Account Number
●Cardholder Email Address, Home Phone Number, Mobile Phone Number, Work Phone Number
●Cardholder Name
●Cardholder Shipping Address
●Device Channel, Device Information, Rendering Options Supported
●DS Reference Number, Transaction ID
●DS URL
●EMV Payment Token Indicator, Payment Token Source
●Information (Account Age, Change, Password Change, Number of Transactions per Day / Year, Shipping Name Indicator, Suspicious Activity, Payment Account Age etc
●Instalment Payment Data
●IP address
●Merchant Category Code
●Merchant Country Code
●Merchant Name
●Merchant Risk Indicator (Delivery Timeframe, Re-order, Pre-order, Gift Card)
●Message Category, Extension, Type, Version
●Message Category, Type
●Purchase Amount, Currency, Date & Time
●Purchase Date & Time
●Recurring Expiry, Frequenc
●SDK App ID, SDK Encrypted Data, Ephemeral Public Key
●SDK Reference Number, SDK Transaction ID
●Transaction Type
●Whitelisting Status, Status Source
※另外還可加上Travel Industry的資料


特別值得一提的是，目前國際支付產業標準組織EMVCo也在推動無摩擦認證
Frictionless Authentication，包括像是與FIDO聯盟合作，並與Secure Remote
Commerce（SRC）工作小組持續推動。

對於去年剛成形的SRC標準，這次我們詢問Visa亞太區總裁Chris Clark，他表示
，這項機制目的是讓交易更加流暢，對持卡人與商戶來說，可以更方便。而這樣
的機制需要以代碼化技術做為基礎，同時也跟EMV 3DS驗證系統相輔相成，也是
他們發展的一個環節。

--