电子商务概论 电子商务概论 谁在背后保护 Apple Pay 的安全，让你安心买买买？.docx

谁在背后保护 Apple Pay 的安全，让你安心买买买？ 随着 Apple Watch 的正式发布，Apple?Pay 最近在网上也越来越如火如荼的被提起。也多有传闻称：iOS 8.3 发布时，Apple Pay 在国内会同时上线。 而在 Apple Pay 中，用来保护用户隐私的技术中，最为引人注目的技术便是 Tokenization。这项技术是信用卡在介质上进行的一次革命，可谓“为无卡支付而生”。因为在用户的用卡过程中，最担心的是卡的支付信息被盗；而 Tokenization 着重解决的便是用户的信用卡卡号等支付要素被盗的问题。 那么，Tokenization 和现有的线上支付系统有什么区别呢？在讨论这个问题之前，我们不妨先回顾一下历史： 传统无卡交易及安全 我们先来说明一下无卡交易：在信用卡组织的定义中，持卡人不需要将物理卡片出示给商家的交易，就算无卡交易。 在常见的无卡交易发生时，用户需要输入卡号、姓名、有效期和三位验证码（CVV2）。 如果商家记录下您的这些信息，那么就可以通过这些信息去其他的商家进行无卡消费。为了避免这样的惨剧发生，在支付卡安全标准（PCI-DSS）中明确规定，商家不得储存用户的验证码。 从上表中可看出：验证码（CAV2/CVC2/CVV2/CID/CVN2）属于用户敏感数据，商户不可保存。 但是许多商家为了用户下次可以更方便的支付，会悄悄保存用户的验证码。而如果此类商家的服务器被攻破，信用卡信息被窃，盗刷惨剧就从此发生。去年某 商旅网站爆出漏洞之后，许多银行的客服电话被要求换卡的用户打爆了，这从侧面说明传统无卡交易的安全隐患已如危巢之卵，风险随时可能爆发。 Tokenization 之外的解决方案 正是因为传统无卡支付易于出现持卡人信息泄露的风险，因此各发卡组织为了避免出现大规模盗刷，一直都在努力尝试各种解决方案。 在 Tokenization 出现之前，目前常见的解决方案包括：3-D Secure（Verify?By Visa / Master SecureCode 等）、短信动态口令和协议支付。这三种方式都从一定程度上解决了盗刷问题，在这里让我们先回顾一下这些方案： 3-D Secure 3-D Secure（以下简称 3DS）是 Arcot Systems（不是任天堂哟）推出的一套安全解决方案，它通过用户设置的独立支付密码来增强帐户安全。 在 Visa，3DS 还有一个名字：Verify?By Visa；而在 MasterCard，3DS 则被称为 Master SecureCode。 当用户开启 3DS 验证之前，需要额外设置一个 3DS 支付密码；而之后在支持 3DS 验证交易的网上商家交易时，都需要输入这个 3DS 支付密码，发卡行通过验证 3DS 密码来确认是否为客户本人交易。 而在验证密码的过程中，密码通过持卡人本人与发卡银行之间建立的加密通道传输，因为网上商户/第三方支付机构无法获得持卡人的 3DS 密码，因此银行相信这样可以增强用户网上交易的安全性。 当然，这项技术需要银行额外开发，因此不是所有银行都支持 3DS 验证。国内支持银行如下： 中国农业银行 中国工商银行 中银信用卡（国际）有限公司（注：中银国际卡有，中国银行信用卡无此服务） 中国建设银行 招商银行 交通银行 中国民生银行 中信银行 中国光大银行 兴业银行 中国工商银行 中国农业银行 中国建设银行 中国交通银行 招商银行 中国民生银行 华夏银行 兴业银行 3DS 验证除了需要银行支持之外，它最大的敌人是木马程序。因为 3DS支付密码是在用户的电脑上输入的，而当用户输入了这个密码的时候，依据《欺诈责任转移政策》FLS，用户/发卡行无法提出欺诈拒付。而在用户输入密码的过程中，如果电脑上被安装如屏幕监控程序之类的木马，那么密码将很容易丢失。而如果用户丢失密码，这张卡就成为盗卡组织眼中的肥羊。 既然 3DS 验证存在这些问题，但是这是一种国际通用的支付解决方案。让我们把视线回到国内，看看国内如何解决支付安全问题： 短信动态口令 短信动态口令与 3DS?不同，它并不需要用户额外设置支付密码，而是在验证用户的支付要素之外，通过向用户的手机下行一条验证码短信来验证用户目前持有这张银行卡。银行认为：若用户正确输入短信中的验证码，则银行认为用户已授权支付这笔款项。 在国内第三方支付所提供的快捷支付功能中，通过用验证短信动态口令的方式来验证用户身份已经成为一个公认的行业标准。 看到这里，大家会问：为神马不输入银行卡取款密码呢？因为第三方支付机构无权验证用户的支付密码，而银行也不允许第三方支付机构验证支付密码。 因此，没有短信验证支付，就没有快捷支付。没有快捷支付，大家就不能快乐的在手机上买买买了。 但是，在短信验证支付的实际支付流程中