全球最安全的支付系統是什麼？

5月，在新加坡舉行的2018 VISA亞太區支付安全峰會 （2018 Visa Asia Pacific Security Summit）上，超過60歲的Visa與其合作方們，針對全球支付領域最先進的物聯網支付技術等新科技和傳統支付手段的安全性進行探討。

Visa亞太區總裁柯如龍（Chris Clark）介紹，Visa在1958年發行了首張BankAmericard，至1997年首次達到1萬億美元的年交易總額。2008年，重組後的Visa Inc整合了美洲、亞洲、中東歐與非洲地區的市場，於美國上市，是同年全球最大的IPO。

Visa亞太區總裁柯如龍

有別於銀行與髮卡機構，Visa公司扮演的角色是提供交易處理和運營系統的網路處理服務商。目前在國內，扮演卡組織角色的是銀聯，而在國際上，全球最大的兩個卡組織分別是美國的Visa與Mastercard。

柯如龍強調，從品牌成立至今，經過Visa網路的交易從未發生過網路被攻擊事故。在使用者數量逐年增大的情況下，Visa卡的欺詐率逐年下降，其中的原因在於Visa採取了“多管齊下”的網路安全策略，是Visa常說的“四大安全支柱”理念，即資料保護、資料脫敏、資料探勘與分析和消費者教育。另外，也歸功於Visa對客戶資訊保護近乎苛刻的規定和要求。

在Visa全球支付處理網路上，VisaNet每秒鐘處理65000筆交易。每筆交易由消費者的刷卡動作開始，VisaNet對其賬戶資訊進行加密，再將編碼後的資訊傳輸給髮卡銀行，資訊解密後，髮卡行核實持卡人資訊，並授權消費金額給收單行，收單行再傳回商戶，整個過程在1秒內完成。除了消費者的銀行卡號與消費金額，Visa並不獲取持卡人更多資訊。

中國電子支付發展迅猛，國內的消費者似乎已經習慣了手機支付帶來的便捷與效率。然而，便捷的模式之下，對於資訊保安的擔憂是消費者在數字支付領域最關心的問題之一。

與國際卡組織的支付模式相比，國內多數電子支付的模式是繞開卡組織進行的“三方支付”，即第三方機構繞開卡組織，與商戶和使用者直連，相較國際通行的“四方模式”少了卡組織的資訊加密傳遞。

Visa所代表的“四方模式”是在三方支付的基礎上，增加卡組織作為銀行、使用者和商家之間的“聯結器”與網路處理商的角色。很大程度上，卡組織所做的工作無法靠金融機構和商戶一己之力去完成，尤其是在確保支付系統在全球範圍的安全性上，Visa作為卡組織發揮了關鍵性作用。

支付行業對安全性有著極高要求，科技的進步和時代的變遷也敦促支付行業需要不斷進行創新和變革。

Visa的解決方案是，推動電子令牌技術的發展。Visa全球副董事長兼首席風險官艾睿琪女士強調，Visa一向提倡“負責任的創新”理念，它意味著支付創新不僅要在便捷性和安全性之間找到平衡，還要充分利用新技術來提升支付的安全性。

目前在移動支付中，電子令牌（Token）技術被廣泛應用。支付過程中的每一筆交易，參與的髮卡行、收單行和商戶所收到的都是經過重新編碼和加密的令牌，商家在收款時將不會獲得Visa持卡人或賬號持有者的真實卡號（或賬號）資訊。

當使用了電子令牌技術後，持卡人的16位卡號將被轉化為電子令牌的虛擬賬號，萬一虛擬賬號被盜，金融機構只需重新分配給客戶一個電子令牌，而無需發出新的卡片。

Visa大中華區首席風險官楊景香女士對介面新聞記者透露，全球支付行業安全的最高標準由PCI （Payment Card Industry） 安全委員會制定，它是一個非盈利支付行業資料安全標準組織，成立於2006年，Visa與Mastercard、JCB都是該組織的重要發起成員。

據瞭解，中國國內目前只有兩家公司加入了PCI標準委員會：一個是德國艾特賽克（atsec）在中國註冊的子公司，另一個是中國銀聯旗下的子公司BCTC。PCI所倡導的資料安全標準是動態的，會跟著安全事件的發生而變化，一年內也可能不斷地釋出新的支付安全標準，有專人專職在進行動態管理。

Visa推廣並實施的PCI DSS（Payment Card Industry Data Security Standard）標準，是全球支付行業的安全標杆，

其中最重要的原則就是對於消費者的資訊，“能不儲存，就不儲存”。

例如，每張Visa卡片背面的CVV2是一個用於網上交易時的身份識別資料。當持卡人進行網上消費時，會被要求提供這個CVV2三位數，以證明這張卡片在持卡人手裡，從而確認消費者身份。但是許多商家與網站往往為了方便消費者支付，會儲存卡背後的CVV2三位數字，這在PCI標準中是不允許的。

楊景香表示，

Visa對於所有與卡組織有合作的商戶、髮卡方，無論規模大小，均要共同執行PCI標準

，這是為保護消費者資訊設定的硬規定。

在今年的Visa亞太區支付安全峰會現場，介面新聞記者注意到， Visa為方便技術合作夥伴的創新預留了一席之地。透過搭載Visa的核心加密技術，許多品牌的手錶、胸針都能成功實現在POS機器上免密支付。

搭載了特殊晶片的可穿戴裝置，能夠在接入Visa的非接觸式支付終端裝置上實現觸碰“秒付”。工作人員告訴介面新聞記者，這樣的物品支付限額一般在500美金以內，但根據各個國家的要求也會上下浮動。

基於晶片的移動支付技術之所以比基於塑膠磁條的傳統支付技術更為安全，是因為以晶片作為核心，駭客無法像複製磁條製造偽卡一樣偽造晶片。即使不使用密碼，也能夠透過聲紋、指紋等輔助的生物識別技術安全支付。

此前在平昌冬奧會上，Visa為合作伙伴帶來了免密支付的手套、紀念帖紙、紀念章等產品，其中搭載的核心技術也是Visa的NFC和“tokenization”，即令牌化技術。

平昌冬奧會上Visa的支付勳章

楊景香透露，蘋果手機Apple Pay的支付功能，其背後使用的正是Visa的Token技術。

而對於支付領域備受關注的生物識別技術，楊景香並未表現出過多的熱情。她認為，生物識別或傳統密碼支付，都只是Visa支付安全解決方案中的一種應用。傳統的PIN和密碼支付或許在未來有可能被生物識別技術代替，但更大的可能性是新興技術與現有身份識別方式的和諧共存。對Visa來說，不存在技術迭代帶來的危機，無論是新技術還是傳統支付手段，安全是唯一的考量標準。

目前，Visa在中國發行的卡片數量超過1億兩千萬張，足以滿足國內出境旅遊的持卡人的使用需求。

柯如龍表示，由於中國電子支付市場尚未對國際卡組織開放， Visa至今沒有獲得在國內的清算處理牌照，但Visa期待能夠加強與中國政府監管部門和金融機構的溝通與合作，早日參與到中國電子支付的大變革和大發展中，為中國的合作伙伴和消費者創造價值。