好久没写长文了。身为从 1987 年至今的资深果粉,身为长期关注台湾电子支付产业发展的独立观察者,当然要为 Apple Pay 的来台,写篇文章祝贺一下。当然,我建议读者可以先重读一下我在一年半前为 PunNode 写的那篇。这篇文章在 PunNode 改版前,单篇有两万多个 Facebook Like,就个有点严肃的科技长文而言,也是绝无仅有的纪录了。回归主题,我改写了也是一年半前演讲时常用的一个投影片,解释一下我对行动支付与 Apple Pay 的后续看法。
Apple Pay 是什幺
从演进的历史来看,Apple Pay 最早的确是一种由 Apple 所倡议的手机信用卡技术,但后来被 EMVCo 採纳,成为国际信用卡组织的技术标準,用来作为下一世代的数位信用卡技术。採纳成为标準的意思是:Apple 失去了专�利权,但也换到了独家领先推出的特权与商机。
从今天的产业现况来看,Apple Pay 只是 EMVCo Tokenization Spec. 此一技术规範的一种实作(implementation )版本而已。实作出来软硬体虽然是 Apple 的财产与机密,但这个技术规範却是公开的。而且,当发卡银行加入 Apple Pay,意思就是它已经把信用卡 token 化了,从此��之后,这个发卡行也可以支援其他合乎相同技术规範的另一个实作,也就是所谓的 xxx Pay 或 OEMPay。
Apple Pay 不是什幺
Apple Pay 就是数位信用卡,并不是第三方支付的一种。因为交易的资金,从买方在发卡行的帐户,直接到卖方在收单行的帐户,并不会在Apple 停留。所以这不是第三方支付。
Apple Pay 不一定是 NFC 支付。Apple Pay 只是可以利用 NFC 来传递 Token 而已。Apple Pay ��之所以会往前相容,支援现有 Visa/Master 的感应式信用卡读卡机,可以说是一种双赢的策略。这个策略一方面让 Apple Pay 不用花时间开拓商家,一开门就有几万个商店支持。另一方面也让还没装感应式信用卡的大型连锁商店,看在 Apple iPhone 用户的面子上,比较有改装的动力。但在技术上,新一代的 POS ,也可以透过蓝牙或其他方式来与和 iPhone 交换 token 。
Apple Pay 不只是线下商店可以用,它更大的价值,反而是线上的商店,尤其是 app 内购物可以用。透过信用卡的 token 化,加上指纹辨识。釜底抽薪解决卡号外洩的问题,进而彻底解决消费者不信赖小型网站或者不敢在新创 App 使用信用卡购物的问题。所以,Apple Pay 真正有用的地方,不是线下感应,反而是线上刷卡,包括信用卡与借记卡。
导入 Apple Pay 时,谁需要的改变与投资最多?
对本来就支持 Visa Wave 与 Master PayPass 的实体商店而言,因为 Apple Pay 往前相容,所以不用做任何改变。这就是为何过去一年多来,虽然 Apple Pay 没开放入台,但是美国人其实早就可以在台湾用 Apple Pay 的原因。
对行动 App 购物或者网路购物业者而言,如果要 app 内购物支援 Apple Pay,要改用 PassKit API 或者 PassKit WebService。这个改变基本上也不複杂,关键反而是要找个做网路收单的公司就是了。目前的问题是:如果台湾的行动电商,想让台湾的消费者,在台湾用 app 内购物的方式使用 Apple Pay,但是台湾却没有对应的网路收单公司,那怎幺办?方法��之一是去设个北美的公司,找北美的业者收单。但是,如此一来,就会变成“消费者与消费地点都在台湾,但却视为境外交易”。这才是 Apple Pay 入台后真正的问题,跟有没有境内的 TSP 一点关係都没有,但整个行政院与央行都搞错重点。
最主要的改变是发卡行必须在原有的信用卡系统上,加入一套称为 Token Service 的软体模组。而想加入 Apple Pay 的发卡行到底要如何建置这个 Token Service 模组,就是前一阵子行政院在讨论 Apple Pay 入台时的主要争议点。
至于实体商店的收单行可以说完全没改变。除非收单机构想和 First Data ��之类的公司一样,打算提供 token 化��之后的线上收单服务,那它就得和 Apple 进行合作。这个角色,目前在台湾是空白的,也是软体公司或金流服务公司的真正商机所在。与线上 token 收单相比,台湾行动支付公司动用各路门神一直想争取的 TSP ,根本不算个生意。可见这个公司也是没有人才。
Token Service 到底是做什幺的?负责的 TSP 是境内境外真有那幺重要?
Token Sevice 讲简单一点,就是用随机索引的方式,在本来的卡号(PAN)与 Token ��之间,建立一个一对一的随机对照表。这种方式,比起什幺椭圆双曲线演算法,根本没什幺高深技术可言,但却无法破解。有了 Token Service ��之后,PAN 只在发卡行内部使用,至于在消费者手机,在商家端,在网路上与收单行��之间流动的,都是 token 。而负责把 Token Service 云端化的业者就叫 Token Service Provider。
Token Service 的建置有两种方式。一种是银行自建软体在自己的机房里,一种是透过私有的高速网路连接到某个软体服务者,就是所谓的 TSP。说穿了,TSP 就是一种 SaaS,而云端运算喊了那幺多年,SaaS 服务还有在分境内还是境外的吗?
在整个 Apple Pay 的取授权过程,信用卡的个资都在发卡行自己行内的系统,即使 TSP 在境外机房,就资讯安全的角度,这些 Token Service 依然还是位于于发卡行自己的安全内网中,并没有个资外洩到发卡行以外的问题。
谁不喜欢 Apple Pay ?
Apple 本来就不是金融业,富可敌国的 Apple 投资 Apple Pay 当然也不是为了区区千分��之二点五的手续费。所以,Apple 选择与信用卡国际组织及 EMVCo 合作,让这个合作伙伴在行动支付的战场可以后发先至。至于说某些大型连锁店不收 Apple Pay,例如 Starbucks 与 Wallmart,其实更精确的说法是,他们根本就讨厌信用卡组织与银行,所以至今不收感应式的信用卡,当然也就不收 Apple Pay了。
传统的第三方支付公司也不喜欢。Apple Pay 一定会促成各种 xxx Pay 的成熟,进而让信用卡/借记卡产业全面 Token 化。等时候一到,包括银联在内的信用卡组织只要一声令下,不再让支付宝与微信��之类的公司使用预存的卡号取授权,那幺现在这些大量依赖“绑卡/快捷支付”的公司,不管他目前规模再大,都全部可以关门了。而且禁止第三方支付公司继续保管卡号与替消费者取授权的举动,涉及金融安全与消费者隐私保护,各国的金融监理机构也不会反对。
白牌与小型手机厂也不喜欢。因为手机加入 xxx Pay,需要高度的软硬整合,还需要通过 EMVCo 的认证。这对于小型的手机厂非常不利。相反的,对于 HTC 这类有年销千万支手机实力的手机品牌而言,这些 xxx Pay 的兴起,反而是有利于他们摆脱白牌小厂的纠缠。
谁应该感到兴奋?
行动商务与各种 app 内消费的业者,终于有个兼顾安全,方便与隐私的支付服务可用,準备可以发挥极大化的创意,大干一场了。
文章来源:机房监控
![[许世杰] 对于 Apple Pay ,你需要知道的几件事_滨罢新闻_金恒智能-CREATE官网](/static/style/images/logo.png){kind=logo}
