根据对美国市场不同标记化主体需求的分析,并结合EMVCo技术框架对于标记化技术的研究,本文认为卡组织的支付标记化是连接产业全环节的标记化方案,囊括了收单端标记与发卡端标记,未来将与现有产业中的其他标记化方案并存发展。
1.支付标记化将成为新的安全解决方案、创新支付方案的基础
一方面,接连发生的持卡人账户信息泄露事件,使得卡组织与发卡机构收到大量持卡人的投诉,发生泄露事件的商户面临巨大的经济损失与法律裁决,美国监管机构对VISA、万事达也施加压力,要求加强对持卡人支付安全的保护。另一方面,VISA、万事达已经推广的3DS(Three Domain Secure)1.0在线支付安全规范,由于涉及发卡机构与收单机构复杂的系统改造,同时持卡人在交易中需要输入辅助认证要素,影响了支付体验,目前在全球(尤其是美国)的普及程度不高。因此,境外卡组织需要在不改变持卡人用卡号与有效期完成交易的前提下,有效提高在线支付与移动支付的安全性。
此外,苹果、Google等国际巨头试图通过变革性技术进入移动支付领域,催生支付产业在创新领域保持快速发展。据报道,苹果公司正在围绕iPhone为中心打造移动支付系统;Google在新发布的Android4.4奇巧智能操作系统中支持新的主机卡模拟HCE技术,无需SIM卡等安全载体即可为持卡人提供NFC移动支付服务。由于苹果公司与Google均拥有过亿的用户,而且大多数用户已经将登录账户与卡账户绑定,因此在移动支付领域或将分流卡组织交易,VISA、万事达基于支付标记化提出了新的解决方案,如VISA的基于云端支付的方案,正是将HCE技术与支付标记化技术结合使用。
2.支付标记化角色分工将催生专业化服务商
EMVCo支付标记化框架在不改变现有产业各方分工的基础上,新增加了标记申请方(TR)与标记服务提供方(TSP)两个重要角色(EMVCo关于支付标记的生态系统如图2所示)。其中TR负责搜集持卡人卡号、有效期及相关信息,向TSP申清支付标记并将标记返回相关方;TSP负责产生支付标记、有效期及担保级别,并负责在交易过程中实现支付标记到卡号的转换。
未来,支付产业会出现不同类型的TR,以卡组织为主体建设的TSP也会根据合作需求两两连接。
3.支付标记化将推动产业各环节的发展
EMVCo支付标记化规范实质提供的不是具体产品方案,而是全球通用的基础性技术框架。此次发布的支付标记化规范,拓宽了EMVCo原有在IC卡与终端领域制定标准的业务范围,开始涉足在线支付与移动支付等创新领域的技术标准制定。支付标记化除了可以有效支撑收单业务与发卡业务,也可以为产业提供增值服务。
(1)对收单业务的支撑
目前收单端标记仅能解决商户存储卡号的风险问题,而卡组织支付标记不仅考虑了该需求,还增加了场景控制、身份认证等功能。比如EMVCo规范里面提到的COF(存储卡信息的大商户)、Digital Wallet(数字钱包)等两类场景。
(2)对发卡业务的支撑
目前,发卡端标记仅能解决原始卡号落地后被泄露的安全问题,而卡组织支付标记不仅考虑了该需求,还可以联合发卡银行开展身份认证,提供更多关于交易应用场景的数据,为发卡银行的交易风险管理提供参考。比如前面提到的HCE与二维码应用场景,以及EMVCo正在讨论的对于芯片卡进行标记化的应用场景。
(3)提供的增值服务
EMVCo发布的规范中关于担保级别的规定如下:一是在支付标记申请环节,需要对持卡人与卡片进行双重的身份认证,既确保卡片的真实性,又确保持卡人的真实性,通过担保级别可以有效标识不同级别的身份认证结果,为后续的业务处理与风险职责分担提供重要依据;二是在支付标记应用环节,支付标记首先应在被限定的范围内使用,一旦超出了使用范围,TSP会进行风险提示,其次,TSP可以向商户或者收单机构提供标准化工具采集真实交易的环境信息,若环境信息(如持卡人在线支付的IP地址、智能手机的硬件序列号等)发生明显变化,TSP会实时根据上送的环境信息进行风险识别与分析,将分析结果与已分配的担保级别进行比对,再次根据不同的情况进行相应的风险提示,利用云后台的处理能力为商户、收单机构与发卡机构提供相关的交易风险服务,这就是基于风险的身份认证(Riskbased Authentication)。