歐盟提出支付服務指令修正案(PSD2),其中包括用於線上歐洲支付卡交易的多因素身分驗證,將對美國和其他地區的支付處理產業造成連鎖效應。
文/Lucian Constantin 譯/Kururu
作為支付服務指令修訂版(PSD2)的一部分,線上支付的新安全規定在歐洲去年底生效,但它們也有望在美國和世界其他地區產生影響。PSD2給支付產業帶來了兩大變化:它要求透過多因素身分驗證(MFA)來達到更嚴格的線上交易安全要求,並要求銀行和其他金融機構在帳戶持有人同意的情況下,允許第三方支付服務供應商有權存取消費者銀行帳戶。
何謂更嚴格消費者身分驗證(SCA)要求?
根據PSD2的規定,持有支付帳號的金融機構將需要挑戰由歐洲消費者藉由雙因素認證(2FA)所發起的線上支付(例如信用卡交易)。這種更嚴格的身分驗證結合了像是密碼或個人識別碼(PIN)等使用者所知道的內容、比如智慧型手機App所生成密碼等使用者所擁有的東西,或者像是指紋或人臉識別等生物特徵識別碼。這將為每筆將顧客與交易金額相連結的交易生成唯一的身分驗證碼。
這些要求有一些例外。例如,30歐元以下的交易可以豁免SCA的要求,以及具有相同收款人和金額的循環交易,如訂閱類型的服務亦可豁免要求。消費者也可以將商家列入白名單。
如果併購銀行或服務通過其他風險分析方法確保較低的詐欺率,則可以免除較高價值的交易-詐欺率低於0.13%的交易最高為100歐元,詐欺率低於0.06%的交易最高為250歐元,詐欺為500歐元率低於0.01%。但是,根據諮詢公司Aite Group和詐欺預防公司Iovation最近關於PSD2的影響的報告,大多數收購方的平均詐欺率都遠高於0.13%,因此尚不清楚是否可以實現如此低的詐欺率。
如果收單銀行(Acquiring Bank)或服務透過其他風險分析方法確保較低的詐欺率,則較高價值的交易也可以豁免SCA要求,亦即低於0.13%詐欺率的最高交易額可達100歐元,低於0.06%詐欺率則為250歐元,低於0.01%詐欺率可達500歐元。然而,根據諮詢公司Aite Group和反詐欺公司Iovation最近發佈的一份關於PSD2影響性的報告指出,大多數收單機構(Acquirer)的平均詐欺率遠遠高於0.13%,所以這麼低的詐欺率能否實現還不清楚。
Aite和Iovation在聯合報告中表示,雖然SCA的要求在技術上只適用於發卡機構與收單銀行都位於歐洲經濟區(European Economic Area, EEA)的交易,但實際上,歐洲發卡機構可能會套用相同的規則,而無論商家的地點何在。
這些要求是為了打擊「免過卡」(Card-Not-Present, CNP)詐騙而制定的,在過去十年裡,隨著晶片信用卡的導入,此類詐騙一直呈現不斷攀升的趨勢。至於晶片卡則符合EMV標準,其這使得實體卡的複製變得更加困難。根據歐洲中央銀行(European Central Bank, ECB)的統計資料指出,直到2016年,免過卡詐騙每年都在穩步增長,其占比達到與歐元支付相關之信用卡詐騙損失總額的73%。
在過去幾年裡,IT安全公司也注意到,入侵線上商店並注入惡意描述語言以竊取使用者在結帳頁面上輸入之支付卡細節資訊的犯罪集團數量有所增加。這樣的攻擊手法被稱之為網頁側錄攻擊(Web Skimming Attack),是網路犯罪者越來越關注CNP詐騙的另一個跡象。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
PSD2將如何影響美國市場?
根據Aite和Iovation的報告指出,一旦SCA要求在歐洲生效,就有可能在世界上其他沒有類似強力保護措施的地區(包括美國)增加CNP詐騙的風險。這個在歐洲採用晶片加PIN碼信用卡身分驗證之後出現的情況,就跟過去過卡詐騙的狀況如出一轍。好消息是,美國支付產業將很可能對線上交易採用嚴格身分驗證,其速度遠遠快於對實體卡採行EMV標準的速度。
在歐洲監管機構正發布新指令的同時,支付產業也正透過過由金融公司和支付卡網路所組成的EMVCo聯盟來推出名為3-D安全第2版(3-D Secure version 2, 3DS2)的新身分驗證標準。他們的目標是在全球實施該標準,而不僅限於歐洲而已。
3DS2可透過生物特徵識別和一次性密碼的支援來滿足PSD2的身分驗證要求。它也整合了像是Apple Pay等行動裝置身分驗證解決方案,並解決了線上商家使用其前身3-D安全第1版(3DS)所遇到的許多問題。
EMV標準在美國已採用多年,但仍不夠完善,因為商家必須購買新的銷售點(POS)終端以支援晶片卡,而且需要這些終端裝置能支援他們現有的客製化選項,例如會員忠誠方案與替代支付方式。其與3DS2不同,因為其實作方式涉及軟體變更,而不是硬體。
大部分工作不是針對商家,而是針對銀行,銀行只需部署一個應用程式介面(API),就能識別所有信用卡網路所共用的3DS2目錄,麥凱德國際顧問集團(Mercator Advisory Group)支付創新副總裁Tim Sloane表示,麥凱德國際顧問集團是一家位於美國麻塞諸塞州的公司,為來自支付與銀行業的公司提供諮詢服務。
「我預期像亞馬遜這樣的大型跨國公司今年將在歐洲採用它,一旦具備了這種能力,他們也希望將其部署到全美國,」他表示:「所以,與EMV標準不同的,3DS2理論上有可能在三年內部署至美國。」
根據Sloane的說法,如果線上商家開始將其支付基礎設施切換到3DS2以符合歐洲的法規遵循要求,那麼這也將為美國銀行提供支持該標準的動力。否則,他們將面臨詐騙交易的責任。因此,儘管3DS2在歐盟的採用推動力會來自新指令,但美國採用的驅動力則會來自責任移轉。
3DS2標準在美國的成功,將取決於它能否很好地解決商家使用前一版本標準時所面臨的問題。3DS第1版要求商家將持卡人資訊傳送給銀行收集,進而導致客戶流失,因為他們會在結帳過程中放棄購物車。
「在美國,大多數商人都停止使用3DS,因為它太不可靠了,」Sloane表示:「消費者必須單獨註冊才能使用它,沒有多少人願意花時間和精力來做這件事,因此會使用它的消費者使用量非常小。」
使用3DS2,持卡人可以透過其銀行自動訂閱該服務,因此無需任何註冊程序。此外,新標準允許商家可以收集更多交易相關的資訊,並透過正常的支付管道將這些數據點(Data Point)傳送給發卡機構,然後由發卡機構決定是否要質疑該交易。如果發卡機構質疑交易,它將透過簡訊發送的密碼,抑或透過安裝在使用者手機上銀行App所採用的身分驗證機制(例如指紋式驗證),並獨立於商家之外地個別進行交易的驗證。
「對於消費者的質疑來自於銀行,而不是商家,預期整個實施與執行過程會更加順暢,」Sloane表示:「如果有問題出現,可能會延遲採用,但我期望信用卡網路能將他們所有的一切置諸其後,以使其正常運作。」
Aite和Iovation在他們的報告中還提醒指出,新的SCA要求可能會使歐洲現有的加強身分驗證數量倍增,如果該程序管理不當,可能會使商人遭受銷售損失。
第三方存取銀行帳號
歐洲監管機構並旨在為歐洲支付服務創造一個競爭性市場,並允許新公司在這一領域進行創新。為了實現這一目標,PSD2要求為顧客管理支付帳號的銀行和其他金融機構能提供第三方服務供應商存取這些帳戶,但前提是要取得果帳戶所有人的同意。
這些第三方支付服務供應商能夠檢查資金的可用性,並代表帳戶持有人開始支付或存取像是交易資訊等帳號資料。授予存取權限可以透過幾種方式來實現,包括將顧客重定向至銀行入口網站上進行身分驗證,但根據Aite和Iovation指出,最常見的實現方式是透過銀行提供的API來達成。問題是目前還沒有廣泛採用的API標準,儘管不同產業組織正在開發並提出一些標準。
「銀行可以選擇遵循這些標準或開發他們自己專屬的法規技術標準(RTS)相容API,」Aite在其報告中指出:「多種標準的存在,意味著第三方供應商(TPP)將不得不在歐洲使用不同的API。當前銀行對於同一標準的實施作法也不盡相同,這益使複雜性也隨之大增,而英國就能證明這一點。」
從歷史上看,分割化(fragmentation)和複雜性已導致其他技術領域的實作錯誤,而且這類錯誤始終會有導致安全漏洞和安全入侵等風險的存在。雖然這種存取方式可以刺激創新並導致新服務和應用程式的建立,但消費者應始終提防將自己資料以及本案例中的個人資金的存取權分享給第三方。
歐洲銀行管理局澄清了身分驗證要求
2019年6月,歐洲銀行管理局(European Banking Authority, EBA)就哪些身分驗證因素能符合支付服務指令的SCA要求發表了意見,其中包括採用人們所知、所擁有及與生俱來等因素相結合的多因素身分驗證。
例如,可接受的與生俱來的因素包括指紋、視網膜和虹膜掃描,語音和靜脈識別,手和臉的幾何形狀,擊鍵動力學(Keystroke Dynamics),心率和身體運動模式,抑或持握裝置的角度。使用像是EMV標準的3DS等通訊協定,抑或記得的刷卡模式來發送的資訊,並不屬於與生俱來因素。
可接受的擁有因素可以是使用一次性密碼(OTP)、QR碼掃描、裝置綁定或基於硬體與軟體令牌的數位簽章所驗證的裝置、卡片、App或瀏覽器。裝置上的應用程式或信用卡上印有的詳細資訊和其他元素並不足以證明擁有。
所知因素可以是密碼、PIN碼、密碼或記住的刷卡途徑,這些應用在交易開始之前就已經存在並為使用者所知,但不包括電子郵件地址或使用者名稱、信用卡上印刷的詳細資訊、在裝置上接收或生成,抑或來自列印清單上的OTP令牌。
「歐洲銀行管理局也釐清3DS並不符合與生俱來因素,也不符合SCA要求,」反詐騙公司Iovation在一篇部落格文章中指出:「對於那些可能已經採用3DS的人來說,勿需絕望。歐洲銀行管理局確實鼓勵使用該通訊協定:以協助確保顧客便利性,以協助透過資料共享來降低詐騙風險,並且協助滿足交易風險分析要求,並獲得SCA的豁免。」
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
支付服務供應商可以獲得更多時間
儘管符合SCA要求的截止日期是2019年9月14日,但歐洲銀行管理局表示,負責執行新法規的國家當局可能「決定與支付服務供應商(PSP)以及包括商家在內的相關利益關係者進行合作,以提供有限的額外時間,讓發卡機構能遷移至符合SCA標準的身分驗證機制上」。
但是,只有在「例外」的情況下才留有這樣的餘地,並且僅適用於已經制定了遷移計畫,同時與國家當局達成協議並能夠迅速執行該計劃的支付服務供應商。
8月,英國金融行為監管局(Financial Conduct Authority, FCA)宣布同意在18個月計畫的基礎上分階段實施SCA。該機構表示,不會對「可以證明他們已採取必要步驟以遵守該計畫」的組織採取監管行動。
EBA承認,由於整個歐盟支付市場的複雜性,許多未直接受到PSD2約束的電子商家可能會受到9月14日SCA截止日期的嚴重影響,因為他們所依賴的支付鏈中的其他參與者並沒有準備好。
(本文授權非營利轉載,請註明出處:CIO Taiwan)