近年來由於雙卡風暴的影響,讓發卡銀行體驗到利潤背後的風險;台灣金融機構對於持卡人的授信考量,將步上金融發展成熟國家的後塵,授信額度將趨於嚴謹,信用交易將更為謹慎。為維持消費者方便的支付方式,同時平衡金融支付工具的發展,台灣需要建立更完善的支付機制,因應後卡債時代的市場需求,使消費者能使用最合適的支付工具進行消費。
目前「消費扣款」的消費模式,可讓消費者利用晶片金融卡刷卡消費。「消費扣款」模式讓持卡人不需要負擔刷卡手續費,消費金額將直接由帳戶中扣除,同時針對扣款錯誤與退貨的問題,提供相關的反向處理交易。這將可提供商家更彈性的計費模式,讓網路商家選擇交易以固定手續計算或以交易百分比計算。本文將分析台灣支付市場的需求,並介紹各主要支付工具的安控與金流服務。
台灣EC交易支付工具概況
現階段網站交易主要的線上支付方式是以信用卡、銀行匯款轉帳、便利商店繳費、郵政劃撥、貨到付款、傳真信用卡訂單以及其他(E-coin/行動支付)等為主。根據2005年資策會創新研究所進行的調查顯示,網站交易還是以信用卡、銀行匯款以及便利商店繳費為主,如(表一)所示:
(表一) <資料來源:2005電子商務法制及基礎環境建構計畫/資策會創新所整理>
? |
消費者
使用比例 |
商家
提供比例 |
商家成本 |
消費者
成本 |
支付
模式 |
信用卡 |
31.8% |
23.8% |
2.65%~3%
1~3萬年租費 |
0元 |
線上 |
銀行匯款轉帳 |
24.3% |
28.60% |
實體帳戶0元
虛擬帳戶12元 |
17元 |
線上/實體 |
便利商店繳費 |
22.6% |
4% |
25元 |
0元 |
實體 |
郵政劃撥 |
7.9% |
11.20% |
10~15元 |
0元 |
實體 |
貨到付款 |
7.4% |
14.70% |
0.8%~1.5%
(依商家消費者協議付費) |
實體 |
傳真信用卡訂單 |
5.% |
7.90% |
同信用卡 |
0元 |
實體 |
其他(E-coin/行動支付) |
0.6% |
6.20% |
依方式
3%~20% |
0元 |
線上 |
智慧卡 |
0.2% |
0.30% |
同信用卡 |
0元 |
線上 |
支票/現金袋 |
0.1% |
3.30% |
0元 |
0元 |
實體 |
安全性有待加強
線上交易的安全問題一直以來都是阻礙電子商務發展的主因之一,根據資策會去年針對消費者「不放心從事網購」的調查,消費者主要仍對虛擬商品通路有很大的心理障礙,其次則以交易安全與個人資料安全考量,也佔有相當大的比重,如(表二)所示。
(表二) <資料來源:資策會,2006年10月>
不放心從事網購原因 |
% |
2005 |
2006 |
無法親自檢視商品 |
72 |
77 |
售後服務不確定 |
34 |
43 |
交易不夠安全 |
39 |
29 |
個人資料隱私權 |
36 |
27 |
網路商店信用度不明 |
25 |
26 |
取/送貨速度太慢 |
10 |
15 |
商品資訊不足 |
11 |
13 |
價格不夠吸引人 |
10 |
12 |
商品品牌不熟悉 |
9 |
12 |
以商家角度分析
整體市場規模以投資理財44.7%的比例最高,其次為17.5%的旅遊服務,再次為佔11.3%的美容商品。這些屬於單價較高的商品,若使用信用卡交易商家相對要負擔較高的手續費。相對於「消費扣款」,收單銀行在「消費扣款」上可提供商家更彈性的計費方式,商家可依據不同的商品鼓勵消費者用不同的支付工具。
以消費者角度分析
消費者對於價格與方便性相當注重,特賣促銷與加值服務對消費者而言也具有吸引力。但由於商家把信用卡作為支付工具的手續費與風險轉嫁到消費者身上,因此也降低消費者以此線上交易的意願。
(表三) <資料來源:資策會,2006年11月>
從事網購原因 |
% |
2005 |
2006 |
售價較便宜 |
46 |
55 |
方便搜尋商品資訊 |
45 |
48 |
送貨到府 |
39 |
42 |
有特賣活動或贈品 |
30 |
35 |
商品資訊豐富且更新快速 |
27 |
30 |
沒時間逛街購物 |
20 |
19 |
購買較私密的商品 |
14 |
9 |
分析與歸納
對消費者與網路商家來說,價格與成本都是重要因素,信用卡盜刷問題也加重商家的營運成本,消費者對網上交易安全仍有心理阻礙。不過晶片金融卡的「消費扣款」模式,可提供彈性的計費模式,能為商家節省成本,並能保障安全,防止盜刷。下面將深入討論信用卡與晶片金融卡的安全機制。
線上交易機制安全
線上交易安全可分為技術與心理兩層面,前者確保交易資料的隱密性與正確性,後者則是增加消費者到網路商店交易的信賴度。若以技術方式分類,可把常用線上即時支付工具區分為磁條卡(磁條信用卡)以及晶片卡(晶片信用卡、晶片金融卡)等。
磁條卡交易安全機制
目前磁條信用卡提供卡號、有效日期與信用卡背面的CVV Code作為交易的認證,但這些資訊都是以明碼寫在信用卡上面,安全性堪慮。因此VISA國際信用卡組織推出VISA 3-D的驗證服務,MasterCard與JCB也相繼支援這樣的線上驗證方式。
VISA 3D
信用卡雖在線上購物領域發展多年,卻無法如實體商店交易般蓬勃發展,在於網路交易之安全性一直被受爭議,成為阻礙電子商務發展的最重要因素。雖然國際組織自1996年起推動SET驗證機制,但SET驗證機制投資規模大且程序複雜,因此市場接受度有限。
為解決問題,VISA國際組織規劃對網路特約商店、發卡銀行及持卡人建立全球通用的VISA 驗證服務。這項全球通用的系統包含了編碼技術、邏輯通行管制、實體資料保護及網路安全。
3-D Secure交易就是VISA國際組織所推動的安全交易新模式;MasterCard與JCB國際組織也隨後採用。3-D Secure相容性高,能相互整合其他網路支付解決方案,所謂「Visa/MasterCard/JCB驗證支付」便以3-D Secure安全模式為基礎。操作平台能夠透過網路連線,即時確保參與網路交易的 VISA或是MasterCard 持卡人與網路特約商店獲得銀行授權,保護持卡人進行網路交易時所輸入的資訊。
晶片卡交易安全機制
晶片卡說明
IC卡(Integrated Circuits Card)或智慧卡(Smart Card)最早是1974年由法國人Roland Moreno確立架構,卡片內含微型矽晶片,具有運算及資訊處理能力,密碼裝置使其較一般磁條卡有較高的安全性,因而應用廣泛。晶片卡特性可分為記憶卡(Memory Card)和智慧卡(Smart Card 或CPU Card)兩者。記憶卡沒有微處理器,僅具有儲存資料以及固定簡易的邏輯運算功能,無法進行複雜的數學運算。因此記憶卡安全性較低,通常被應用於如電話卡、門禁卡與大眾捷運卡等。智慧卡具有微處理器,可進行如加解密等較為複雜的數學運算。智慧卡功能性較為多樣化,能同時進行較複雜的安全機制。
至於在讀寫介面部分可分為以下幾類:
- ●接觸式IC卡(Contact Card):IC卡必須與讀寫器接觸,由讀寫器讀取資料後由程式判斷資料來源、使用者權限、寫入相關資料、記載IC卡進出系統、使用系統資源之記錄。
- ●非接觸式IC卡(Contact less Card):IC卡只要與IC卡讀寫器接近,經感應線圈以無線射頻(RF)與讀寫器感應即可讀寫,其它功能與接觸式相同。
- ●雙介面式IC卡(Combi、Hybrid):將接觸式與非接觸式兩顆晶片植入同一張卡片上,兩顆晶片各別獨立運作(Hybrid)或於單一晶片上,同時提供接觸與非接觸二種不同介面(Combi)。
晶片信用卡
目前台灣的「晶片信用卡」智慧卡,使用介面包括接觸式與雙介面式IC 卡,都是EMV規格。
EMV為Europay、MasterCard及VISA三大國際組織就付款系統(Payment System)所制定的晶片卡相關規格,在1999年2月共同成立之EMVCo組織,主要任務即是維護EMV付款晶片卡標準,確保標準在全球的互通性。
EMV晶片卡提供許多安全機制,主要定義於EMV規格書BOOK 2中,EMV晶片卡的交易流程,大部分以EMV 2000 Version 4.0 BOOK 2為基礎,再搭配EMV 2000 Version 4.0 BOOK 3及VISA或MasterCard的實際應用。
在安全流程中,讀卡機根據持卡者插入的晶片卡,設定選擇適當的應用程式開始交易,讀取所需資料如卡號,發卡銀行憑證或卡片憑證等。讀卡機會對卡片進行初步的離線認證,目前認證方式可區分為SDA(Static Data Authentication)及DDA(Dynamic Data Authentication)兩種。SDA只能確認自卡片讀出之部分重要資料內容如卡號效期等,驗證是否由合法發卡銀行設定且未經竄改,但無法保證卡片是否為偽造。另外在卡片無法被複製的前提下,DDA可確保卡片確實來自合法發卡行。
若要確認持卡者的合法性,透過CVM(Cardholder Verification Method)的設定,可證明使用者是否為當初發卡行發卡時所認定的合法持卡者,讓發卡行在使用者認證上有更大的彈性。
再來讀卡機便會產生線上授權所需的授權請求認證資料(Authorization Request Cryptogram;ARQC)。ARQC是以每張卡片唯一的基碼對相關交易資料做出運算所求得,可保證交易資料的來源辨識性與正確性。讀卡機將根據上述步驟的結果與收單行及發卡行核對,決定是否需要線上授權,或直接離線拒絕或同意該交易。
發卡行認可產生授權回覆認證資料(Authorization Response Cryptogram;ARPC)。ARPC同樣是以每張卡片唯一的基碼對ARQC和授權結果做出運算所求得,可確證授權結果。含ARPC的授權回覆訊息透過發卡行及相關網路,傳送至收單行。完成交易後的交易憑證(Transaction Certificate;TC),可做為後續請款的依據,流程如(圖二)所示。
晶片金融卡
晶片金融卡計畫目前共82家金融機構參與,市場約有3766萬張晶片金融卡的發行量,目前台灣的晶片金融卡使用的介面是銀行公會的6.20規格接觸式IC卡。
金融卡與信用卡最大不同之在於是Debit之交易,目前能確保防止木馬程式侵入網路銀行盜領的好方法,是結合晶片金融卡及晶片卡讀取機,連結個人電腦後,便能確保Debit交易的安全。
晶片金融卡交易流程是由持卡人插入晶片金融卡並輸入密碼就可以進行交易,每輸入一次密碼可控制只能做一筆交易。讀取設備將交易資料傳入晶片金融卡並取得交易驗證碼(Mac)或數位簽章(digital signature),並將交易資料送至代理機構,由代理機構將交易資料直接透過跨行網路轉送財金公司。財金公司則透過跨行網路,將資料直接轉送發卡機構驗證卡片交易資料授權碼是否無誤,再將訊息透過跨行網路傳回財金公司。
發卡機構傳回同意付款訊息,由財金公司透過跨行網路進行即時代收、付款清算作業,並將訊息傳回代理機構。設備最後將確認訊息回傳代理、財金、發卡機構,即完成交易。
分析與歸納
無論是以VISA 3D交易或晶片卡的交易,都是為了增加安全性而加入雙因子的概念。VISA 3D除本身卡片的資料外還加入另一組密碼,晶片卡使用晶片技術,運用密碼運算以及晶片防拷貝的特性,保護卡片內的資料隱密性。未來VISA 3D的支付模式也會與晶片卡相互整合,提供更安全的線上支付模式。
未來的整合式金流服務平台
為因應WEB 2.0的創新網路環境,迎接新電子商務世代的來臨,未來的整合式金流服務平台需具備以下的條件:
智慧型整合服務
金流服務的目標對象為網路商家,如何提供商家智慧型的服務與協助,替商家選擇最有利的支付方式,降低手續費成本,是鼓勵商家未來選擇金流服務的最重要因素。當消費者鍵入交易金額時,智慧型系統便能替商家整理最節省手續費的支付方式,有效引導消費者選取付款。
便捷支付服務
方便是消費者選擇在網路上消費的主要原因之一,但在匯款與銀行轉帳部分,目前市場只提供虛擬帳號的方式,持卡人需記下虛擬帳號後再到網路ATM或實體ATM轉帳,中間的交易過程未能即時自動化,加上每天三萬元的限制,讓消費者未能享受即時方便的服務,因此妨礙了Debit支付工具的發展。
晶片金融卡可作為後卡債時代的一種新支付工具。持卡人不論在何種通路使用,只要輸入晶片金融卡密碼及確認交易訊息後,即可完成消費扣款交易,而無需支付手續費。晶片金融卡可在多元化通路使用,對電子商店而言,沒有盜刷風險與手續費分成固定與變動費率的問題;另外對於銷售高單價商品的客戶,可有效降低風險與營運成本。
安全的支付服務
線上支付需要有足夠的安全機制以應付資安問題,但大多數的網路商家都欠缺足夠的資安技術。因為網路商家最在意的是利潤與永續經營,對資安技術人力的投資較低,間接導致大部分消費者對網路交易產生安全顧慮。
對於消費者而言,安心才是最重要的考量。消費者會以一般印象判斷網路商店交易是否安全,政府所推動SOSA優良電子商店認證即為參考指標之一。但認證容易被假冒,且對商家金流資安並未有效地監督,消費者還是有所顧慮。不過消費者可以參考資安業者所提供的安全網站認證標章,擁有此標章的網路商家,代表在網路上傳輸資料皆經過SSL加密,並已通過特定程序審核。