友情链接:
上月末,在即将迎来开业一周年之际,万事达卡和万事网联在北京举办了“万事达卡数字中国研讨会暨万事网联展业周年及支付标记化服务发布会”,向行业及公众介绍万事达卡全球支付标记化(Tokenization)技术发展情况,并正式在中国境内推出由万事网联提供的支付标记化服务。
或许很多读者看到万事达卡和万事网联的会议主题产生疑问:什么是支付标记化?这是万事网联推出的万事达卡新产品,还是新权益呢?如果都不是,而只是一项后台技术或者服务,那么万事网联为何要如此大张旗鼓地推出这样一项服务呢?
的确,对于大众银行卡用户而言,卡组织推出“支付标记化(Tokenization)”这样一项名称拗口的服务,确实不如发布一款高品级产品,或者一些丰厚的权益更具有诱惑力。
然而,这项服务的意义却非常重大。一方面,大家心心念念的Apple Pay和各种非接支付,以及未来各种形式的智能化支付场景,都是基于支付标记化技术;另一方面,如果没有这项服务的加持,在数字化支付时代,任何一张银行卡都将面对技术升级、形式多样,又防不胜防的网络犯罪环境,而处于信息泄露与消费欺诈的风险之中。
苹果的Apple Pay、安卓的HCE作为手机两大系统下的移动支付方式,无论是Apple Pay以硬件芯片加密方式,或是HCE以软件主机仿真方式,其支付的安全性都离不开卡组织作为TSP(Token服务提供商)主导的“支付标记化”服务的安全性保障。
2014年万事达卡实现了对Apple Pay的“支付标记化”技术支持,2015年推动了HCE在全球的应用。随着万事网联推出“支付标记化”服务,不仅为中国万事达卡用户强化支付安全和便捷性,同时也为中国万事达卡在与Apple Pay等伙伴的合作埋下了“伏笔”。
支付标记化对银行卡业务的支持,体现在对支付流程的安全性、效率和灵活性方面。在使用银行卡绑定各类消费场景平台时,对发卡行而言,支付标记(Token)有效降低盗刷风险、提升用户对专属手机银行App的粘性;对用户而言,其在享受便捷支付的同时,获得了更强的安全保障。
不仅解决了传统银行卡业务面临的数据安全与合规难题,还通过虚拟卡发行、跨境适配、全场景支付,拓展了银行卡的使用边界。支付标记化技术重塑银行卡业务的底层逻辑,推动行业向更安全、智能、开放的方向发展,成为银行卡业务数字化转型的核心技术支柱。
数字化支付所面临的巨大风险
传统信用卡从诞生之初,风险就一直相伴左右。之后虽然支付技术的进步,到了磁条卡以及联网电子支付出现后,支付科技属性越来越强,但是支付过程中遭遇的风险也同样得到提升。
无论是通过侧录等手段,窃取信用卡相关信息进行复制后,对信用卡进行盗刷,即便是升级到芯片卡,虽然从卡片物理性质上对窃取卡片信息有所防范,但是对于网络支付,仍然可以通过技术手段窃取信息,同样会为用户造成经济损失。
如今,进入了数字化支付时代,社会大众对于数字化支付的直接感受,最为常见的就是以手机为代表的移动支付在社会中得到普及。用户将银行卡与手机中包括Apple/Huawei Pay、微信/支付宝、京东/淘宝等支付和电商平台进行绑卡关联后,使用手机在线下商户以扫码、NFC(非接触)的方式,或者电商平台的线上支付来实现消费。
以数字化支付为基础的移动支付迅速崛起并蓬勃发展,不仅改变了消费者的支付习惯,更为重要的是颠覆了实体银行卡传统支付方式,大大提升了交易效率,推动了商业生态的重构。数字化支付的出现,由于其便捷性而迅速被社会所接受,它对金融及支付体系产生了巨大而深远影响。
然而,数字化支付由于涉及银行卡在第三方支付或电商平台上的绑卡,这样就必然面临着银行卡和个人信息泄露的风险。在众多网络诈骗犯罪行为中,其基本原理就是钓鱼或设置木马等多种技术手段盗取银行卡和个人信息,从而导致资金损失。
有研究显示,由于用户使用实体卡,卡片信息始终暴露,犯罪分子很容易就可以盗取实卡或是信息,用户、商家和发卡机构带来巨大经济损失。即便是电商盛行的时代,网络购物的欺诈率甚至比实体店高出数倍。此外,有近三分之二的购物者使用手动输入他们的信用卡详细信息,而25%的购物车因结账太复杂或速度太慢而被放弃。
面对日益复杂的针对数字化支付的犯罪行为,数字化支付的安全性面临着严峻挑战。尽管数字化支付损失在总金额中占比还是比较低的,但是对于用户而言却是百分之百的损失,因此数字化支付安全性需要建立起完善可靠的保障机制,以有利于数字化支付构建起安全有序的发展空间。
“支付标记化”的出现与意义
在数字化支付的大环境下,如何应对新型犯罪技术升级、防范移动支付过程中的信息泄露,以及在各类支付中有可能潜藏着的来自支付链条,或是受理商家,或是网络世界中,任何一个环节所蕴藏的欺诈风险,不仅关乎个人经济利益,更是维护金融稳定、推动支付技术革命,以及构建数字经济长期繁荣发展的基础。
中国文化有一句古训:魔高一尺道高一丈。正是对于支付安全面临着更高要求,一项面向支付领域具备全新理念的技术因此诞生。
2013年,万事达卡制定Tokenization标准,之前该名称被译为“令牌化”,现在使用了“支付标记化”的叫法。与此同时,Tokenization标准被全球支付标准管理机构EMVCo采纳为行业标准。次年,万事达卡推出支付标记化服务,即万事达卡数字支持服务(MDES),该标准在Apple Pay上得到应用。
支付标记化服务对于银行卡用户而言,很难从字面上来理解其与支付安全之间的关系。简而言之,就是为真实的银行卡号使用“分身术”变成了一个与原卡号毫无关系的“假”卡号,即披上一件带有防护作用的“铠甲”。
当银行卡用户需要在各类支付平台绑卡时,银行通过接受万事达卡支付标记化服务,就以支付标记(Token)号替代真实银行卡号,如果一张卡需要在不同的支付平台绑卡,还可以生成多个支付标记(Token)“分身”独立使用。
正是由于支付标记化技术的诞生,旨在通过替代银行卡敏感信息提升交易安全性,从根本上解决银行卡与个人信息在支付过程中从商户和收单机构可能被泄露的风险问题。
既可以满足用户正当的数字化支付行为,而且由于支付标记(Token)作为对银行卡的防护手段,不支持根据支付标记(Token)逆向查询银行卡及个人的真实信息,对这些信息进行有效保护。因此,自支付标记化诞生之初就受到产业各方的关注,之后在支付领域中得到广泛应用。
支付标记化的作用
支付标记化服务的实质是一种支付安全服务保障,并非具体产品方案。此次万事网联向中国境内市场推出支付标记化服务,旨在将万事达卡的尖端解决方案带给中国的万事达卡用户,以满足日益旺盛的数字经济发展需要,让交易更安全便捷。
支付标记化服务从表面看是通过一组唯一且虚拟的、与相应目标账户位数完全相同的支付标记(Token),来替代真实银行卡信息,在支付过程中有效保护敏感数据。但是从深度来看,支付标记化的作用却是更为多元化和极为强大的。
其安全价值主要体现在几个方面:
1、防止数据泄露,预防盗取风险
用户在支付或电商平台绑卡时,通过支付标记化服务将以支付标记(Token)替代用户真实银行卡号、有效期、个人信息等核心要素。
如果交易数据在传输或存储中被截获,或者商户交易数据被攻击后泄露,所暴露出来的仅为卡号的支付标记(Token),而非真实银行卡数据。支付标记(Token)由于采用算法生成后并不可逆,因此盗取者无法推导出真实银行卡信息,极大防止和降低信息泄露的风险和由此产生的危害性。
支付标记(Token)可以在电商平台(如亚马逊、京东)、移动支付(如Apple Pay、微信/支付宝)的绑卡支付中广泛应用,用户感受到的仍然是本人银行卡账户的交易信息,但是在平台上看到的则只是通过支付标记化服务生成的支付标记(Token)。
2、限定交易场景,避免标记滥用
支付标记(Token)可以限制绑定支付场景,包括电商平台、支付设备,以及交易类型。即,同一张银行卡在电商平台、支付手机,以及采取Pay类或二维码支付方式等不同场景下,所生成的支付标记(Token)均为不同,并且相互之间还不能串连使用。
不仅绑定支付场景如此自由选择,支付标记(Token)还可以设置为灵活的有效期,如果用户更换手机并在新设备上绑卡后,其旧设备上生成的Token则自动失效。
因此,通过支付标记化服务可以自行限制支付标记(Token)在相应平台、设备和方式上进行支付时,脱离原绑定场景即行作废,而如果实卡在这些场景中一卡绑定,一旦卡片信息遭遇攻击而泄露,对于用户而言则难以有效防御,对经济损失更是难以控制。
3、简化合规要求,降低满足条件
采用支付标记化后,由于所有参与方企业均无需考虑真实银行卡号和相关数据的安全性进行加密处理,只需要对支付标记化系统进行维护。一方面简化了对于“支付卡行业数据安全标准”(PCI DSS标准)合规要求,同时也降低了满足这一要求的条件。
4、增强用户信任,提升支付体验
近些年,随着移动支付被社会所广泛接受,其便利性对用户的消费行为和支付习惯带来巨大改变。而移动支付所蕴含的风险则难以防范,即便出现了盗取银行卡信息时只能被动承受而无能为力。
支付标记化服务技术的应用,让用户在何种平台、使用何种设备和支付方式,绑卡支付流程中的安全性被极大提升。用户再也无需担心哪家电商网站、哪台绑卡手机,或者哪种支付方式,哪个时间节点,银行卡信息被盗取后造成自己的经济损失。
只有用户在支付时深刻地感知到便捷与安全两者能够兼顾的情景下,就会增强对数字化支付的信心。
2024年,作为支付标记化的开发者万事达卡,宣布到 2030 年将支付标记化与生物识别身份验证相结合,实现安全、无缝的结账,从而消除手动输入卡和一次性或静态密码的需求。万事达卡力求确保其网络上的每笔在线交易都可以被标记化和验证,从而使在线结账更顺畅、更安全。
支付标记化应用不限于支付
支付标记化服务所带来的安全性,不仅只是带给银行卡用户无风险的支付体验,在数字经济时代,它还是一种多功能工具,可以广泛应用于各个行业和领域。
从银行卡的角度:
发卡银行同样是这项服务的受益者。支付标记(Token)的应用,让支付流程得以简化的同时,对于发卡银行在对银行卡的发卡获客,通过发行虚拟卡产品,让用户在某一场景下实现即时申请即时发卡;由于数字化支付,交易风险的降低,对于支付授权更加快速,让用户的支付体验顺畅。
从商家的角度:
由于受理支付标记(Token)的支付,可以有效降低和避免了盗卡和伪卡的交易风险,以及所带来的经济损失。万事达卡的支付标记化服务让支付从授权到结算为商家提升了支付效率,还可以提高商品或服务的销售额。
从政府的角度
支付标记化服务不仅用于支付和金融领域,同样可以用于政府事务的安全数据管理,像央行数字货币的发行与使用,以及国民的数字身份、健康数据的管理等诸多领域。现行的二代身份证显露出详细个人信息的做法,甚至都可以通过标记(Token)方式予以隐藏和保护。
从数字钱包的角度
如今全球的数字钱包随着数字经济的兴起得到了迅猛的发展。但是钱包同样面临着支付难题和安全风险问题,万事达卡支付标记(Token)与数字钱包的合作,用户甚至可以使用钱包即可在万事达卡的支付网络中进行消费支付,其它在投资交易,或是跨境汇款等场景下,为数字钱包用户的资产、身份等信息数据提供了安全保证。
支付标记化改变数字交互核心
万事达卡推出支付标记化服务的十多年来,目前每周处理超过10亿笔支付标记(Token)交易,全球万事达卡交易中的30%使用了支付标记(Token),已经超过万事达卡的实体卡规模。
在支付标记化服务中,有两个重要角色:TSP(Token提供方)和TR(Token申请方)。由于支付多以银行卡账户为主,因此TSP就是卡组织,负责支付标记(Token)的发行、验证和管理。支付标记(Token)只是替换了银行卡号,而不是打破银行卡的生态系统,因此,支付标记化服务并不是改变卡组织遵循的“四方模式”原则。
与其说支付标记化服务是一种支付技术,不如说更是一场支付方式的革命,它将真实信息生成支付标记(Token),并且根据不同场景、不同设备、不同支付方式,生成不同的支付标记(Token),既能做到“千人千面”的分身,各个支付标记(Token)之间相互区隔又互不影响,最大限度守护了个人支付与相关信息的安全性。
自1950年现代意义信用卡诞生之后,非现金支付方式对现金支付的冲击已经延续至今。在过去的75年中,支付的本源从未改变,但是支付的介质却一直随着技术的进步而发展,从纸质卡到塑料卡、从磁条卡到芯片卡、从实体卡到数字卡、从当面付到随时付,支付科技的每一次进步都改变人类的支付体验和生活品质。
支付标记化对于银行卡号等外在形式没有变化;内在属性也没有减少,同样具备卡品牌,遵循原卡校验位规则,区分卡品种并拥有有效期,因此商户以及收单机构不需改造系统就可以处理支付标记(Token)。
支付标记化已超越单纯的技术升级,成为数字信任基础设施的核心组件。它通过解耦支付行为与敏感数据,构建了一个“风险可控、体验流畅、边界延展”的数字交互新范式。随着物联网、元宇宙等场景爆发,标记化(Token)将作为底层安全协议,持续重塑人与数字世界的连接方式。
不仅限于银行卡在支付上的需要,支付标记化还可以将其它产业参与者(诸如支付机构、行业机构、企业等体系下的非银行卡账户)纳入到万事达卡转接清算网络,有效扩大转接范围,以数字化变革拓展支付信息的外延。作为支付安全的关键技术,支付标记化既平衡了便捷性与风险防控,又为移动支付、跨境交易等创新场景提供了底层支持,推动数字化经济的安全发展。
由此可见,支付标记化服务不仅是以万事达卡为代表的卡组织应对数字时代安全挑战的技术工具,更是其重构支付价值链、巩固生态主导权的战略抓手。通过掌控支付标记化技术标准、连接多边市场、提供增值服务,万事达卡也正在从“交易网络”升级为“数字信任基础设施”的核心构建者。
未来,随着支付形态的持续演化,万事达卡“支付标记化”服务有效减少产业链条中各个环节的欺诈行为,减轻商户、银行和支付服务提供机构在维护支付安全上的负担,增强人们对数字经济的信心,让用户体验安全、高效的无卡支付体验,也成为推动支付行业经历深刻变革的“动力引擎”,深度塑造全球支付产业的格局。
关注“老董聊卡”,这里有信用卡的知识,也有信用卡行业独立视角的深度评论与分析,还有信用卡的历史与文化!