關於Apple Pay,你需要知道的幾件事

關於Apple Pay,你需要知道的幾件事
Photo Credit: Reuters/達志影像
我們想讓你知道的是

Apple Pay是什麼?導入Apple Pay時,誰需要的改變與投資最多?數個有關Apple Pay的大哉問,一次讓你搞清楚。

唸給你聽
powered by Cyberon

文:許世杰

  • 本文原始撰寫日期為2016年5月12日

好久沒寫長文了。身為從1987年至今的資深果粉,身為長期關注台灣電子支付產業發展的獨立觀察者,雖然人在CES Asia參展中,還是要為行政院開放Apple Pay的來台,寫篇文章祝賀並紀念一下。當然,我建議讀者可以先重讀一下我在一年半前為PunNode寫的那篇。這篇文章在PunNode改版前,單篇有兩萬多個fb like,就個有點嚴肅的科技長文而言,也是個絕無僅有的記錄了。回歸主題,我改寫了一下也是一年半前演講時常用的一個投影片,解釋一下我對行動支付與Apple Pay的後續看法

Apple Pay是什麼

從演進的歷史來看,Apple Pay最早的確是由Apple所倡議的一種手機信用卡技術,但後來被EMVCo採納,成為國際信用卡組織的技術標準,用來作為下一世代的數位信用卡技術。採納成為標準的意思是:Apple失去了專利權,但也換到了獨家領先推出的特權與商機。

從今天的產業現況來看,Apple Pay只是EMVCo Tokenization Spec.此一技術規範的一種實作(implementation)版本而已。實作出來軟硬體雖然是Apple的財產與機密,但這個技術規範卻是公開的。而且,當發卡銀行加入Apple Pay,意思就是它已經把信用卡Token化了(編按:Token服務能把信用卡的真實卡號與代碼進行來回轉換),從此之後,這個發卡行也可以支援其他合乎相同技術規範的另一個實作,也就是所謂的xxxPay或OEMPay。

Apple Pay不是什麼

Apple Pay就是數位信用卡,並不是第三方支付的一種。因為交易的資金,從買方在發卡行的帳戶,直接到賣方在收單行的帳戶,並不會在Apple停留。所以這不是第三方支付。

Apple Pay不一定是NFC支付。Apple Pay只是可以利用NFC來傳遞Token而已。Apple Pay之所以會往前相容,支援現有Visa/Master的感應式信用卡讀卡機,可以說是一種雙贏的策略。這個策略一方面讓Apple Pay不用花時間開拓商家,一開門就有幾萬個商店支持。另一方面也讓還沒裝感應式信用卡的大型連鎖商店,看在Apple iPhone用戶的面子上,比較有改裝的動力。但在技術上,新一代的POS,也可以透過藍牙或其他方式來與和iPhone交換token。

Apple Pay不只是線下商店可以用,它更大的價值,反而是線上的商店,尤其是In App購物可以用。透過信用卡的Token化,加上指紋辨識。釜底抽薪解決卡號外洩的問題,進而徹底解決消費者不信賴小型網站或者不敢在新創App使用信用卡購物的問題。所以,Apple Pay真正有用的地方,不是線下感應,反而是線上刷卡,包括信用卡與借記卡。

導入Apple Pay時,誰需要的改變與投資最多?

對本來就支持Visa Wave與Master PayPass的實體商店而言,因為Apple Pay往前相容,所以不用做任何改變。這就是為何過去一年多來,雖然Apple Pay沒開放入台,但是美國人其實早就可以在台灣用Apple Pay的原因。

對行動App購物或者網路購物業者而言,如果要In App支援Apple Pay,要改用PassKit API或者PassKit WebService。這個改變基本上也不複雜,關鍵反而是要找個做網路收單的公司就是了。目前的問題是:如果台灣的行動電商,想讓台灣的消費者,在台灣用In App的方式使用Apple Pay支付,但是台灣卻沒有對應的網路收單公司,那怎麼辦?方法之一是去設個北美的公司,找北美的業者收單。但是,如此一來,就會變成「消費者與消費地點都在台灣,但卻視為境外交易」。這才是Apple Pay入台後真正需要注意的問題,跟有沒有境內的TSP(代碼化服務供應商)一點關係都沒有,但整個行政院與央行都搞錯重點。

要做最多事的是發卡行。因為發卡行必須在原有的信用卡系統上,加入一套稱為Token service的軟體模組。而想加入Apple Pay的發卡行到底要如何建置這個token service模組,就是前一陣子行政院在討論Apple Pay入台時的主要爭議點。

至於實體商店的收單行可以說完全沒改變。除非收單機構想和FirstData之類的公司一樣,打算提供token化之後的線上收單服務,那它就得和Apple進行合作。這個角色,目前在台灣是空白的,也是軟體公司或金流服務公司的真正商機所在。

(後記。根據Apple官網,在2017年4月,台灣地區已經有三家可以讓App或網站串接Apple Pay的Payment Platform服務公司,分別是TapPay、Green World、ezPay。)

Token Service到底是做什麼的,負責的TSP是境內境外真有那麼重要?

Token Sevice講簡單一點,就是用隨機索引的方式,在本來的卡號(PAN)與Token之間,建立一個一對一的隨機對照表。這種方式,比起什麼橢圓雙曲線演算法,根本沒什麼高深技術可言,但卻無法破解。有了Token Service之後,卡號(PAN)只在發卡行內部使用,至於在消費者手機,在商家端,在internet與收單行之間流動的,都是token。而負責把Token Service雲端化的業者就叫Token Service Provider。

Token Service的建置有兩種方式。一種是銀行自建軟體在自己的機房裡,一種是透過私有的高速網路連接到某個軟體服務者,就是所謂的TSP。說穿了,TSP就是一種SaaS(軟體即服務),而雲端運算喊了那麼多年,SaaS服務還有在分境內還是境外的嗎?

在整個Apple Pay的取授權過程,信用卡的個資都在發卡行自己行內的系統,即使TSP在境外機房,就資訊安全的角度,這些Token Service依然還是位於於發卡行自己的安全內網中,並沒有個資外洩到發卡行以外的問題。

誰不喜歡Apple Pay?

Apple本來就不是金融產業,富可敵國的Apple投資Apple Pay當然也不是為了區區千分之一點五的手續費。所以,Apple選擇與信用卡國際組織及EMVCo合作,讓這個合作夥伴在行動支付的戰場可以後發先至。至於說某些大型連鎖店不收Apple Pay,例如Starbucks與Walmart,其實更精確的說法是,他們根本就討厭信用卡組織與銀行,所以至今不收感應式的信用卡,當然也就不收Apple Pay了。

傳統的第三方支付公司也不喜歡。Apple Pay一定會促成各種xxx Pay的成熟,進而讓信用卡/借記卡產業全面Token化。等時候一到,包括銀聯在內的信用卡組織只要一聲令下,不再讓支付寶與微信之類的公司使用預存的卡號取授權,那麼現在這些大量依賴「綁卡/快捷支付」的公司,不管他目前規模再大,都全部可以關門了。而且禁止第三方支付公司繼續保管卡號與替消費者取授權的舉動,涉及金融安全與消費者隱私保護,各國的金融監理機構也不會反對。

白牌與小型手機廠也不喜歡。因為手機加入xxx Pay,需要高度的軟硬整合,還需要通過EMVCO的認證。這對於小型的手機廠非常不利。相反的,對於HTC這類有年銷千萬支手機實力的手機品牌而言,這些xxx Pay的興起,反而是有利於他們擺脫白牌小廠的糾纏。

誰應該感到興奮?

對行動商務與各種in App購物的業者而言,終於有個兼顧安全,方便與隱私的支付服務可用,準備可以發揮極大化的創意,大幹一場了。

對消費者而言,以往的實體信用卡掉了要報失,把卡號放在網路上刷卡怕卡號外洩。這兩點都即將成為過去。Apple Pay把token放在iPhone上,就算iPhone被人撿走偷走也沒辦法過指紋這關。而大大小小的網路商店與App,既然沒有卡號,當然也就沒有外洩的問題了。

本文經許世杰授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:楊之瑜