全球最安全的支付系統是什么？

5月，在新加坡舉行的2018 VISA亞太區支付安全峰會 (2018 Visa Asia Pacific Security Summit)上，超過60歲的Visa與其合作方們，針對全球支付領域最先進的物聯網支付技術等新科技和傳統支付手段的安全性進行探討。

Visa亞太區總裁柯如龍(Chris Clark)介紹，Visa在1958年發行了首張BankAmericard，至1997年首次達到1萬億美元的年交易總額。2008年，重組后的Visa Inc整合了美洲、亞洲、中東歐與非洲地區的市場，于美國上市，是同年全球最大的IPO。

Visa亞太區總裁柯如龍

有別于銀行與發卡機構，Visa公司扮演的角色是提供交易處理和運營系統的網絡處理服務商。目前在國內，扮演卡組織角色的是銀聯，而在國際上，全球最大的兩個卡組織分別是美國的Visa與Mastercard。

柯如龍強調，從品牌成立至今，經過Visa網絡的交易從未發生過網絡被攻擊事故。在用戶數量逐年增大的情況下，Visa卡的欺詐率逐年下降，其中的原因在于Visa采取了“多管齊下”的網絡安全策略，是Visa常說的“四大安全支柱”理念，即數據保護、數據脫敏、數據挖掘與分析和消費者教育。另外，也歸功于Visa對客戶信息保護近乎苛刻的規定和要求。

在Visa全球支付處理網絡上，VisaNet每秒鐘處理65000筆交易。每筆交易由消費者的刷卡動作開始，VisaNet對其賬戶信息進行加密，再將編碼后的信息傳輸給發卡銀行，信息解密后，發卡行核實持卡人信息，并授權消費金額給收單行，收單行再傳回商戶，整個過程在1秒內完成。除了消費者的銀行卡號與消費金額，Visa并不獲取持卡人更多信息。

中國電子支付發展迅猛，國內的消費者似乎已經習慣了手機支付帶來的便捷與效率。然而，便捷的模式之下，對于信息安全的擔憂是消費者在數字支付領域最關心的問題之一。

與國際卡組織的支付模式相比，國內多數電子支付的模式是繞開卡組織進行的“三方支付”，即第三方機構繞開卡組織，與商戶和用戶直連，相較國際通行的“四方模式”少了卡組織的信息加密傳遞。

Visa所代表的“四方模式”是在三方支付的基礎上，增加卡組織作為銀行、用戶和商家之間的“連接器”與網絡處理商的角色。很大程度上，卡組織所做的工作無法靠金融機構和商戶一己之力去完成，尤其是在確保支付系統在全球范圍的安全性上，Visa作為卡組織發揮了關鍵性作用。

支付行業對安全性有著極高要求，科技的進步和時代的變遷也敦促支付行業需要不斷進行創新和變革。

Visa的解決方案是，推動電子令牌技術的發展。Visa全球副董事長兼首席風險官艾睿琪女士強調，Visa一向提倡“負責任的創新”理念，它意味著支付創新不僅要在便捷性和安全性之間找到平衡，還要充分利用新技術來提升支付的安全性。

目前在移動支付中，電子令牌（Token）技術被廣泛應用。支付過程中的每一筆交易，參與的發卡行、收單行和商戶所收到的都是經過重新編碼和加密的令牌，商家在收款時將不會獲得Visa持卡人或賬號持有者的真實卡號（或賬號）信息。

當使用了電子令牌技術后，持卡人的16位卡號將被轉化為電子令牌的虛擬賬號，萬一虛擬賬號被盜，金融機構只需重新分配給客戶一個電子令牌，而無需發出新的卡片。

Visa大中華區首席風險官楊景香女士對界面新聞記者透露，全球支付行業安全的最高標準由PCI (Payment Card Industry) 安全委員會制定，它是一個非盈利支付行業數據安全標準組織，成立于2006年，Visa與Mastercard、JCB都是該組織的重要發起成員。

據了解，中國國內目前只有兩家公司加入了PCI標準委員會：一個是德國艾特賽克(atsec)在中國注冊的子公司，另一個是中國銀聯旗下的子公司BCTC。PCI所倡導的數據安全標準是動態的，會跟著安全事件的發生而變化，一年內也可能不斷地發布新的支付安全標準，有專人專職在進行動態管理。

Visa推廣并實施的PCI DSS（Payment Card Industry Data Security Standard）標準，是全球支付行業的安全標桿，其中最重要的原則就是對于消費者的信息，“能不儲存，就不儲存”。例如，每張Visa卡片背面的CVV2是一個用于網上交易時的身份識別數據。當持卡人進行網上消費時，會被要求提供這個CVV2三位數，以證明這張卡片在持卡人手里，從而確認消費者身份。但是許多商家與網站往往為了方便消費者支付，會儲存卡背后的CVV2三位數字，這在PCI標準中是不允許的。

楊景香表示，Visa對于所有與卡組織有合作的商戶、發卡方，無論規模大小，均要共同執行PCI標準，這是為保護消費者信息設置的硬規定。

在今年的Visa亞太區支付安全峰會現場，界面新聞記者注意到， Visa為方便技術合作伙伴的創新預留了一席之地。通過搭載Visa的核心加密技術，許多品牌的手表、胸針都能成功實現在POS機器上免密支付。

搭載了特殊芯片的可穿戴設備，能夠在接入Visa的非接觸式支付終端設備上實現觸碰“秒付”。工作人員告訴界面新聞記者，這樣的物品支付限額一般在500美金以內，但根據各個國家的要求也會上下浮動。

基于芯片的移動支付技術之所以比基于塑料磁條的傳統支付技術更為安全，是因為以芯片作為內核，黑客無法像復制磁條制造偽卡一樣偽造芯片。即使不使用密碼，也能夠通過聲紋、指紋等輔助的生物識別技術安全支付。

此前在平昌冬奧會上，Visa為合作伙伴帶來了免密支付的手套、紀念帖紙、紀念章等產品，其中搭載的核心技術也是Visa的NFC和“tokenization”，即令牌化技術。

平昌冬奧會上Visa的支付勛章

楊景香透露，蘋果手機Apple Pay的支付功能，其背后使用的正是Visa的Token技術。

而對于支付領域備受關注的生物識別技術，楊景香并未表現出過多的熱情。她認為，生物識別或傳統密碼支付，都只是Visa支付安全解決方案中的一種應用。傳統的PIN和密碼支付或許在未來有可能被生物識別技術代替，但更大的可能性是新興技術與現有身份識別方式的和諧共存。對Visa來說，不存在技術迭代帶來的危機，無論是新技術還是傳統支付手段，安全是唯一的考量標準。

目前，Visa在中國發行的卡片數量超過1億兩千萬張，足以滿足國內出境旅游的持卡人的使用需求。

柯如龍表示，由于中國電子支付市場尚未對國際卡組織開放， Visa至今沒有獲得在國內的清算處理牌照，但Visa期待能夠加強與中國政府監管部門和金融機構的溝通與合作，早日參與到中國電子支付的大變革和大發展中，為中國的合作伙伴和消費者創造價值。