淺析信用卡在電子支付中的安全問題

沈　浩

[摘 要]隨著因特網的發展，電子商務迅速占領市場，電子支付方式越來越受到廣大消費者的青睞，但其資金流安全與否成為困擾消費者的一大問題，特別是使用信用卡進行電子支付，安全問題更讓人擔憂。本文介紹了信用卡電子支付中存在的安全問題，探討了目前的幾種安全認證方案。

[關鍵詞]信用卡 電子支付 風險 安全 支付認證方案

一、引言

隨著Internet的發展，各國信息高速公路的建設以及Internet主干線的通信帶寬大幅度提高，Internet在商業應用得到了大幅度的增加，他的出現給銀行提供了一個前所未有的機遇，國際銀行業的面貌由此發生了翻天覆地的革命性變化。越來越多的國際銀行開始關注和瞄準電子銀行業務，并試圖涉險進入和占領電子商務的新領域。隨著電子商務的發展，傳統的支付方式已經不能滿足人們對于高效、便捷、快速、安全支付方式的追求。

電子支付是指電子交易的當事人使用安全電子支付手段通過因特網進行貨幣支付或資金流轉。它是一種在金融電子支付體系的基礎之上發展起來的，主要依托于因特網的實時支付方式。

將支付信息通過網絡安全傳送到銀行或相應的處理機構，來實現貨幣支付或現金流轉的新型網上支付手段包括電子現金、信用卡、借記卡、智能卡等。信用卡是人們在商品交易或從事其他經濟活動中使用的一種信用支付憑證，即集儲蓄、消費信貸和非現金結算功能于一體的電子貨幣。它的產生和發展順應了人們的生活方式、消費水平發展的需要，是社會經濟發展到一定階段的產物，是金融業走向現代化、國際化的必然。在美國等發達國家，信用卡支付是他們進行日常消費的一種常用工具，由于其使用簡單方便而被全世界廣泛接受，占據很大的市場份額。如今在因特網上，信用卡支付同樣成為最普遍的方式。由于信用卡本身的特點以及網絡的開放性，自然而然的對信用卡進行電子支付的安全產生了沖擊，本文就信用卡電子支付的風險及安全認證方案進行簡單的分析。

二、電子支付風險

電子支付具有以下兩個鮮明特點：（1）電子支付是在開放的網絡環境下以先進信息技術來完成信息傳遞，以數字化的方式完成貨幣支付和資金流轉；（2）電子支付工具、支付過程無型化。

由于這兩個特點，也就造成了電子支付中存在很大的風險：

(一)電子支付制度也和傳統的付款方式相同，都會因為被他人冒領、盜領款項而發生損失，例如黑客侵入他人網絡系統，盜取其信用卡信息或者偽造他人私鑰或信用卡等資料，這些情況都可能會使消費者遭受財務損失；

(二)電子支付系統若發生斷線、操作錯誤等問題時，對消費者經濟方面造成損失的可能性。本人在網上消費時也遇到過類似情況，由于系統問題，輸入驗證碼錯誤后再輸一遍，實際上正確的操作是一次，但系統顯示的是兩次。

(三)消費者在從事電子支付時極有可能所有的付款資訊未經消費者的同意即被收集或是向第三人披露，甚至被冒用或是為其他不利于消費者利益的目的而使用，侵害消費者的隱私權。

針對電子支付本身的不安全性各個信用卡組織出臺了以信用卡為支付手段的電子支付認證方案，比如說VISA國際組織推出的VISA 3DSecure，MasterCard國際組織推出了MasterCard SPA信用卡支付認證方案。

三、國際組織信用卡支付認證方案

（一）VISA 3DSecure

1．威士卡的簡單介紹：

Visa國際組織的發展歷史首先要追溯到美洲銀行，1959年開始發行銀行信用卡，之后于1966年成立了BSC公司。1970年BSC公司改名為NBI，開始為美國各地銀行提供信用卡服務。1977年，NBI正式改組成立Visa International，即Visa國際集團。Visa國際組織本身并不直接發卡，Visa品牌信用卡由他所擁有的全球21，000多家會員金融機構構發行。

Visa是全球最富盛名的支付品牌之一，Visa全球電子支付網絡VisaNet是世界上覆蓋面最廣、功能最強和最先進的消費支付處理系統，不斷履行使您的Visa卡通行全球的承諾。目前，Visa卡可在全球300多個國家和地區的2，900多萬個商戶使用，并在130多個國際的80多萬臺自動提款機上提取當地貨幣，Visa的全球網絡讓您不論身在何處，都能方便地使用Visa卡。Visa的網絡系統每秒最快可處理10，000筆交易，年刷卡交易額超過2.3萬億美元。目前，Visa卡全球發行量已超過11億張，占全球支付卡市場約57％的份額。

2．3DSecure支付認證方案

3DSecure，全球身份核實技術，是一套全球通用的支付處理方案，采用高度精密的加密技術，阻止未授權人士查看持卡人的個人資料，以避免他人截取持卡人的敏感交易支付資料。

3D-Secure中，Visa更多地參與交易，包括：提供目錄服務，以檢驗卡號碼的有效性；向各服務器發行SSL證書并提供許可；提供認證歷史服務，記錄每筆交易的認證結果。

3D-Secure交易對持卡人的要求降至最低，只需要瀏覽器即可進行，不需要申請個人證書與安裝客戶端軟件，簡單靈活是其最大優勢。與SET相比，持卡人并不驗證商家的身份，商家需要保存持卡人的交易信息（包括卡號碼、有效期等）。交易中包含了大量的消息傳遞，平均多占用消費者10-15秒的支付處理時間。總體上，3D-Secure在SSL的基礎上加入發卡機構對持卡人的驗證步驟，從而提供了一種簡易的安全支付方案，有效地降低盜用與扣款的發生，其潛在弱點在于不法商家與黑客仍有可能竊取持卡人的用戶ID與密碼

3．安全驗證服務---Visa驗證：

Visa驗證服務（Verified by VISA，簡稱Visa驗證服務）是Visa國際組織為提高信用卡網上支付的安全性，保障客戶網上支付安全，維護客戶利益而推出的一項安全驗證服務。Visa驗證以簡單易用為原則，采用全球互通付款的“3D-Secure”安全技術，全天24小時的服務，滿足您時時刻刻的網上支付需要。

“快捷方便”是“Visa驗證”服務的宗旨，無論對消費者還是發卡銀行，都很方面。“Visa驗證”讓發卡銀行進行網上檢測程序時，運用密碼、數字證書、生物特征等方法核實持卡人的身份，整個過程只需書數秒就可完成。而對于消費者來說，你無需下載軟件或者改變購物習慣，已登記使用密碼的消費者在網上“Visa驗證”服務的參與商戶處購買，就可享受“Visa驗證”服務，交易資料受到密碼保護。

“Visa驗證”服務內容：

（1）個人確認信息----用來確認該購物網站為合法網站，避免您在網上購物誤入不法之徒惡意偽造的銀行交易頁面，騙取您的信用卡信息。

（2）交易密碼----網上外幣支付時輸入交易密碼，保障您交易的安全性和可靠性，當天密碼輸入錯誤累計超過6次，該賬戶將被鎖定，第二天自動解鎖。

（二）MasterCard SPA

1．萬事達卡的簡單介紹：

MasterCard International是全球第二大信用卡國際組織。萬事達國際組織于50年代末至60年代初期創立了一種國際通行的信用卡體系，旋即風行世界。1966年，組成了一個銀行卡協會組織，1969年銀行卡協會購下了MasterCharge專利權，統一了各發卡行的信用卡名稱和式樣設計。隨后十年，將原名改名MasterCard。萬事達卡國際組織是一個包羅世界各地財經機構的非牟利協會組織，其會員包括商業銀行、儲蓄與貸款協會，以及信貸合作社。其基本目標始終不渝：溝通國內及國外會員之間的銀行卡資料交流，并方便發行機構不論規模大小，也可進軍銀行卡及旅行支票市場，謀求發展。

萬事達卡已是全球家喻戶曉的名字，不過，三十年前它僅是一張美國境內的國內卡，它的知名在于萬事達卡國際組織一直本著服務持卡人的信念，提供持卡人最新、最完整的支付服務，因而受到全世界持卡人的認同。萬事達卡在虛擬和現實兩個世界里實現著全面的支付解決方案。萬事達卡在全球擁有多達1，900萬個的接受點和商戶，萬事達卡國際組織于1988年進入中國，目前國內主要商業銀行都是其會員。萬事達卡國際組織在幫助中國的銀行卡業從起步到發展上都起到了不可磨滅的作用，目前大多數中國會員銀行的信用卡都使用萬事達卡的品牌。

2．MasterCard SPA

SPA(安全支付應用) 是MasterCard提出的信用卡支付認證方案， 最常見的方案為基于服務器的錢包方案， 持卡人通過PIN訪問電子錢包并發起SPA支付。

發卡行需要安裝符合SPA的錢包服務器，并與后端的賬戶系統集成以供持卡人訪問。發卡系統需要提供注冊流程并向持卡人提供電子錢包軟件。在交易流程中，SPA錢包服務器負責生成安全令牌（AAV），并通過UCAF字段傳送至商家以及收單行，最后返回發卡行以做交易驗證。為此，MasterCard升級了原有的銀行網絡以支持AAV的傳輸。收單行需要對原有的標準SSL支付網關加裝補丁和插件， 以支持AAV的接收和傳遞。商家也需要升級其購物系統以支持UCAF字段。持卡人所下載的電子錢包軟件屬于“瘦”系統，不包含SET錢包中的個人證書。當消費者在商家頁面購物并進入SPA兼容的支付頁面時，該插件即被激活。這種方式允許發卡行提供更多的增值服務， 如表單自動完成功能以加快支付流程等等。另外，在一次購物流程中消費者可以選擇多個商家， 而只需進行一次認證過程。

3．網上支付安全認證--萬事達安全碼：

萬事達卡安全碼是一種為全球互聯網零售商及金融機構設計的安全解決方案，該方案有效解決了電子商務中最緊迫的三個問題：持卡人對在線購物的安全性猶豫不決，發卡人在持卡人在線購物時需要對其身份進行遠程驗證，互聯網零售商迫切希望獲得支付保證。

萬事達卡安全碼安裝在零售商的網站上，并與持卡人和發卡人進行信息傳輸。當顧客與從事電子商務的商戶結賬時，會出現一個窗口，要求客戶輸入一個已在銀行注冊過的個人專有密碼。銀行對持卡人的身份驗證之后會向電子商務零售商提供在線購買證明。

（三）VISA 3DSecure與MasterCard SPA兩種支付認證方案的不同點：

1．Visa的3D-Secure方案最初為基于互聯網的中心目錄服務系統，不涉及原有的Visa網絡，也不需客戶端的電子錢包，而SPA為支持AAV的傳輸 MasterCard需要升級原有的銀行網絡，而且需要客戶端的電子錢包；

2．SPA方案在一次購物流程中消費者可以選擇多個商家， 而只需進行一次認證過程，這是SPA相對3D-Secure的優勢所在。

3．3D-Secure方案對于發卡行和商家來說是一個前端方案，不需要改變后端系統，而SPA方案為后端方案，需要對發卡行和收單行的后端系統進行升級個改變。

四、小結

電子商務的發展對技術的要求越來越高，針對信用卡進行電子支付存在的眾多問題，國際相關信用卡組織會順應時代的變化出臺更加安全的認證方案。據了解，VISA與MASTERCARD已聯手推出結合3DSecure和SPA兩種認證方案優點的認證方案。我想，在不久的將來，我們應用信用卡進行電子支付將會成為無懈可擊的安全支付，信用卡支付也將會成電子支付的主流方向。

參考文獻

[1]管會生：《電子商務安全與管理》，科學出版社

[2]帥青紅：《電子支付結算系統》，西南財經大學出版社

[3]楊堅爭、趙雯：《電子商務安全與電子支付》，機械工出版社

[4]劉剛、范昊：《網上支付與金融服務》，華中師范大學出版社