Apple Pay終於在最後關頭,被開放了
那到底配不配呢?或是怎麼配?
來看看吉米的好友 許世杰 跟大家分享這個主題吧~
—————————————————
前言
好久沒寫長文了。身為從1987年至今的資深果粉,身為長期關注台灣電子支付產業發展的獨立觀察者,當然要為Apple Pay 的來台,寫篇文章祝賀一下。
當然,我建議讀者可以先重讀一下我在一年半前為PunNode 寫的那篇。
https://panx.asia/archives/23918 這篇文章在PunNode 改版前,單篇有兩萬多個 fb like,就個有點嚴肅的科技長文而言,也是個絕無僅有的記錄了。
回歸主題,我改寫了一下也是一年半前演講時常用的一個投影片,解釋一下我對行動支付與Apple Pay 的後續看法
Apple Pay 是什麼
從演進的歷史來看,Apple Pay 最早的確是由 Apple 所倡議的一種手機信用卡技術,但後來被 EMVCo 採納,成為國際信用卡組織的技術標準,用來作為下一世代的數位信用卡技術。
採納成為標準的意思是:Apple 失去了專利權,但也換到了獨家領先推出的特權與商機。
從今天的產業現況來看,Apple Pay 只是EMVCo Tokenization Spec. 此一技術規範的一種實作(implementation )版本而已。
實作出來軟硬體雖然是Apple 的財產與機密,但這個技術規範卻是公開的。
而且,當發卡銀行加入Apple Pay ,意思就是它已經把信用卡Token 化了,從此之後,這個發卡行也可以支援其他合乎相同技術規範的另一個實作,也就是所謂的 xxxPay 或 OEMPay。
Apple Pay 不是什麼
Apple Pay 就是數位信用卡,並不是第三方支付的一種。
因為交易的資金,從買方在發卡行的帳戶,直接到賣方在收單行的帳戶,並不會在Apple 停留。所以這不是第三方支付。
Apple Pay 不一定是 NFC 支付。Apple Pay 只是可以利用NFC 來傳遞Token 而已。
Apple Pay 之所以會往前相容,支援現有 Visa/Master 的感應式信用卡讀卡機,可以說是一種雙贏的策略。
這個策略一方面讓Apple Pay 不用花時間開拓商家,一開門就有幾萬個商店支持。
另一方面也讓還沒裝感應式信用卡的大型連鎖商店,看在Apple iPhone 用戶的面子上,比較有改裝的動力。
但在技術上,新一代的POS ,也可以透過藍牙或其他方式來與和 iPhone 交換token 。
Apple Pay 不只是線下商店可以用,它更大的價值,反而是線上的商店,尤其是In App 購物可以用。
透過信用卡的 Token 化,加上指紋辨識。釜底抽薪解決卡號外洩的問題,進而徹底解決消費者不信賴小型網站或者不敢在新創App 使用信用卡購物的問題。
所以,Apple Pay 真正有用的地方,不是線下感應,反而是線上刷卡,包括信用卡與借記卡。
導入Apple Pay 時,誰需要的改變與投資最多?
對本來就支持Visa Wave 與 Master PayPass 的實體商店而言,因為 Apple Pay 往前相容,所以不用做任何改變。
這就是為何過去一年多來,雖然Apple Pay 沒開放入台,但是美國人其實早就可以在台灣用 Apple Pay 的原因。
對行動App 購物或者網路購物業者而言,如果要In App 支援 Apple Pay ,要改用 PassKit API 或者 PassKit WebService。
這個改變基本上也不複雜,關鍵反而是要找個做網路收單的公司就是了。
目前的問題是:如果台灣的行動電商,想讓台灣的消費者,在台灣用 In App 的方式使用Apple Pay 支付,但是台灣卻沒有對應的網路收單公司,那怎麼辦?方法之一是去設個北美的公司,找北美的業者收單。
但是,如此一來,就會變成「消費者與消費地點都在台灣,但卻視為境外交易」。
這才是Apple Pay 入台後真正的問題,跟有沒有境內的TSP一點關係都沒有,但整個行政院與央行都搞錯重點。
要做最多事的是發卡行。
因為發卡行必須在原有的信用卡系統上,加入一套稱為Token service 的軟體模組。
而想加入Apple Pay 的發卡行到底要如何建置這個token service 模組,就是前一陣子行政院在討論Apple Pay 入台時的主要爭議點。
至於實體商店的收單行可以說完全沒改變。除非收單機構想和 FirstData 之類的公司一樣,打算提供token 化之後的線上收單服務,那它就得和Apple 進行合作。
這個角色,目前在台灣是空白的,也是軟體公司或金流服務公司的真正商機所在。
與線上token 收單相比,台灣行動支付公司動用各路門神一直想爭取的TSP ,根本不算個生意。
可見這個公司也是沒有人才。
Token Service 到底是做什麼的,負責的TSP是境內境外真有那麼重要?
Token Sevice 講簡單一點,就是用隨機索引的方式,在本來的卡號(PAN)與 Token 之間,建立一個一對一的隨機對照表。
這種方式,比起什麼橢圓雙曲線演算法,根本沒什麼高深技術可言,但卻無法破解。有了 Token Service 之後,PAN 只在發卡行內部使用,至於在消費者手機,在商家端,在internet 與收單行之間流動的,都是token 。
而負責把 Token Service 雲端化的業者就叫 Token Service Provider。
Token Service 的建置有兩種方式:
[LIST]
[*]一種是銀行自建軟體在自己的機房裡
[*]一種是透過私有的高速網路連接到某個軟體服務者,就是所謂的 TSP
[/LIST]
說穿了,TSP 就是一種 SaaS,而雲端運算喊了那麼多年,SaaS 服務還有在分境內還是境外的嗎?
在整個 Apple Pay 的取授權過程,信用卡的個資都在發卡行自己行內的系統,即使TSP 在境外機房,就資訊安全的角度,這些Token Service 依然還是位於於發卡行自己的安全內網中,並沒有個資外洩到發卡行以外的問題。
誰不喜歡Apple Pay ?
Apple 本來就不是金融產業,富可敵國的Apple 投資 Apple Pay 當然也不是為了區區千分之二點五的手續費。
所以,Apple 選擇與信用卡國際組織及EMVCo 合作,讓這個合作夥伴在行動支付的戰場可以後發先至。
至於說某些大型連鎖店不收Apple Pay ,例如 Starbuck 與 Wallmart,其實更精確的說法是,他們根本就討厭信用卡組織與銀行,所以至今不收感應式的信用卡,當然也就不收Apple Pay了。
傳統的第三方支付公司也不喜歡。Apple Pay 一定會促成各種 xxx Pay 的成熟,進而讓信用卡/借記卡產業全面Token 化。
等時候一到,包括銀聯在內的信用卡組織只要一聲令下,不再讓支付寶與微信之類的公司使用預存的卡號取授權,那麼現在這些大量依賴「綁卡/快捷支付」的公司,不管他目前規模再大,都全部可以關門了。
而且禁止第三方支付公司繼續保管卡號與替消費者取授權的舉動,涉及金融安全與消費者隱私保護,各國的金融監理機構也不會反對。
白牌與小型手機廠也不喜歡。因為手機加入xxx Pay ,需要高度的軟硬整合,還需要通過EMVCO 的認證。
這對於小型的手機廠非常不利。相反的,對於HTC 這類有年銷千萬支手機實力的手機品牌而言,這些xxx Pay 的興起,反而是有利於他們擺脫白牌小廠的糾纏。
誰應該感到興奮?
行動商務與各種in App 消費的業者,終於有個兼顧安全,方便與隱私的支付服務可用,準備可以發揮極大化的創意,大幹一場了。