重点提示

根据调研公司JuniperResearch的研究显示，移动支付到2015年预计可达6700亿美元*（约合人民币4.1万亿元）。其主要推动力来自移动POS（mPOS）解决方案、移动票务和近场通信（NFC）交易日趋广泛的使用。事实上，调研公司ABIResearch已预测，到2019年，mPOS设备的安装基数将很快占市场上所有pos机的46%，在五年期内将以5倍的速度增长，在全球达到5100万台。

 
许多因素推动了mPOS支付方案的快速运用。移动设备的高渗透率是一方面。根据comScore的一项最新调查显示，亚洲的移动设备渗透率最高，90%的受访者使用智能手机，62%拥有平板电脑。

 
mPOS机购置部署的成本低也是另一因素。传统POS机需要支付高昂的安装费，还需要用高昂的专用通信线路连接第三方支付服务提供商（PSP）的网络，才能实现收银台付款服务。相比之下，移动支付仅需读卡器作为移动设备的配件。

 
Thalese-Security亚太地区区域营销总监叶维屏透露：“mPOS机给商户带来了很高的灵活性。目前，mPOS机读卡器的成本每台只要几百美元，有的甚至还不到200美元。”

 
商户只需将新式的mPOS读卡器插入平板电脑等移动设备，就能搭载丰富的媒体应用。例如，同时运行会员积分计划等应用，通过展示更具视觉冲击力的图像促进销售，还能让顾客边结账边逛店，这种移动性的增加同样有利于提升销售。人们可能没有意识到，mPOS支付方案其实具有更高的数据安全性，这其实是它的另一个重要的附加值。

 
叶维屏说：“我们总认为用传统的POS机比较安全，因为它广泛应用PCI-DSS（支付卡产业数据安全标准）。然而，最近美国知名零售商塔吉特集团（Target Group）发生的数据泄露事件给我们敲响了警钟。”调查发现，在感恩节前一天到12月15日期间，传统的POS机根本无法阻挡塔吉特超市内发生的数据盗窃。期间，塔吉特在美国的1797家门店几乎全部遭殃，黑客在其门店的4万台信用卡读卡器上远程安装软件，成功盗取了塔吉特的客户数据。
塔吉特承认，约4000万消费者的信用卡和借记卡数据可能被盗。该事件成为美国零售商的第二大银行卡泄露事件。
 

 
叶维屏谈道：“我们必须理解商户的核心竞争力并不是数据安全，而且处处保护数据也是件极其复杂的事。”

 
叶维屏进一步解释道，支付的传统四方业务模式涉及到银行、收单行、商户和消费者，在此模式下，支付卡产业的交易安全标准主要适用于从商户端到收单行之间的设备，如图1所示。

图1

 
验证一笔交易需要三个主要的密钥：商户密钥、设备密钥和PSP密钥。消费者的PIN码是加密的，但并非对所有消费者的数据来说都是必须的，尤其是当同时处理大量交易可能造成网络数据溢出。在叶维屏看来，这可能是塔吉特案例中遇到的一个主要问题。引入mPOS设备后，消费者的所有数据和PIN码在整个流程中都得到了保护和加密，如图2所示。

图2

 
叶维屏指出：“mPOS满足了三个重要的安全流程。第一，它保护了读卡器中的密钥。第二，它确保PIN码绝不会暴露在防篡改安全模块（TRSM）之外。第三，它将PSP网关的解密数据与商户网络隔绝。”

 
所以，无需信任整个网络，就能随时随地接受信用卡。事实上，智能手机和平板电脑上丰富灵活的用户界面让商户摆脱了用传统POS机时所受严格控制。因为整个流程缩小了PCI DSS认证范围，将新商户尤其是那些小商户的购置成本降到了最低。

图3

 
叶维屏解释说：“最重要的是，这种新的支付方式可能更安全。过去，在终端机中注入密钥必须一个个手动完成，但在mPOS的应用中，所有设备可以随时进行无线同步更新。此外，读卡器本身独立存在于一个外形较小的配件中，意味着它更不容易被破解。

 
“它还能消除微商户无卡交易的高风险。在Visa和万事达卡看来，无卡交易在银行卡欺诈中排名第一。而通过与支付网关的HSM硬件互补，mPOS提升了安全，简化了操作。”

 
叶维屏援引了最近Royal Gate的例子。RoyalGate是一家B2M（面向市场营销的电子商务企业）平台提供商，总部设在日本。作为一家初创企业，RoyalGate面临着各类重大挑战。首先，它必须确保让大企业无论何地都能收款。其次，它还需要支持所有类型的银行卡的支付，包括磁条卡和EMV接触式及非接触式卡。此外，在日常运营中Royal Gate还需要在非受信的设备上和网络中保护数据。

图4

 
采用mPOS方案后，Royal Gate能在生产mPOS读卡器时生成并注入密钥。它还在交易中运用了DUKPT（一次一密）协议，即使发生数据泄露，也能将风险缩小到一笔交易上。

 
消费者在商户处刷卡后，读卡器会通过蓝牙连接平板电脑，然后通过安全交易SSL链接将交易路由至Royal Gate的支付数据中心，再将付款传到收单行。该系统可让RoyalGate一次处理100万个特殊加密的密钥。

 
虽然mPOS机能为商户提供更安全的解决方案，但是近年来新出现的三方支付模式仍给支付带来一定的安全风险。
叶维屏说：“像Paypal和支付宝这类第三方支付平台的兴起将传统的四方模式转向了三方模式，因为此类第三方支付平台既付款也收款，在一个平台上分饰两角。对商户来说，交易的手续费会降低，但是在新的支付环境中交易到底有多安全仍有待进一步审查，更何况第三方支付平台可能会面临政府日趋严格的监管措施，这肯定也会影响到业务。”