連炸彈都不怕！60年來零資料外洩，VISA守護支付安全的3關鍵

國泰航空、萬豪酒店集團，去年（2018）都曾發生大規模的個資外洩風波，許多人的姓名、地址、e-mail、護照號碼、信用卡號，都可能暴露在駭客入侵的威脅下。

即便各國政府力推行動支付政策，但許多民眾就是因為在安全上有疑慮，仍不願意使用。VISA大中華區首席風險長楊景香認為：「電子化的最後一哩總是最難的，很多人不用就是安全考量。」創新是一把利人利己的雙面刃，同時帶來機會與威脅。

不過楊景香告訴《數位時代》：「過去60年，從來沒有任何資料外洩事件，發生在Visa的支付網路VisaNet上。」事實上，當年Apple Pay之所以能在全球落地使用，若沒有背後VISA的關鍵技術撐腰，就不會有今天方便安全的支付體驗。

Apple Pay落地關鍵，Visa代碼化服務

信用卡組織VISA，是一個與全球交易系統綿密交織的龐大網絡，維護支付生態系統的安全、降低敏感資料的價值，是所有創新工作的最優先。Visa亞太區風險負責人Joe Cunningham認為，理想的未來世界，是一個不需要密碼的環境，透過日新月異的身分驗證科技，「提供消費者更好、更安全和無縫的支付體驗。」

Visa代碼化服務（Visa Token Service）是行動支付背後的一大推手，沒有它Apple Pay無法在全球落地使用。楊景香表示：「代碼化就是讓敏感的數據變得不敏感。」簡單來說，就是以獨特的數位代碼（token）取代真實的16碼卡號，如此一來在支付過程就能降低持卡人敏感的帳戶資訊暴露風險，當卡片遺失、遭竊或過期，發卡機構能立即更新帳戶資訊。

代碼化服務最為人所知的應用就是Apple Pay，楊景香解釋，用戶只有在第一次綁訂卡片時，需要輸入16碼卡號，之後iPhone中存的就是代碼，可以想像成把卡號變成另一種語言，每次消費都是用代碼交易，銀行之所以還知道這筆交易是持卡人消費，是因為VISA將這組代碼翻譯給銀行，通過VISA授權後，才能把代碼跟持卡人之間的關係串起來，「 就算犯罪份子偷走了代碼，也不知道代碼背後的關係。 」代碼（Token）並非新技術，VISA之所以能成功，是因為連接商戶、收單行、發卡行、消費者之間的關係，讓代碼可以在支付生態圈中彼此串聯。

楊景香分析，當年Apple Pay之所以能在全世界落地使用，背後關鍵是基於VISA代碼技術的誕生，「沒有VISA背後的代碼技術是落不了地的，VISA在中間解讀代碼關係，是最關鍵的一步。」目前VISA也持續向許多發卡機構、線上支付商家推廣代碼技術，像是影音串流平台Netflix ，在2017年就採用VISA代碼化服務，讓支付安全更加可靠。

數據中心連炸彈都不怕，60年來VisaNet零出包

Visa的支付網路VisaNet，在去年（2018）共處理超過1,270億筆商戶和金融機構間的交易。VISA大中華區首席風險長楊景香說，過去60年來從來沒有一次資料外洩問題發生在VISA上，但為何信用卡盜刷、卡號外洩問題仍層出不窮？

「因為商戶端不是做支付，對系統安全的保護、理解，可能跟做金融的不同。」楊景香說，現在各行各業都跟支付脫不了關係，無論是電商、零售、遊戲業者，參與的玩家越來越多，不過許多廠商都是IT背景，並非金融支付專業，對於資料、安全等級的把關有所差異，因此許多時候資料外洩問題都出在商戶端。

楊景香透露，許多駭客的終極目標，並非美國五角大廈等單位，而是支付網路VisaNet，看準VisaNet每分每秒龐大的金流交易，不只是技術上的資安保護，楊景香說：「我們的資料中心比五角大廈還要安全，建築的材料安全性、系統的安全性都是頂級的。」

VISA的數據中心遍布世界各處，但因為涉及全球規模的交易安全，這些數據中心地點相當保密，連門牌都沒有，在地圖上也找不到，完全比照美國軍事基地等級，VISA數據中心有多堅固呢？楊景香說：「 連炸彈掉下炸，都不會發生問題。 」

即時給出風險評分，為交易安全把關

隨著無現金交易成為全球重要的趨勢，也是許多政府、新創努力的領域，而支付過程中的摩擦體驗，常讓消費者放棄交易。根據研究機構Javelin調查，高達51%的受訪者，都曾因交易過程中授權被錯誤識別，導致交易被拒絕，最後不得不選擇其他信用卡完成支付，如此一來，就會讓競爭對手的信用卡成為首選支付方式。

風險偵測授權服務（Visa Advanced Authorisation，VAA），是VISA近期相當自豪的一項服務，楊景香說：「這個產品非常強大，在業界絕對是領頭羊。」

VAA服務之所以厲害，在於可做到「即時」風險評分。楊景香解釋，過去刷卡時，卡片插進機器會需要等個幾秒鐘，「現在許多友商做的都是『準即時』，意思是交易完成後，才知道風險評分，再回頭去看交易安全與否。」楊景香解釋：「VAA是在授權之前，就可以依據評分安全與否，來決定通不通過交易。」

VAA這是一個結合機器學習與人工智慧的預測性分析技術，會分析500多種獨特的風險屬性，每筆交易處理時間，大約只需要千分之一秒，VISA系統就能「即時（real time）」給出風險評分，並與金融機構共享風險評分，辨別是否批准或拒絕交易。雖然幾秒鐘跟千分之一秒的時間，在實際交易體驗上，感受上沒有太劇烈的差異，但對於後端的交易安全把關來說，是更加可靠嚴謹。

VISA全球高級副總裁Melissa McSherry認為：「如何在不影響流暢支付體驗的情況下，把正常交易與犯罪分子的詐欺交易區分開來，是現在支付行業所面臨的最嚴峻的挑戰之一。」

VAA是VISA反詐欺策略中的關鍵技術，能夠有效降低金融機構及零售商的支付風險，目前在全球129個國家地區的8,000多家金融機構，都已經採用VAA技術。VISA每天平均分析超過60億筆資料，官方表示，VAA服務一年幫助發卡銀行防止超過250億美元的詐騙損失，透過新科技多管齊下，VISA現在已經把全球欺詐率維持在0.1％以下，創下歷史新低。

每日精選科技圈重要消息，歡迎加入《數位時代》LINE@！