王中利苹果搞定和银联的合作,Apple Pay随后将在中国正常落地的好消息,今天很快就来了个“意料之中”的转折,银联并非接纳Apple Pay,而仅是支持App Store。
App Store新增银联的支付通道其实不值得惊喜。之前国内用户在App Store上购买应用很麻烦,现在有了银联的支持,使用苹果应用商店会更方便了。如此一来,App Store的消费可见地将有所增加,苹果会获得更高的收入,另一边银联也新增了一块之前没有的业务抽成。用户、银联、苹果三赢的好事,没有任何阻力,自然是水道渠成。不过外界重点期盼的,中国银联支持Apple Pay,使用iPhone手机的移动支付在中国遍地开花的美好前景,目前看依然困难重重。
为什么银联会拒绝Apple Pay?设想中应该有两个原因,一是银联有自己的移动支付体系,排斥ApplePay想独占潜力巨大的市场。二是从风控角度,Apple Pay移动支付的可靠性,特别是国外公司参与国内金融支付链条的潜在风险。其实,无论是第一个原因还是第二个原因,随着时间的推移,要么很快会被克服,要么会在深度考察后站不住脚。
首先,Apple Pay拥有超高的安全性,也没有寻求主导整个支付产业链,风控角度上银联完全是多虑了。
Apple Pay模式,简单点说,只是将用户持有的信用卡同等置换成了智能手机。将信用卡的信息映射到智能手机上,看似这么一个简单的改造,背后苹果所做的iPhone上软硬件的适配,改造并接入原有支付网络,一系列“工程”非常周详和谨慎。
iPhone是用TouchID指纹识别代替信用卡支付签名。这个过程必须得保证指纹信息不会被轻易泄露。苹果开发了名为Secure Enclave的技术,将用户的指纹信息以硬件加密的形式储存在ARM芯片里。硬件上,ARM芯片设计有安全区和普通区,安全区与芯片的其他部分是隔离的,SecureEnclave就是将用户的指纹信息保存在安全区。正常情况下,操作系统与安全区进行信息交换只能以单向“问询”的形式,你给安全区“窗口”一个查询指令,它才会返回给你一个“匹配”或“不匹配”的结果。在这样的条件下,即使iOS系统被攻破,黑客能完全控制手机,它也只能通过系统请求验证指纹信息,而非直接截获。
用超级安全的指纹信息代替签名只是第一个验证权限的手段。难度更高的,是将用户信用卡承载的卡信息虚拟化,映射成Token令牌并被安全保存和传输。世界三大信用卡组织以及中国银联共同加入的EMVoc组织,负责制定芯片信用卡与现金卡(借记卡)的支付款系统(Payment System)相关软硬件标准。EMVoc在今年四月份刚发布的最新标准EMV Payment Tokenisation Specification V1.0,引入了Token机制,苹果就第一个将其应用在Apple Pay之中。(业内人士怀疑,此标准就是苹果亲自建立和推动的,苹果能够影响到EMVoc组织并能让对方采纳自己的标准,说明其准备非常充分,而新标准一定也显示出巨大的优越性)
ApplePay引入的Token体系中,除了传统电子支付参与方外,新增了2个参与方——Token SP和TokenRequestor。
Token的应用原理:用户手动输入或使用iPhone摄像头扫描识别信用卡主卡号(PAN)后,Token SP根据Token Requestor提供的PAN生成Token,将Token作为PAN的替代值流转在支付的各个环节,使得在支付流程中,独一无二的PAN只在Token SP、转接方、发卡方间传递,由于三者专线连接且彼此互信,且当Token被检测到风险或到期时,将再次生成新Token替代,从而大幅降低支付过程中PAN泄漏的可能性。如图所示:
ApplePay在这个新支付链条中的作用,只是提供了Token Requestor,即Token信息请求,而一旦获得Token Service Provider返回的Token令牌信息,此信息将会被保存到iPhone的NFC芯片里。NFC芯片也使用了名为“SecureElement”的技术,Token令牌会被安全存储在一个访问受限的加密芯片区域。
信用卡信息首先是被Token替代,然后Token信息又是以NFC芯片的硬件加密形式保存在iPhone手机中。交易过程中,苹果服务器、POS机商户无法获取和存储Token信息,因为关键的Token SP服务器是掌握在银联手里,换句话说,信用卡信息和支付交易信息还是跟原来一样,控制在发卡行和信用卡组织经营的支付网络中。既提高了支付的安全性、保障了用户隐私,也毫不影响原来的支付链条各个参与方的既定权限,Apple Pay引入的Token机制可以说非常完美。
其次,Apple Pay显示出巨大的优越性,改造成本也非常低。银联接纳Apple Pay能获得的收益比自己独立建立一个移动支付体系要高。
ApplePay要想在国内运作,利用现有的POS机(绝大多数都支持NFC)就够了,终端商户没有新增任何成本。主要的改造在于银联主导的转接支付网络,加入TokenSP和Token Requestor。这需要苹果向银联公开所有EMVoc新标准的技术实现细节,配合其完成网络升级和改造,我想苹果是一定愿意的,即使让它负担相关成本,为了中国这样一个巨大的市场也完全值得。
iPhone手机稳定的份额、高质量的用户有了,终端商户又可以直接使用现有的POS机,而一旦转接支付网络改造完成,Apple Pay就可以立马运作起来。可能还有人担心用户支付习惯不容易转变。真正的,市面上还真没有比Apple Pay更安全、更便捷、体验更好的移动支付手段吗?
TouchID指纹识别+Token令牌匹配,一个是ARM芯片级加密,一个是NFC芯片硬件加密外加Token令牌网络验证,黑客盗取云端数据没有任何意义,偷取到手机硬件也无法直接使用Apple Pay移动支付。因为需要破解设备ARM芯片还原指纹信息,破解设备NFC芯片还原Token信息,再入侵转接网络的Token SP服务器找到映射的信用卡卡号。要同时做到以上三点,几乎没有现实的可能性。
不但安全性最高,苹果历来最为重视的用户体验,成功地将Apple Pay打造成最便捷的移动支付方式:手持iPhone靠近POS机即可,系统会自动弹出支付界面,手指停留在Home键1秒,整个支付流程就走完了。相比二维码扫描、超声波支付、容易丢失和盗用的银联闪付卡,ApplePay在各个方面都完胜。
银联可能再独自建立一个比Apple Pay更优越的移动支付模式吗?根本没有可能。一旦Apple Pay在国外大规模流行起来,iPhone可见的巨量优质用户和高转化率,极低的接纳成本,合理的刷卡手续费分成,又没有寻求主导移动支付产业链,尽量保持了原有的支付控制结构,银联最终还是会妥协。
当然,我们有些组织向来是喜欢控制一切,随着时间的推移,他们的“其他尝试”失败,一定会发现拒绝Apple Pay是多么愚蠢。最后再强调一遍,Apple Pay没有颠覆任何人,也没有寻求控制,它带来的是安全、便捷的移动支付,转移支付习惯潜在体量巨大的新用户,以及相应的,新的巨额收益!
