EMVCo管委主席潘见仁:支付技术标准化的展望
2015/8/20 11:53:27

  全球支付产业正在经历极其深远的变革。新兴技术促进了新型支付产品和服务的出现,影响着传统的消费习惯并带动了新的参与方涌入支付的生态系统之中。EMVCo就处于这场变革的中心。作为全球性的技术组织,EMVCo通过管理和完善EMV规范及相关的测试认证流程,进而推动实现全球互操作性和支付交易的安全受理,提升支付安全性,建立支持新型技术的支付基础平台。面临这个日益复杂的支付环境,将技术标准化是成就未来支付发展的基石。

  EMV规范推动了全球统一支付框架的形成,以支持不断发展的支付方式、技术和受理环境。本文将介绍EMVCo的关键研究领域,阐释EMVCo在各技术领域的标准化恰当地反映当今和未来全球支付产业的需求。

  EMVCo的职责

  EMVCo是由美国运通、发现卡、JCB、万事达、中国银联和Visa共同持有股权的全球性支付技术组织。通过管理和完善EMV规范和相关测试认证流程,EMVCo致力于推动全球互操作性和支付交易的安全受理,提升支付安全性,已建立支持新型技术的支付基础平台。

  在过去十年中,支付产业日新月异,EMVCo的关注焦点也随之变化。EMVCo的工作范围从最初的EMV芯片卡规范拓展至终端认证、互操作性、通用内核定义(CCD)、通用支付应用规范和卡片认证、非接触式规范、移动支付规范、下一代规范以及最新的支付标记化和3D Secure 2.0规范。

  在深入探讨EMVCo目前重点领域之前,有必要了解EMV芯片技术在全球的影响性,这将有助于理解为何EMVCo需要急切得完善现有的EMV支付基础平台以面对全球支付参与方不断变化的需求。

  EMV应用现状

  EMV规范及相关的认证流程推动了全球统一支付框架的形成,支持不断发展的支付方式、技术和受理环境。灵活性是EMV规范的设计原则之一,可适用于不同国家和地方法规对支付的要求。

  EMVCo近期发布了2014年四季度官方数据。数据显示,EMV芯片卡受理率在全球各地区持续上升。截至2014年底, EMV芯片卡数量从2013年四季度的23.7亿张增至34亿张,涨幅43%。

  数据同时显示,2014年1月至12月之间全球的芯片卡交易(包括接触式和非接触式交易)中有32%采用了EMV技术,比2014年11月的数据上升了三个百分点。

  EMVCo重点技术方向

  EMV下一代规范。2011年,产业驱动EMVCo制定EMV下一代芯片规范以满足新的业务需求,这些驱动力包括:持续扩张的业务需求和支付技术(如移动设备),在整个支付生态圈中存在着整合接触和非接解决方案的需求,公钥密码算法的发展(如椭圆曲线算法),对其他“增值型”数据的传输需求有所提高。

  EMVCo和产业其他参与方共同明确业务需求、制定迁移策略、设计技术方案并制定规范。为了建立一个通用的、强大的技术平台,同时支持接触、非接和移动界面的线上线下交易,这项工作一直持续至今。EMVCo建立了一个分层式、模块化的系统架构以灵活支持多种通讯协议,架构中还运用下一代公钥体系,这将有效地保证EMV芯片规范的向前兼容性。此外,下一代规范将简化产品设计并统一接触和非接的检测认证流程。计划今年将发布规范初稿,2016年规范将正式发布。

  EMV下一代技术的迁移将是一个长期的过程,迁移周期将根据业务需求、和在不同市场的情况来决定。EMVCo预计根据卡片和终端的自然生命周期,基于现有芯片规范的卡片和终端将与采用下一代技术的产品共存一段相当长的时间。

  此外,不同市场的迁移周期随着其地理位置及其EMV迁移现状而不同。在过渡阶段,终端将同时支持新老内核,卡片也将包含新老应用,同时,也会加入新数据对象/数据值。在迁移过程中,每个市场将研究适用于自身的方案策略。

  支付标记化。2014年1月,EMVCo官方发布声明扩大其工作领域,将带领支付产业各界作好支付标记化的标准化工作。保证支付标记化与现有支付体系的兼容性是相当重要的,因此,EMVCo作为现有支付规范的制定者,应义不容辞地承担起支付标记化的规范工作。此外,EMVCo具备战略广度、产业知识和技术深度,有能力研发一个支持数字支付的规范体系。

  2014年3月,EMVCo发布了《EMV支付标记化规范-技术框架 V1.0》(以下简称《框架》),该规范为业界提供了使用移动设备、个人电脑、平板电脑或其他智能设备完成数字支付的兼容、安全且通用的环境。

  《框架》中对支付标记化的使用范围及支付标记化生态圈中的重要参与实体作了说明,提供了各种用户案例实现的技术要求,并阐述统一的技术方案对市场带来的好处。从技术的角度来看,《框架》表述了在协助支付标记取代传统卡号的方式获得广泛应用的过程中,规范所扮演的角色和需要明确的要点,包括定义数据报文格式以保障标记的互操作性、路由和支付标记认证的统一方式。《框架》也诠释了如何通过限制支付标记在特定环境下的使用来提高安全性,以及现有的支付生态系统应如何发展以实现全球互操作。

  自《框架》发布以来,为了更好得理解和支持各方的需求,EMVCo坚持和支付组织、产业各界紧密合作,其中也包括许多全球商户组织。EMVCo最终形成的支付标记化规范将可实现和支持相当多的用户案例及业务模式。《框架》发布后,产业各界也为EMVCo反馈很多有价值的建议,这些建议将被采纳入今年下半年发布的新版本中。

  下一版规范将持续保障现有支付体系和支付标记化的兼容性,并将作为对现有EMV芯片规范的补充以确保整个支付环境的一致性。后续,EMVCo将积极整合产业界的反馈,以支持规范的优化及更多用户案例。框架规范根据产业的意见持续发展,扩大其适用性和市场需求的相关性。

  3-D Secure 2.0。继2014年将自身业务范围拓展至支付标记化领域,EMVCo于2015年1月宣布将引领产业界编制新一代3-D Secure(3DS)规范。作为一种在线身份认证协议,3DS支持远程支付环境中的各类新兴技术。

  3DS最初由Visa创新推出,通过标准的网页浏览器实现基于个人电脑的网上购物,同时支持持卡人和发卡行之间的相互认证。自3DS被主要支付品牌商用,智能电话等新型设备以及in-app购买的出现改变了消费者在线交互和购买的方式,因此需要对规范进行升级,以支持并且充分利用新技术。

  EMVCo继而承担了制定EMV 3DS 2.0规范及相关认证项目的责任。升级后的规范可支持交易过程中新增的数据,实现更为智能的风险判断,使用户体验更加流畅,降低持卡人通过密码验证身份的频率,并且更好地与商户系统集成。2.0版本规范的应用场景将扩充以支持非支付的用户身份验证,更好地适应不同国家和监管机构对无卡交易持卡人认证的要求。

  EMV 3DS 2.0规范预计于2016年发布并实施。Visa继续保有对3DS 1.0版本的唯一所有权。发布后,3DS 2.0将与3DS 1.0并行,由EMVCo独立运作。Visa计划在3DS2.0成熟后,逐步淘汰1.0版本。

  移动手持设备认证。为确保平滑有效的测试、加快产品投放市场的速度,EMVCo一直在努力简化安全移动手持设备认证的要求。EMVCo计划针对移动手持设备展开非接Level1检测认证流程。目前,这项检测还是根据各支付组织的要求管理实施,将现有的流程迁移到EMVCo可以保障不同市场的统一性,更能保证产品投放的有效性。检测流程的各项工作已经到位,计划2015年第四季度进行整体的实施。

  此外,为了确保我们建立的架构是一个可用、有效及可信的环境,EMVCo在移动支付领域和其他产业实体在以下工作上进行了紧密合作。

  跨行业认证模型。该模型定义了发行后可写的安全元件(SE)的安全评估要求,实现EMVCo和CC(评估产品和系统安全的国际标准)的认证。该模型由EMVCo、GSMA和GlobalPlatform合作研发,将加快认证流程,简化移动SE的发布,加快产品投放市场的速度。

  目前,法国移动运营商联盟(AFOM)、欧洲支付协会(the European Payments Council)、欧洲电信标准机构(ETSI)和SIMalliance已支持组合模型1.0版本。国际安全认证倡议协会(the International Security Certification Initiative)也为该文档作了很多贡献。(下载该文档可点击链接www.globalplatform.org)

  和NFC论坛对标。通过对比EMVCo和NFC论坛的规范和测试计划,确保双方的要求一致,以此来优化近场通讯(NFC)移动设备的研发和测试流程。双方合作旨在建立一个框架来同步NFC论坛和EMVCo的规范和测试计划,该框架最终将简化非接技术的研发和测试流程。

  2013年 ,EMVCo发布两份规范公告的初稿(SB121 和SB122),这两份公告将EMV非接规范D册(2.3版本)和ISO/IEC 14443以及NFC论坛数字协议规范中关于参数和功能处理部分做了统一。这些公告现已生效,且被整合入最新版的D册规范,测试案例也已更新并实施。

  2015年,我们希望可以完成数字规范的对标工作,并继续进行模拟规范的对标(包括评估和更改)以及相应的测试计划更新。

  EMVCo欢迎产业界的共同参与

  支付产业作为一个整体,是EMV规范的共同使用者,因此,EMVCo致力于构建一个稳健发展的,可实现互操作的安全交易框架以满足市场的要求。 EMVCo欢迎支付产业各方的参与,并为产业界参与未来规范的制定创造了大量机会。

  EMVCo伙伴项目(以下简称EAP)即是EMVCo鼓励产业参与的平台。通过该项目,全球产业界各方可以积极参与制定EMVCo的战略和技术走向。发卡机构、收单机构、商户、处理服务提供商、卡片和终端厂商、移动运营商及联盟等感兴趣的组织,均可通过EAP项目为现有和未来EMV规范提出意见和建议。

  EMVCo的伙伴分为业务伙伴和技术伙伴两类,符合要求的机构或组织可以以一种或两种身份加入伙伴项目。

  业务伙伴(Business Associate):业务伙伴可就EMVCo的战略业务和与EMV规范使用相关的实施问题提出意见和建议。 申请成为业务伙伴的组织必须是交易生命周期中的某一环节接的参与方。

  技术伙伴(Technical Associate):技术伙伴可以就与EMV规范和相关流程有关的详细技术和运营问题提出意见和建议,EMVCo也会做出相应反馈。 技术伙伴可参与EMVCo下设的九个技术工作组,对工作组的工作提出意见或建议并可获取工作组的最新进展。

  EMVCo同时提供订阅用户(Subscriber)服务与伙伴项目形成互补。订阅用户可提前收到规范更新提醒,有机会与EMVCo进行定期正式的交流。

  随着全球EMV芯片卡的不断成长,EMVCo利益相关方的数量也随之增加,预计也会有越来越多的机构和组织参与伙伴项目。由于EMVCo持续发展全球统一的支付框架,产业的参与对EMVCo至关重要。随着EMVCo的业务拓展,支持不断发展的安全支付方式、技术和受理环境,广泛吸收和借鉴产业经验、专业知识将保障规范未来的升级和发展,满足全产业界参与各方的需求。

  作者系中国银联技术专家及EMVCo管委主席

  “金融IC卡技术与应用”微信公众平台:pbocer 在这里您可以及时了解金融IC卡技术与应用、招聘等信息。涉及PBOC/EMV卡片、芯片、ATM/POS、卡片应用、核心、前置等产业及应用从业人员的知识库、圈子。扫描以下二维码进入关注。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消