觀點

電子商務刷卡安全嗎?

2010 / 04 / 30
魏紜鈴
電子商務刷卡安全嗎?

根據資策會2010年台灣線上購物市場發展調查,產業分析師劉楚慧認為,目前線上購物經營困難點最主要在於消費者的比價行為增加及廠商以薄利多銷方式搶佔市場,雖然營收增加但其實獲利減少。網路詐騙事件頻傳也造成消費者對網路交易安全產生不信任感,電子商務安全議題已成為經營網購的主要難題。目前顧客付款行為最常使用的方式仍是信用卡線上刷卡全額支付(28.3%),實體ATM轉帳(22.4%)與貨到付款(12.9%)。劉楚慧分析,若購物網站廠商持續未替現有購物平台的安全把關完善,消費者在信心喪失之下會趨向改以超商取貨付款,屆時若整體性的付費行為連動改變,又會產生什麼效應?而各業者為此採取了哪些加強措施?

 

台灣電子商務與信用卡使用現況

消費者使用信用卡消費的歷史可以回溯十多年前,推行之初並非像如今這樣蓬勃,隨著時間和電子商務的生態成熟,導致消費模式移轉到網路空間,信用卡消費逐漸變成如今消費者慣用的付費方式。由於台灣地狹人稠,處處皆是方便的商機,照理而言電子商務所提供「遠距離卻能輕鬆購物」的誘因並非如此直接,但可以確定的是在物流產業成熟與電子商務低價策略奏效的交互影響下,台灣電子商務發展,已成功搶佔實體店面通路業績。

 

目前在全球華人地區協助旅館推行網路訂房電子商務及系統佔有率最高,提供休閒觀光相關產業非常成熟的旭海國際科技集團,以自建平台協助各旅館架構線上訂房系統,旭海總經理賴佳維分析,線上信用卡付款隨著電子商務成熟逐漸佔大比例,但3年前受制於金融風暴影響,銀行業者也在同一時間停止信用卡友中持有呆帳的卡友權限,在大舉肅清之際銀行業者亦提供ATM轉帳付款服務。銀行做出此方案的考量,除了包括金融風暴影響也是為了減低呆帳的風險機率,另外還因據統計資料顯現,每多一種付款機制,便能會使網購業者多增加6~7%的營業額,因此無論是對銀行端或網購業者皆有利。

 

除了ATM轉帳付款,如今還有一種付款方式是超商付款。超商付款有兩種,一種是超商取貨付款,這種機制對網購平台業者較無疑慮;另外一種是超商代收付款。Yahoo!奇摩電子商務營運管理部資深總監楊明芳說:「大約在五、六年前,超商代收付款進帳並不成熟,平台業者需要兩三天後才可以知道款項進帳,會因而延遲商品的出貨進度造成消費者的抱怨。直到兩三年前,超商付款的進帳速度可以在20分鐘內就知道錢已經進帳了。」但畢竟超商代收付款有上限在2萬元,加上商品體積的限制,所以超商付款仍有其限制在。

 

線上購物付款機制說明

線上購物付款機制簡言之,就是提供完整及多元化的付款工具,方便消費者在網路商店購物結帳時,使用自己覺得較安心的付款工具進行扣款。而網路商店透過線上購物付款機制,便能在虛擬的購物環境收到消費者支付的款項。付款方式可歸納為兩種:

1.線上付款(消費者網購時便能即時扣款,如:信用卡、 

   WebATM金融卡、銀聯卡、PayPal)

2.離線付款(消費者網購產生訂單後,再透過非網路環境扣款

   進行銷帳,如:虛擬帳號、超商付款、ibon付款等)

 

線上購物付款機制的提供者可為銀行、線上交易機制系統業者(金流平台業者)、網購平台業者(如Yahoo!奇摩),最重要的是提供者必須讓消費者能夠在安全無虞的虛擬環境下支付款項,如此網路上的商店才能取得商機。

 

各單位提供付款機制的方式

一間網路商店想要申請線上付款機制,可以自己向銀行申請或與金流業者合作,再者就是直接在網購平台上開設網路店面。自己向銀行申請者,銀行對網路商店的徵選條件,目前約20萬。經濟部商業司網路信賴付款機制合格廠商綠界科技總經理王建民透露,過去原本銀行對網路商店的要求資本額滿5百萬以上,很多網路業者剛開始並沒有這麼多資本額,因此才需要透過金流業者的輔導以代收累積交易量再申請網路商店,直到2007年這樣的模式面臨到網路商店惡性倒閉或盜刷商店不肯認賠,交易糾紛出現而被金管會關注此問題認為風險高,下令銀行停止代收業務。2007年到2009年間,金流業者與銀行協調降低遴選標準,將資本額的要求降低至20萬但有保證金的質押。

 

事實上銀行並不積極直接與網路商店合作,原因是國內收單銀行不多,網路收單對銀行雖有利但實際上的交易量又不至於需要投入大量人力協助每個商店做技術串間。尤其很多剛起步的網路商店沒有技術能力,要申請線上付款又要給予技術支援,對銀行來說是沉重的負擔。王建民說:「雖然金管會出手後,讓原本商店可以直接向銀行申請,但由於規模小的網路商店效益低風險高,所以才會有金流平台業者提供的技術支援服務和開店系統模組,協助商店透過系統將資訊流到銀行端。」

 

綠界科技總經理秘書林芷瑜分析,商家若獨自申請找銀行端只能申請線上刷卡,還要再串系統,而且會面臨到不同收單單位的後台與不同收單模式的維護,這是非常吃力的。甚至便利商店通路也不想面對小型商店的客戶,因為這些客戶沒有技術支援未必安全。

 

除此之外,網購平台業者也有提供類似的服務。目前Yahoo!有「超級商城」、「購物中心」和「拍賣」三個平台,其中「超級商城」為可以讓店家在網路上開店的平台。

 

線上購物付款行為改變

據資策會調查數據顯示,顧客付款行為最常使用的方式仍是信用卡線上刷卡全額支付(28.3%),實體ATM轉帳(22.4%)與貨到付款(12.9%)。後二者比例有增加趨勢,消費者對線上刷卡安全產生疑慮,而令消費者付款行為之所以改變,除了信心喪失以外,還有其他原因嗎?付款行為的改變又會影響到誰?

 

刷卡比例減少不代表不安全

多方認為信用卡刷卡比例下降存在很多原因未必就是因為線上刷卡不安全造成。銀行業者認為,現在還有許多學生族群因為沒有持卡身分無法在網路上刷卡,超商付現就是一個適合他們的付款模式,銀行業者說:「除非是附卡,依金管會的規定是無法對大學生發信用卡。」所以超商付現比例增加,未必就一定是網購不安全所造成。而根據資策會報告顯示,主要網購族群的年齡層,未滿20歲族群有7.2%,由此比例看來,不算少數。

 

刷卡比例減少不影響營業額

「會收做生意的人不是師父,會收錢的才是師父。」賴佳維從在商言商的角度分析,目前已經有很多樣化的付款機制,所以實體卡才容易被凍。他認為整體營收成長與消費行為的改變在網購業不會有直接關聯,因為線上刷卡消費行為的改變未必是線上刷卡消費不安全,而是新增了付款機制而導致消費者行為佔比數的變動。他說:「舉例來說,去年的營業額是10億,百分之百是透過信用卡消費付款,而在今年的網購平台上因為推出新的付款機制使得營業額上升至10.6.,其中多出來的0.6億就是透過新增付款機制所帶來的業績,但從消費行為的比例看來,信用卡消費付款的比例確實有降低。」

 

銀行業者表示,不擔心會有這樣的趨勢發生,因為他們已經預估到,信用卡消費已經是台灣人慣用的消費習慣和趨勢。楊明芳說,平台業者每年都會和銀行端談判,同樣的機制轉移到超商付現與ATM也是相同的道理,所以不會直接影響消費行為的改變。而對於金流業者而言也沒有太大影響,台灣里總經理王俊貴認為,金流業者大多能提供多元的付款工具,若消費者對線上刷卡的安全有疑慮,仍然可以選擇其他認為較安全的付款方式,反而是對不能提供多樣化安全付款機制的網購平台業者而言,才有所影響。

 

線上刷卡是最安全的?

由於國際發卡組織會針對消費者的消費安全制約銀行,而銀行端再對平台業者在安全上有嚴格要求。銀行業者說:「發卡銀行會對網構平台業者有嚴格要求,所以才有國際發卡組織3D驗證和消費者在線上購物時的OTP(OTP,One Time Password),另外銀行對網購平台有1季1次的定期檢核報告和1年1次的現場檢核,平台在防火牆與系統安全的維護,保障不會被外界入侵和 不被內部人員所盜,種種措施都是善盡保護持卡人資料的義務。」王建民認為,網路上雖然威脅很多但由於用信用卡消費都會有記錄,有紀錄就有保障,交易最安全的支付方式還是信用卡。若消費者不幸發生信用卡盜刷情形,楊明芳說:「消費者否認交易就即可,透過舉證責任機制並配合檢討物流業者的品質,銀行會讓業者吸收。」

 

安全如何把關

由於線上購物流程串連多個單位,每個單位如何在安全把關,便需要層層檢視。

 

對金流業者而言,王建民說,付款閘道安控上至少做到主機有防木馬程式入侵防火牆與SSL加密金鑰來確保授權資料傳遞的安全,另外在訂單管理資料庫是採分層檔案加密,個資與卡號資料是分開,駭客即使取得任一部份資料也難以重組。但王俊貴認為,金流業者中最容易出問題的不是在技術上,而是在於業務招攬上。網路商店經營者良莠不齊,若只為業績成長沒有進行確實的審核,徒增消費者損失。他說:「網購個資外洩的主因大多出自於系統維護人員監守自盜,因此除了系統維護人員的操守之外,網購資料的分層儲存,及管理人員的權限劃分,這都是為了避免人類的貪婪行為而造成問題。」

 

賴佳維認為,一個好的金流業者或是平台業者應提供客戶的後台機制是寫在https中,並且降低交易雙方糾紛,取得雙方合作信任,採取此作法更能取得客戶的信賴。若遇到網購業者不提供記錄查證的問題,也只能透過公部門第三方施壓,相關主管機關訂定定型化契約,規範保障交易行為。

 

從平台端而言,網購平台業者的付款系統若無定期做PCI安全檢核,則很容易將消費者的交易資訊外洩,一旦外洩將造成業者商譽受損,並造成消費者資料被盜用,進而影響消費者上網購物的意願。除保障消費者帳號安全,有增設安全憑證與每一分鐘都會變更帳號密碼的機制來保護交易流程的安全,在購物中心和超級商城原則上都是公司模組經營,安全把關會和店家有較密切的合約規範,楊明芳說:「只要是消費者願意接受的付款方式而且是很順暢的,平台業者相對中立都願意主動提供,當然也必須提供交易上的安全保障。大型賣家通常不會拿自己的商譽做賭注,因此在平台提供安全機制上都滿願意配合,平台也站在鼓勵的立場提醒店家加強防駭掃毒換密碼,甚至店家若有疑慮也會派工程師前往解決問題。」但不可否認的隱憂是拍賣平台,楊明芳說:「過去C2C拍賣交易與金流是分開的,但Yahoo!奇摩輕鬆付機制將兩者串連,使用虛擬帳戶,讓買賣雙方都有個障。而拍賣平台有提供輕鬆付保障方案,當買賣雙方出現詐欺盜刷等爭議,只要消費金額在5萬元內且符合平台的交易規範,相關的保障付款和補償機制會由平台業者吸收,消費者可獲補償不致損失。至於向賣家強制推行安全機制有困難度,原因是C2C平台與賣家間沒有合約關係店家有選擇性,若強推安全機制就容易有反彈聲音。」 

 

多數網購平台業者的CRM也有一定的程度能夠分析到客戶的交易行為模式來進行防偽交易的發生,銀行業者說,在會員資料控管、異常交易金額、同張卡在同一天交易多次、金額和時間習慣上的改變、同業聯防等,透過上述狀況檢視異常交易行為,這類都被銀行端列為拒絕交易名單提供給網購業者,如果真的發生偽交易糾紛,會依事前制約訂定在合約中的權責歸屬處理。

 

層層關卡沒有人敢說百分之百沒問題,但透過人、制度和資安維護,並且以經驗值互相參考,是銀行與網平台購業者在會員資料的控管與異常交易金額的應變機制。消費者選擇刷卡付款若發生盜刷卡友可以循著交易紀錄拒絕付款,由於過去信用卡僅有卡號和銀行到期日,現在增加3DSSL加密的概念是多增設持卡者設定的密碼只有自己知道,一般偽卡難以通過,對消費者而言是最保護消費者行為的付款方式。

 

為什麼仍有安全問題產生?

資料到底怎麼洩漏出去的?由於整個購物流程複雜,真正要找,很難知道是誰。

 

除了上述線上購物流程時串連單位所做的資安防制之外,仍然有許多安全上的疑慮值得進一步檢視。若是自己架設網路商店的店家或是委託不良金流業者架站,王建民提出open source的漏洞疑慮,他說:「類似像OSC開放源碼電子商務開店系統,2002年開始就沒有再update,負責寫的team早就解散,去年換一組人馬再重組,市面上系統提供業者有多少真正是從系統研發背景出身?一個真正很好的公司,在安控上的投資應該在包括人員培訓上就要投入很大的心血,要用open source就應該把該做好的安全做好,所以最重要還是使用者的使用觀念問題。」

 

如何為安全加分

根據資策會的調查發現,有多達41%的網友擔心網購遭到詐騙;另外,憂心無法確定線上商品狀況的網友,也達到32%之多。民眾的疑慮,顯示線上交易的安全性與可靠性,仍潛藏諸多危機。事實上,不僅是買家擔心受騙,就連網路賣家也同樣抱持著忐忑心情,冒著惡意退貨與偽卡交易的風險。於是因為少數的破壞者,演變成大多數安份守己的商家與消費者均對網路交易又愛又怕,基於瞭解此不良之循環將嚴重阻礙網路電子商務的發展,交易履約保障機制便是在建立如何保障買方及賣方的權益。

 

建議消費者,一般中小型網站很難做到完善聯防機制,盜刷率較高,所以在網購時慎選有提供安全保障的店家消費。

 

對於想要在網路開店的商家而言,建議選擇信譽良好和能夠提供網購安全環境的網購平台業者或金流業者,並且能夠有以下兩種服務付款機制,不僅保護客戶也保護商家自身商譽。

 

交易履約保障

網路產物被廣泛運用在商業上後,網路購物成為無法抵擋的趨勢,虛擬的交易環境亦很快成為不肖業者的最愛,利用網路交易欺騙消費者的案件時有所聞,惡質消費者在交易後拒收產品,徒增商家損失。若買賣雙方透過公正第三方確認彼此金額與貨品皆能確定取得,可減低犯罪行為發生的機率。因此經濟部商業司特別在B2CC2C的市場規劃出系統安全上與網購個資的分層儲存及管理人員的權限劃分,讓提供交易履約保障的業者扮演中間的公正第三者的角色,保障買方購物後一定可以取得交易所約定的商品與服務,並享有一定天數的鑑賞期;同時也保障賣方出貨後,在買方同意收貨時一定可以收到款項,不會承受否認交易的風險損失。

 

SSL加密金鑰

SSL加密金鑰能在ClientServer連線時,憑證內的公開金鑰確認身份且資料傳輸的過程都在加密機制中運作,從EC發展角度觀之若要金流穩定健全和適度開放需靠政府的協助,以現行SSL金鑰成本的進入門檻太高現況小型店家難以負荷。王建民建議這項工程政府應跳出來主導,如今政府所推的自然人憑證技術比起SSL相對難上許多,若每個店家都能在SSL保障下運作,相信整體網路市場的安全會大幅度的改善。他說:「國際組織本來就沒規定收款方不能是個人端,是在台灣銀行的規範下才一定要有公司行號。若每人全都用信用卡交易就回歸到國際交易的標準機制,買賣雙方在3D驗證保障下也沒有風險,而PayPal機制就是建構在第三方付款的概念之下。」