上個月金管會以超乎預期的速度公告手機信用卡安控規範將上路,同時開放可透過空中傳輸(Over the air)機制將信用卡晶片個人化資料傳輸至手機。銀行業者樂觀預估此項新業務可為銀行帶來數億元的營收。而日前銀行公會網站上已公開此份「手機信用卡業務安全控管作業基準」,有意申請的發卡機構可備妥資料向金管會提出申請。
開放行動支付後,與過去最大的差別為,過去是銀行業者將信用卡資料交給製卡公司後壓製成實體晶片信用卡,而今則是將資料交給TSM(Trusted Service Manager)服務平台,由TSM將申請者的個人信用卡資料透過空中傳輸機制寫到其手機的安全儲存媒介(Secure Element)中。此份安控基準就是規範發卡機構或電信業者在針對此安全儲存媒介進行信用卡個人化時該做好的安控作業。
其中手機信用卡的安控必須符合安全設計通則與特殊安全設計。前者包括訊息隱密性、訊息完整性、來源辨識性、不可重覆性及金鑰管理等五項。而特殊安全設計則定義包含安全儲存媒介、行動交易手機、空中傳輸及TSM服務平台等四大構面之安全要求。其中關於安全儲存媒介的硬體、作業系統、信用卡應用程式,以及手機信用卡操作介面軟體,安控基準均要求必須符合信用卡組織標準或依據信用卡組織規定設計。包括銀行業者所採用的TSM服務平台,也同樣必須是經信用卡組織認證及依其規範辦理,同時安控基準並定義TSM平台在金鑰管理、網路與系統、資料安全及實體環境安全方面必須具備的基本安全要求。
目前在兩大TSM陣營中,開南大學所使用的NFC TSM授信服務管理系統已符合Visa, MasterCard國際標準,實地審查預料近期完成。而中華電信的TSM平台則在2009年取得MasterCard認證。通過信用卡組織認證的安全儲存媒介或TSM均可上信用卡組織網站查詢。