Apple Pay点火　Token揭行动支付新扉页

代码服务技术(Token)行动支付方案崭露头角。2014年9月，苹果(Apple)正式发表iPhone 6，并在iPhone 6内建行动支付系统--Apple Pay，其采用的就是“Token”代码服务技术。事实上，Apple Pay亦是市场上第一个以Token技术为基础的行动支付系统；而Apple Pay的问世，也象征着行动支付发展将揭开新的一页。
Visa总监陈志铭表示，行动支付系统目前可分为三种应用模式，分别为信托服务管理(Trust Service Manager, TSM)平台、主机卡模拟(Host Card Emulation, HCE)技术，以及最新的Token代码服务；目前以TSM交易方式最为普及，近来国内多个TSM平台也正如火如荼建置中，而HCE及Token代码服务则是较为新颖的行动支付方案。

陈志铭进一步分析，HCE是由Google所提出，它能允许Android装置上的NFC应用程式模拟晶片卡，让使用者能够以智慧型手机进行感应支付，不过帐户资料则是被发卡机构存放在云端平台上管理，如此一来不仅可以省却行动支付安全元件(Secure Element)及MicroSD或SIM卡的硬体设计，亦能简化商业模式，免除电信商的中介成本；不过，无论是TSM或是HCE模式，支付方式仍然属于卡片资讯的直接交换，伪卡与盗刷风险依然存在，于是便衍生了Token代码服务技术。

Token代码服务技术的原理是透过一连串虚拟的数位帐号，或是一组可被安全储存于行动装置内的“代码”，来代替传统信用卡上敏感的支付帐号资讯。当商家收到Token代码时，会以Token代码与发卡银行的系统沟通，待发卡银行将此Token代码还原成原来的使用者资讯，并且确认无误后，便会再转发一组可供商家请款的授权序号，确认付款成功。

值得注意的是，Token代码服务整个流程中并未涉及卡片资讯的交换。Token代码的产生与还原全在原发卡银行系统中进行，不会流通到商家，即使Token代码被窃取，也只是一串随机乱码，且只在特定时间内或对特定商家有效，降低信用卡资料被盗取的风险。

陈志铭指出，Token代码服务除了可确保使用者的卡片资讯安全外，亦能降低云端系统中拥有大笔消费者信用卡资讯的商家被骇客侵入并窃取资讯的疑虑。举例而言，苹果公司的iTunes、App Store存在着上亿笔信用卡帐号，其他拥有电子支付系统的公司亦然，若能将这些帐号都转化成Token代码存取在云端上，使信用卡帐号只保存于发卡银行而非流通在外，便能竖立起一堵坚实的资安壁垒。

如此一来，Token代码服务技术不仅能用于近端的行动支付，远端的电子商务交易，如网购、线上刷卡，同样能藉由Token代码服务保障交易安全性。

据悉，国际晶片卡标准化组织(EMVCo)是在2014年3月发布EMVCo Tokenization Specification v1.0标准，而发卡银行组织Visa亦已于2014年9月正式推出Token代码服务技术。Apple Pay就是市场上第一个基于Token代码服务技术的行动支付系统。