数字钱包已成为澳大利亚人支付的常规组成部分。澳大利亚的非接触式支付采用率位居全球前列,目前该国通过手机和可穿戴设备进行的轻触支付占比正在上升,而非实体卡支付。2024 年,澳大利亚共完成 40 亿笔数字钱包支付,总额达到 1600 亿澳元 (AUD)。
下面,我们将讨论数字钱包在澳大利亚的工作机制、哪些数字钱包安全功能可保护交易,以及接受钱包支付的商家需要了解的欺诈与责任问题。
本文内容
- 什么是数字钱包?
- 数字钱包在澳大利亚的运作机制
- 哪些数字钱包安全功能保护澳大利亚的交易?
- 澳大利亚常见的数字钱包安全隐患有哪些?
- 数字钱包支付如何保护澳大利亚企业?
- 澳大利亚企业在接受数字钱包支付前应了解哪些事项?
- Stripe Payments 如何提供帮助
什么是数字钱包?
数字钱包是一种存储支付信息的软件,使人们无需出示实体卡即可支付。在澳大利亚,使用最广泛的选项包括 Android 设备上的 Google Pay 和 Samsung Pay,以及 iPhone 和 Apple Watch 上的 Apple Pay。
数字钱包在澳大利亚的运作机制
从外部看,轻触支付过程似乎是即时的,但当客户使用手机购物时,背后会经历多个步骤。
数字钱包交易的运作机制如下:
卡片配置:当银行卡被添加到钱包应用时,钱包提供商会联系发卡行,发卡行验证客户身份,并在批准后生成一个设备专用令牌,称为设备主账号 (DPAN)。
身份验证:在任何付款完成之前,客户需在设备上通过其面部、指纹或个人识别码 (PIN) 进行身份验证。这种验证发生在设备本地;钱包提供商永远不会收到生物识别数据。
支付发起:当设备靠近支持近场通信 (NFC) 的终端时,钱包会发送 DPAN 以及一个一次性的加密令牌(即交易专用代码)。
网络处理:终端将令牌发送给收单行,收单行再将其传递到卡组织(如 Visa、Mastercard、销售点电子资金转账,即 eftpos)。卡组织将其路由到发卡行,发卡行验证加密凭证并据此批准或拒绝交易。
结算:结算的运作机制与标准银行卡交易相同。令牌在发卡行端映射回实际的银行卡账户,资金通过正常的清算流程流转。
哪些数字钱包安全功能保护澳大利亚的交易?
在数字钱包交易过程中,多个安全层同时运作。它们共同作用,使令牌化的钱包支付比标准银行卡交易更难被攻破。
以下是为数字钱包交易增加保护层的功能:
令牌化:由于 DPAN 针对特定设备,加密凭证针对特定交易,攻击者在传输过程中截获数据也无法获得任何可重复利用的信息。
设备认证:Face ID、Touch ID、指纹或 PIN 码意味着没有所有者授权时设备更难被使用。这发生在支付信号发送之前。
安全硬件:现代智能手机内置了防篡改芯片。该芯片存储 DPAN,并在与手机操作系统隔离的环境中处理加密凭证的生成。
NFC 范围限制:NFC 的有效通信距离仅有几厘米,这使得在实际环境中难以被动截获。
发卡行与卡组织层面的欺诈监控:澳大利亚的银行和卡组织会近乎实时 (NRT) 地监控交易,无论设备层面发生了什么,都可以拒绝交易或标记异常。
澳大利亚常见的数字钱包安全隐患有哪些?
数字钱包存在的漏洞既源于周边流程,也源于人为行为。
以下是需要了解的最主要安全隐患。
账户配置欺诈
当犯罪分子通过数据泄露、网络钓鱼或社会工程学获取他人的银行卡信息,并将该卡配置到自己的设备上时,生成的令牌从卡网络的角度来看是合法的。作为回应,澳大利亚银行已加强配置时的身份验证,但这仍然是一个值得关注的活跃风险领域。
设备丢失或被盗
如果手机未锁定,或者有人胁迫所有者进行身份验证,钱包就会被访问。但钱包提供商通常允许所有者远程禁用支付功能,而且令牌化结构意味着,即使有人使用该设备进行欺诈性交易,客户的真实卡号也不会被泄露。
针对配置的网络钓鱼
客户可能会收到伪造的银行通信,旨在捕获银行卡配置过程中使用的一次性验证码。通常,在这种情况下,钱包本身并未被攻破。这种攻击属于社会工程学,试图拦截验证步骤。
恶意应用
侧载或过时的应用可能会造成漏洞。安全元件架构限制了单个应用可能造成的损害,但如果用户从根本上破坏了设备的安全性,这并非完全的防御。用户必须保持操作系统的更新。
数字钱包支付如何保护澳大利亚企业?
数字钱包的安全架构以具体方式改变了企业面临的欺诈和争议风险。
以下将说明数字钱包支付如何保护澳大利亚企业。
责任转移
根据标准卡组织规则,当令牌化数字钱包交易中发生欺诈时,责任通常由发卡行而非商家承担,因为发卡行在配置时验证了令牌。在无卡交易 (CNP) 中,商家通常承担相应责任。
拒付抗辩
数字钱包交易带有强认证信号(如设备认证、加密令牌、发卡行验证),这使得持卡人更难成功争议其已授权的交易。这并不能完全消除拒付,但当商家对拒付提出抗辩时,它改变了证据格局。
终端无银行卡数据
在面对面结账时,终端接收的是令牌,而非主账号 (PAN)。原始银行卡数据不会通过硬件传输,也不存在实体卡被盗刷的风险。曾影响大型零售商的销售点 (POS) 系统被入侵的风险已大幅降低。
在线攻击面较小
对于在线收款的商家而言,数字钱包意味着客户无需在结账表单中输入卡号。钱包将令牌化凭证直接传递给支付服务商。这意味着传输中的数据更少、出错环节更少,且一旦出现问题,责任归属也更清晰。
澳大利亚企业在接受数字钱包支付前应了解哪些事项?
在您的商家正式启用数字钱包支付之前,有几点值得考虑。事先把这些事情处理好,可以避免后续的对账问题和客户支持纠纷。
Stripe Payments 如何提供帮助
Stripe Payments 提供一体化的全球支付解决方案,助力各类商家在线上、线下及全球范围内接受数字钱包支付。
Stripe Payments 可帮您:
优化结账体验:通过预构建支付用户界面、接入 100 多种支付方式(含十余种数字钱包支付方式)以及 Stripe 自建钱包 Link,打造无缝客户体验并节省数千工程师工时。
更快拓展新市场:覆盖全球客户,并通过跨境支付选项降低多币种管理的复杂性和成本,覆盖 195 个国家/地区、支持 135 种以上货币。
线下和线上付款一体化:轻松跟踪线上和线下渠道的数字钱包支付并进行对账。
优化支付性能:通过一系列可定制、易于配置的支付工具提升收入,包括无代码的欺诈保护功能与提高授权率的高级功能。
利用灵活、可靠的平台加速业务增长:选择一个专为随业务扩展而设计的平台,历史正常运行时间达 99.999%,可靠性在行业内首屈一指。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。