安全支付确认（SPC）成为 W3C 候选推荐标准

阅读来自 W3C 会员的贺词

https://www.w3.org/ — 2023年6月15日 — W3C 今天宣布 Web 支付标准化的一项里程碑式进展：这项新的浏览器功能在简化用户身份验证流程的同时进一步提升 Web 支付的安全性。安全支付确认（Secure Payment Confirmation 简称 SPC）使得商户、银行、支付服务提供商、卡片网络和其他机构能够减少客户身份强认证（SCA）的摩擦，并生成用户授权的加密证据，这是监管要求的两个重要方面，例如欧洲的支付服务指令（Payment Services Directive 简称 PSD2）。

安全支付确认（SPC）成为 W3C 候选推荐标准意味着该特性已经稳定，并得到了广泛审查。在推进 SPC 成为正式推荐标准之前，W3C 将征集更多围绕该规范的实现。

满足日益增长的客户身份强认证需求

在过去15年里，电子商务在零售总额中的占比不断攀升。COVID-19疫情似乎加快了这种趋势。改善支付安全的同时以及其他多种因素也导致线上支付欺诈数量的增加。

为了打击线上支付欺诈，欧洲和其他司法辖区已经开始强制要求对某些支付类型进行多因素身份验证。虽然多因素身份验证减少了欺诈，但它也趋于增加支付摩擦，这可能导致放弃支付（如 Microsoft 商户在 PSD2 下使用 SCA 的体验）。

2019年，Web 支付工作组着手开发安全支付确认规范，以满足客户身份强认证的要求，同时减少支付摩擦。Stripe 早期对 SPC 进行了实验，并于2020年3月发布报告显示：与一次性密码（OTP）相比，SPC 认证将转化率提高了8%，同时支付速度提高了3倍。

W3C 继续通过实验收集关于安全支付确认的反馈，其中包括 Stripe 的第二个实验。Web 支付工作组预计今年9月之前获得更多的实验数据。

SPC 得益于业界合作

通过 Web 支付安全兴趣组，W3C、FIDO 联盟和 EMVCo 合作开发可互操作的技术规范以提升线上支付安全性。安全支付确认（SPC）正是这项合作的成果：它建立在 Web 身份验证规范之上，并得到 EMV® 3-D Secure（2.3版）和 EMV® Secure Remote Commerce（1.3版）的支持。参阅 Web 支付安全兴趣组发布的文档《EMVCo、FIDO 联盟、W3C 相关技术的联系与作用》了解更多细节。

安全支付确认不仅仅是针对卡片支付。Web 支付工作组定期探讨如何将 SPC 整合到其他支付生态系统中，如 Open Banking、PIX（巴西）以及专属支付流程。

工作组联合主席 Nick Telford-Reed 表示：“小组自2015年成立至今，我们的目标始终是让大家更容易地开展线上支付，同时提高支付安全性。安全支付确认意味着将首次有一种通用的方式，支持跨支付方式、平台、设备和浏览器进而对消费者进行身份验证，这些都建立在 W3C 支付请求规范以及与 FIDO 联盟和 EMVCo 合作的基础之上”。

安全支付确认现已开启

安全支付确认在 Web 身份验证之上添加了一个“用户授权层”。在交易过程中，安全支付确认提示用户通过由浏览器管理的“交易会话框”来授权同意支付条款；Chrome 对该会话框的实现如文中图片所示。交易细节由用户的 FIDO 认证器签名，银行或其他方可以加密确认验证结果，由此用户已经授权同意支付条款（PSD2 中称为“动态链接”的要求）。EMV® 3-D Secure 和其他协议可用于将验证结果传达给银行或其他方进行确认。

SPC 目前在 MacOS、Windows 和 Android 的 Chrome 以及 Edge 上可用。在 W3C 候选推荐标准阶段，Web 支付工作组将继续推动 SPC 在更多浏览器和环境中的部署。

关于万维网联盟

万维网联盟 （World Wide Web Consortium，简称 W3C）的使命是通过开发技术标准及实施指南，确保万维网的全球开放性、可访问性以及互操作性，从而尽展万维网无限潜能。W3C 众所周知的 HTML 与 CSS 标准是构建网站的核心技术。W3C 致力于确保所有基础 Web 技术，尤其在无障碍、国际化、安全与隐私领域，可以满足社会大众的需求。与此同时，在娱乐、通信、数字出版以及金融服务等领域，W3C 提供相应标准助力当代各行业利用 Web 加强基础建设。W3C 工作对公众开放，所有标准均依据 W3C 专利政策免费供公众使用。

W3C “同一个万维网（One Web）”的理念汇集了全球数十个行业领域400多家成员单位及数千名专业技术人员。W3C 是一个公益性非营利组织，实体在美国注册、由董事会监管、在全球拥有雇员。更多信息请见 https://www.w3.org。

新闻稿正文结束

媒体联系人

Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>      
+1.617.453.8943 (US, Eastern Time)

EMV® is a registered trademark in the U.S. and other countries and an unregistered trademark elsewhere. The EMV trademark is owned by EMVCo, LLC.

W3C Web 支付工作组发布安全支付确认（Secure Payment Confirmation）候选推荐标准，这是 Web 支付标准化的一项里程碑式进展，这项新的浏览器功能在简化用户身份验证流程的同时进一步提升 Web 支付的安全性。

安全支付确认（Secure Payment Confirmation 简称 SPC）使得商户、银行、支付服务提供商、卡片网络和其他机构能够减少客户身份强认证（SCA）的摩擦，并生成用户授权的加密证据，二者均是监管要求的重要方面，例如欧洲的支付服务指令（Payment Services Directive 简称 PSD2）。

W3C、FIDO 联盟和 EMVCo 合作开发可互操作的技术规范以提升线上支付安全性。安全支付确认（SPC）正是这项合作的成果：它建立在 Web 身份验证规范之上，并得到 EMV® 3-D Secure（2.3版）和 EMV® Secure Remote Commerce（1.3版）的支持。参阅 Web 支付安全兴趣组发布的文档《EMVCo、FIDO 联盟、W3C 相关技术的联系与作用》了解更多细节。

安全支付确认（SPC）成为 W3C 候选推荐标准意味着该特性已经稳定，并得到了广泛审查。在推进 SPC 成为正式推荐标准之前，W3C 将征集更多围绕该规范的实现。欢迎2023年8月1日前通过 GitHub 反馈对该规范文档的意见与建议。

更多内容，参见消息原文，以及 W3C 官方新闻稿（中文、英文）。

EMVCo、FIDO 联盟、万维网联盟（W3C）更新文档《How EMVCo, FIDO, and W3C Technologies Relate》，阐释了上述三个组织相关技术规范的核心功能，结合它们可以解决哪些问题以及潜在的优化工作。本次更新的重点是如何协同使用 EMV®3-D 安全（3DS）、FIDO 身份验证和 W3C 的安全支付确认（SPC）规范，以提高强身份验证流程中的隐私性、安全性和可用性。

2016年8月26日，W3C发布了于2016年6月举办了区块链技术研讨会（Blockchains and the Web Workshop）的总结报告。W3C 的 Doug Schepers 发布博客文章，介绍了研讨会取得的进展。
 

本次研讨会以识别随着区块链技术的发展和非金融领域的应用尝试，这些技术对支付以外的Web技术会产生什么影响？区块链技术会为Web带来何种新能力？已有的开放Web平台及浏览器是否需要增加新的能力来支持未来潜在的区块链应用？是否有某些特定技术已足够成熟，并可以进一步孵化新的Web标准化方向。此次研讨会上开展了大量有价值的讨论，并识别了下一步的工作方向。更多细节，欢迎参阅同时发布的研讨会报告（W3C Blockchains and the Web workshop report）。

基于此次研讨会的讨论，W3C已经开始在新设立的区块链社区组（Blockchain Community Group）中协调区块链相关的进一步讨论工作。区块链社区组主席来自亚洲（Youngwhan Lee），欧洲（Marta Piekarska）以及北美（Doug Schepers）地区。区块链社区组将于每周四进行例行电话会议，除此之外还将依据实际需要组织某一特定话题的电话会议技术讨论。
 

区块链由一系列广泛的跨领域技术组成，目前识别的两项主要任务包括：

1. 密切关注Web支付（Web Payments）、物联网(Internet of Things)等W3C各工作组的技术工作，保持对W3C内外相关应用领域工作进展的关注和了解，以期对其工作进行补充；

2. 提出基于区块链技术的Web应用的用例（usecases），识别从技术上可行与不可行的区块链应用。目前区块链研究及应用社区对于哪些应用恰当地使用了区块链技术并未形成共识，但对于区块链技术可以在哪些应用领域发挥作用已形成共同认识。寻找这些应用领域上的Web应用用例，是该社区组拟投入资源推进的工作。
 

新成立的区块链社区组（Blockchain CG）的目的，是在一定程度上协调其他相关社区组的工作，并致力于形成基于区块链的Web技术的社区组报告（CG Report）及其他可交付成果。该社区组会与在本次研讨会后成立的区块链数字资产社区组（Blockchain Digital Assets Community）紧密合作，同时积极参与已经十分活跃的跨账本支付社区组（Interledger Payments CG）的工作中。此外，CG还将与Web支付兴趣组的可验证声明特别任务小组（Verifiable Claims Task Force）协同工作。
 

区块链CG将于今年9月20日10:30-12:30，在葡萄牙里斯本举行的W3C 2016年度技术大会TPAC2016（Technical Plenary and Advisory Committee Meeting）期间组织非正式会议，并将于9月23日星期五的Web支付兴趣组（Web Payments Interests Group）面对面会议期间专题讨论；此外，跨账本支付社区组（Interledger Payments CG）也将于9月23日进行面对面会议。在TPAC会议之前，我们将提前发布Blockchain相关的会议日程。如果您计划参加Blockchain相关话题，欢迎加入W3C社区组或工作组，并于9月2日前进行参会注册。
 

在2016年9月TPAC2016会议期上的CG会议之后，区块链社区组将继续进行日常电话会议的讨论，开始起草相关文档，并设立以推出具体W3C推荐标准草案为目的的社区组，如在本次研讨会期间得到与会者广泛关注的Chainpoint规范（Chainpoint Specification）。
 

同时，我们也在考虑在美国西海岸地区组织第二届区块链技术研讨会，继续关注区块链的客户端技术，并继续推动在W3C标准化平台上推进区块链相关技术的讨论。我们希望在2016年年底前能够为推进W3C区块链技术的标准化奠定工作基础。同时，社区组也正进一步扩大工作范围，以期覆盖各种与区块链相关的标准计划，如与区块链数字资产社区组（Blockchain Digital Assets CG）等相关的特定社区组加强合作。期待更多对此感兴趣的个人以及组织加入W3C区块链社区组（Blockchain Community Group），实时了解相关动态及发展趋势。
 

更多内容，请参阅英文原文，研讨会通知、研讨会总结报告新闻稿及总结报告原文。

W3C庆应大学总部（W3C/Keio）在位于日本千叶县幕张展览中心（Mukuhari Messe, Chiba, Japan）的第23届东京InterOp大会（Tokyo InterOp 2016）上举行专题活动，纪念 W3C亚洲20周年。W3C/Keio的创始人、日本互联网之父、庆应义塾大学环境与信息学院院长 Jun Murai 教授主持了9日下午的主题演讲、Panel讨论及 9日晚上的庆祝酒会。在 Panel 讨论中，来自中、日、韩的Web技术专家共同探讨了亚洲互联网及Web发展态势、亚洲Web发展的特殊需求、未来Web发展的趋势方向及亚洲Web技术合作等问题。在庆祝酒会上，W3C北航总部受邀致辞。有近 400 人参加了此次纪念活动。
 

W3C也在今年InterOp的展会区域设置了专门的展台，集中展示了 W3C 的技术标准，及W3C日本会员在数字出版、物联万维网（WoT）、Web标牌（Web Signage）、Web MIDI、Web数据开放与管理等方面的技术进展和系统演示。
 

万维网联盟（W3C）成立于1994年。为了更好的在世界范围内促进 Web技术的进步和标准化，1996年W3C在日本庆应义塾大学设立了 W3C/Keio 总部，作为 W3C 在亚洲的主要机构。2006年4月，W3C在中国北京航空航天大学设立办事处，2013年升级为 W3C/Beihang 总部，与 W3C/Keio 共同推动 Web技术在亚洲的发展。目前，W3C除了在日本和中国设立的总部机构外，还在韩国、印度设立了办事处。这是W3C亚洲20周年及W3C中国10周年系列庆祝活动的开始，W3C还将在今年晚些时候在中国举行主题技术交流活动。
 

InterOp是世界范围内的信息技术展，每年在美国拉斯维加斯、印度孟买、日本东京（千叶）、英国伦敦，展示最新的计算、网络及通信技术。第23届东京Interop信息技术展于2016年6月8-10日在日本东京附近的千叶县幕张展览中心举行。

更多活动信息，请参阅 W3C Blog：CELEBRATING 20TH BIRTHDAY IN JAPAN – ASIA STRONG IN WEB STANDARDS。

W3C于上月在美国波士顿举行了2016年顾问委员会会议（AC 2016），这是最近几年规模最大的一次AC会议。在会议期间，W3C也向会员及公众发布了 W3C工作重点报告，阐述W3C的关注点。W3C的CEO Jeff Jaffe撰写博客文章，回顾了AC 2016的亮点，概要如下：
 

本次会议讨论了来自 Electronic Frontier Foundation 关于加密媒体扩展（EME，Encrypted Media Extension）规范的建议，详情请见 W3C关于EME标准化工作的信息。 
 

AC 2016的与会专家还热烈讨论了一个重要议题——什么是Web的下一个重大方向（What is the Next Big Thing for the Web）。每位与会者思考和他们认为重要的下一个Web技术热点，并通过一个在线投票系统表达了观点。在投票中，得票最多的几个方向分别是：Web安全、Web支付、物联万维网（Web of Things），以及Web核心平台（HTML、CSS等）。这些方向也映射到 W3C目前非常活跃的工作组。进一步信息，请参阅近期关于安全、支付、WoT相关的博客文章，以及Web 平台工作组联合主席关于下一阶段Web核心平台演进方向的博客文章。 
 

会议上的其他热点包括：

－会议利用半天时间，重点研讨了Web与相关产业如何互相牵引，使Web展现更多潜力。来自主要相关产业领域的嘉宾提出了一系列建议，希望让Web技术能更适用于相关产业领域。具体内容请参见 电信领域、Web支付、物联万维网（WoT）、数字出版、汽车与娱乐等相关的讨论内容。 

－在会议的午餐期间，我们设置了10个BOF（临时话题论坛）环节，将团队成员及感兴趣的AC代表聚集在一起就新兴方向进行研讨，这些讨论话题包括数字营销（Digital Marketing）、公司管理层可能关心的Web技术，以及最近引起产业界巨大关注的区块链（block chain）技术。

－会议利用一个下午重点讨论了已开展标准技术研究的进展，以及支撑标准研发的新兴工具。Nigel Megitt 的视频演讲介绍了W3C是如何首次赢得艾美奖，引起与会者的广泛兴趣。

－会议特别邀请了密码学和信息安全领域的著名教授，哈佛大学的Bruce Scheneier，做了题为“世界尺度的Web（The World Sized Web）”的主题报告，报告阐述了物联网对全球基础设施及Web技术带来的新的挑战，以及我们应对挑战所需的安全观，并重点关注在我们如何增强全球尺度基础设施的安全。
 

Jeff Jaffe的博客文章原文，请参见 W3C Blog: W3C Highlights and Advisory Committee Meeting。更多关于本届AC会议的详情，可进一步参阅会议指南，会员参会情况，及W3C重点工作报告（2016年3月）。 

W3C的Ian Jacobs在W3C官方博客撰文，总结了2015年11月2日在日本东京举行的W3C Web支付研讨会（Tokyo Web Payments Seminar）的会议情况。此次研讨会是紧随10月底在日本札幌举行的W3C TPAC 2015举行的，共有各界技术专家70余人参加了此次研讨会，重点讨论了W3C的Web支付（Web Payments）标准计划的进展及未来规划。本次会议的大部分与会者来自日本Web支付生态系统的乐天（Rakuten）, 雅虎日本（Yahoo Japan）, NTT数据（NTT Data）, ACCESS, DDS, ookami, NEC, Mitsubishi UFJ Financial Group, 软银（Softbank）, 索尼（Sony）, NTT Communications, METI, Kyocera, NTT Comware, 富士（Fujitsu）, 东芝（Toshiba）, So-net, NTT, Canton Consulting, SD Association, 卡西欧（Casio）, Daikanyama RED, KDDI, Sumitomo Mitsui Banking Corporation, Hightech Explore, 日本银行（Bank of Japan）, TMI, 日本国家零售商协会（National Association of Convenience Stores，NACS）, Ripple Labs, Monex, 以及KDDI Engineering等机构。庆应大学（Keio University）承办了本次会议。

W3C技术团队及会员们在会上分项了W3C与支付相关的工作进展。庆应大学的 Jun Murai 教授以及W3C的CEO Jeff Jaffe博士欢迎与会代表共同参与W3C的Web支付相关工作。Web支付标准计划负责人 Ian Jacobs 介绍了W3C Web支付工作组成立以来所开展的工作（详情请参阅具体报告），以及Web支付兴趣组正在寻找的其他 Web支付标准化需求。Ripple公司的 Adrian Hope-Bailie在会上介绍了用于跨越不同支付系统的支付协议 Interledger Protocol （ILP）（PDF）。该协议正在 Interledger Payments兴趣组中进行讨论。CANTON咨询公司的 Jean-Yves Rossi 分享了欧盟在 Web支付方面的思考（European perspective on Payments），包括欧盟即将制定的与支付相关的法规，以及ISO20022对相关产业界的重要性。Jeff Jaffe, Adrian Hope-Bailie, Jean-Yves Rossi, 以及 David Ezell (NACS) 还共同回答了与会者的提问。

我们希望此次活动及其他类似的努力，能够确保W3C的支付标准计划所制订的 Web支付相关技术标准真实反映全球相关产业链成员的真正需求，以及不同区域的特殊要求。更多内容，请参阅W3C的Web支付标准计划（Web Payments Activity）。 

W3C的 Stéphane Boyera 在W3C官方博客上发文，总结了在TPAC 2014上举行的Web支付兴趣组（Web Payments Interest Group）会议中提出的未来电子支付领域重点工作计划。

2014年是W3C的支付年，2014年3月我们在法国巴黎举行了Web支付研讨会（Workshop on Web Payment），形成了共识，并建立了Web支付兴趣组作为开展这一工作的指导委员会。同时，W3C也在2014年10月宣布正式启动Web支付标准计划（Web Payments Activity）。在W3C TPAC 2014上，Web支付兴趣组举行了历时两天的工作会议，有超过50名技术专家及兴趣组成员参加了此次会议。

本次会议汇聚了电子支付产业链条的众多合作伙伴代表，包括电信（Orange, Verizon, AT&T, Deutsche Telekom等）、浏览器开发商（Opera等）、大零售商（NACS, Walmart等）、互联网安全及支付厂商（Paypal, Verisign, Intel等）、金融（Gemalto、Bloomberg等）、银行（Rabobank, World Bank等）、政府监管部门（US Federal Reserve/美联储等），及在该领域活跃的新兴创业企业代表。

在技术方面，会议讨论了ISO、X9及其他标准化组织已开展的与电子支付有关的各项工作，以及W3C中与支付相关的工作组（如Web加密工作组、近场通讯工作组、系统应用工作组等）及社区组（如Web支付社区组、信任证社区组/Credential CG）的工作，及近期关于信任和许可的相关研讨会取得的进展。讨论将当前的工作重点聚焦到电子钱包（wallet），即支付代理（payment agent）上。兴趣组讨论了已有的众多支付解决方案，并希望开发一个电子钱包的通用框架，以支持在线及（在便利店终端的）现场支付场景，同时支持这一过程中的安全，包括通过支持令牌支付（tokenized payment）及基于推送的支付（push based payment），以增强信用卡Web支付的安全。推送支付是指由用户发起支付过程，商户将账单发送给用户，并由用户将账单连同支付信息转发给支付系统，并向商户推送信息完成支付的过程，这不同于传统的类似SET协议的支付过程，后者由商户作为中转，由商户向支付系统发起请求完成支付。与会者也共同认为，有必要对用于支付的信用卡信息交互过程制定开放标准，在这一过程中，用于管理信用卡信息、用户身份信息及信任证的安全存储成为关键需求。最后，工作组对支付过程中的隐私保护进行了讨论。用户应当能够控制自己信息的传播范围，但同时也应满足监管及反欺诈所需的基本信息披露要求。

兴趣组会议决定设立两个特别任务组：

- 第一个任务组自底向上的梳理电子支付的应用场景及要解决的技术问题，开发电子钱包（wallet）的通用体系架构所需的需求文档、设计原则及用例。同时，该任务组也将审阅W3C及其他相关标准化组织已开展的应用场景工作，如X9面向ISO 12812规范所整理的用例等。

- 第二个任务组将更多采用自顶向下的方式开展工作，基于会议讨论，提出一个电子钱包的体系结构。

我们希望能够加速这一过程，并在2015年第一季度兴趣组下次工作会议前形成方案并提交讨论。

更多信息，请参阅 Stéphane Boyera 的博客文章：W3C Blog: Payment Industry Priorities: Meeting Summary of Web Payments IG。 更多博客文章，请参阅W3C Blog（中文）。欢迎您使用W3C官方博客及W3C中国网站参与互动讨论。