在支付卡數據加密方面，信用卡支付巨頭Visa公司已經走在了美國支付卡行業安全標準委員會的前面。今年7月，Visa發布了自己的標記化（Tokenization）和主賬號截斷（PAN Truncation）***實踐指南。這份指南詳細闡述了標記化技術，而對于主賬號截斷只是一筆帶過。但我們認為，主賬號截斷將有益于解決重要的支付卡行業數據安全標準（Payment Card Industry Data Security Standard，PCI DSS）合規性問題的另一面：取消商戶對主賬號的存儲。

就其本意而言，截斷（Truncation）是指簡單地將某物從整體上截掉一部分而使其變得比原來短的行為。對信用卡號碼來說，截斷是指截掉整個主賬號（Primary Account Number，PAN）或壓制在信用卡上的16位卡號的一部分。實際上，主賬號截斷通常是通過賬號屏蔽實現的，即使用諸如“X”或“*”這樣的字符替代部分真正的信用卡號碼。例如，在收條、顯示器和報告中，信用卡號碼就是這樣處理的。

一般情況下，主賬號截斷將屏蔽信用卡號碼的前12位數字，只留下***4位數字是可見和可讀的。在現實生活中，我們大多數人都遇到過主賬號截斷。例如，在商戶提供給我們的收條中，信用卡號碼***四位的前面是一連串的“X”或“*”，這就是主賬號截斷。

對于PCI DSS合規來說，主賬號的截斷和屏蔽不是一個新概念。幾年前，PCI DSS標準的要求3.3（顯示主賬號時要采取屏蔽措施）和要求3.4的條款之一（提交主賬號時至少保證主賬號不可讀）已經對截斷和屏蔽做出了強制要求。那么，Visa為什么現在發布主賬號截斷***實踐指南呢？該指南對商戶及其收單行有什么影響呢（如果有的話）？

這一問題的關鍵不在于主賬號截斷/屏蔽是不是一個好辦法。毫無疑問，主賬號截斷/屏蔽當然是一個好辦法，而且還是PCI DSS明確要求的。然而，存儲經過截斷處理的賬號信息是否會對商戶解決糾紛的能力造成不利影響，這才是問題的關鍵所在。對于商戶來說，在接受信用卡支付時，解決糾紛可能是商戶最為關心的事情。其原因在于退單（退單是指信用卡持卡人要求其信用卡公司撤銷已獲批準的交易，該持卡人可能因退單而獲得退款——譯者注）可能給商戶造成損失。

對大多數信用卡來說，持卡人對信用卡丟失后未經授權的消費最多承擔50美元的賠償責任。也就是說，如果竊賊盜取了持卡人的信用卡，則持卡人不需要承擔竊賊使用信用卡產生的費用。但這筆費用仍然要有人支付。那如何決定誰來支付這筆費用呢？在實踐中，舉證的責任是由商戶承擔的。商戶要保存并能夠提供詳盡的交易記錄（例如已簽名的授權書），以順利解決糾紛。當發生糾紛時，發卡行將會向商戶提出一個“副本請求”，要求商戶提供其產品或服務的原始收據。如果商戶不能響應該“副本請求”（即不能及時提供原始銷售收據），則該筆交易將自動被作為退單處理。

那么，經過截斷處理或標記化的主賬號與解決糾紛有什么關系呢？事實上，二者之間存在著相當大的關系。到目前為止，許多商戶仍然認為，他們需要存儲完整的主賬號，從而能夠解決糾紛并在發生退單之前及時響應發卡行的“副本請求”，因為發卡行是這樣要求的。一些傳統的糾紛解決實踐（以及傳統的收單系統）要求完整的主賬號，以便收單行或商戶能夠查詢特定的交易記錄。商戶對這一問題看法是：保留完整的主賬號可能避免退單，而截斷主賬號則可能造成損失。

主賬號截斷***實踐指南詳細說明了在處理信用卡號碼時，商戶應該如何決定保留哪些信息、截斷哪些信息。與此同時，該指南也向收單行和發卡行提出了新的要求：應該按照指南的要求支持商戶截斷主賬號。例如，不要求商戶保留主賬號以解決糾紛；向商戶提供替代的標示符以在收單系統中查詢交易記錄；不要求商戶在后端的報告或通訊中包含主賬號。在某些情況下，這可能需要修改收單行的處理流程或商戶支持應用程序。但是，由于收單行最終要對其支持的商戶的信用卡支付系統的合規性狀況負責。因此，從長遠來看，收單行改進支付系統的投資終究會得到回報。

那么，主賬號截斷***實踐給商戶和收單行帶來了什么樣的影響呢？從商戶的角度來看，主賬號截斷不是要顛覆現有的收單系統。主賬號截斷仍然只是一種可行的、符合PCI DSS要求的替代方案。然而，對于由于其收單行要求保留主賬號而不能采用主賬號截斷的商戶來說，主賬號截斷***實踐指南的發布應該是一個良好的契機，藉此實行改造，建設更安全的支付環境。對于收單行來說，該指南是一個行動的號角：通過不要求商戶保留主賬號，幫助您的商戶在支付環境中消除主賬號的存儲。

【編輯推薦】

1. IronPort幫助零售商符合支付卡行業標準
2. 由PCI保障持卡人數據安全看國內支付安全