信用卡標記化支付技術
此迷你系列文章為有需求實現支付卡行業合規的商戶提供向導,這篇文章是其中的一篇。在這部分,我們會介紹實現信用卡標記化的方法和實現支付卡行業合規審計的可選解決方案
如果你還沒有讀前一篇關于支付卡行業合規的文章,我們推薦你先讀上一篇文章支付卡行業合規(PCI),因為它是理解這篇文章內容的前提。
1 信用卡標記化概念
標記化的原理是由支付網關和支付處理系統代理存儲信用卡,而不是在特定的業務系統中存儲,例如:網站、在線存儲或者CRM等。標記化的目的是商戶不需要存儲信用卡號也能進行二次支付。為了達到這個目標,需要由標記替換信用卡號,在這種情況下,商戶存儲標記而不是信用卡號。
通常來講,實現標記化有兩種主流方法。
2 實現信用卡標記化的方法
從概念上來講,實現信用卡標價化的方法分為純標記化和測寫兩種。
純標記化
在純標記化的方法中,僅僅信用卡號(銀行卡號)需要標記化。然而,如果有必要,ACH使用的路由碼(標志銀行分支的代號)、社會保險號、甚至駕照號也能進行標記化。簡單來說,每個敏感字段都需要進行標記化(挨個的標記化)。
當發起一個信用卡處理請求(二次支付過程中),處理過程中使用標記而不是信用卡,實現了商戶不需要存儲信用卡信息的目的。
測寫
實現信用卡標記化的第二種方法更精致、更詳細,它涉及到維護完全的或者部分的用戶畫像。
與純標記化不同的是,這種方法需要維護支付信息,包括:賬單地址、發貨地址等(依賴于業務系統的需要),這些信息存儲在用戶畫像中(包括信用卡號)。當處理一筆交易的時候,發送畫像ID,而不需要任何其他字段,服務器端需要根據ID拉取客戶畫像信息,這也包括信用卡號。
一些支付系統使用客戶畫像的變種,在這種實現中,并不使用畫像ID,而是使用歷史交易的ID從歷史交易中獲得缺少的信息,例如:信用卡號等。
在處理二次支付的時候,畫像ID(或者歷史交易ID)取代了信用卡號,因此,實現了商戶不再存儲信用卡號的目的。
***種方法的優點是業務系統不需要存儲單獨的用戶畫像,而僅僅需要一個數字token替換信用卡號。第二種方法的的優點是更多的信息可以存儲在商戶系統外。***,如果商戶基本的前端系統不想存儲支付信息(例如:郵編等),它可以依賴標記化提供者存儲這些信息,這對商戶可能是更方便的。然而,在這個方法中假設商戶負責保持用戶畫像的時效性。
現在我們來看一下最通用實現信用卡標記化的方式。
3 通過設備實現信用卡標記化
通過設備實現標記化通常是用來實現上面描述的純標記化方法。
設備是硬件(用于加解密信用卡號)和PA-DSS合規的軟件(用于存儲加密值和產生標記)的結合。硬件設備通常是主板上的一個芯片或者一個PCI插卡。設備(包括軟硬件)運行在商戶的本地網絡上。
硬件、設備解決方案不排除對PCI合規證書的需求,但是它確實較少了合規的范圍,并且簡化了PCI審計流程。因為信用卡信息的存儲是由PA-DSS合規軟件實現的。
對于具有較大交易量的商戶,這些商戶已經具有能夠發布設備的PCI環境的能力,通過設備實現信用卡標記化是最理想的。
4 信用卡標記化作為服務
另外一種方法是標記化服務托管,商戶使用第三方提供的服務代理存儲信用卡信息,取代將合規設備運行在自己的網絡內。在這種情況下,商戶必須使用一些形式的API來產生token。
在信用卡標記化作為服務的方法中,概念上有3個的不同方法,區別很小,但是很重要,值得詳細說明:
處理器集成的標記化
標記化是支付處理系統集成的一個服務。優點是商戶僅僅需要與一方打交道就能處理信用卡標記化流程。為了處理一個交易,沒有必要反標記化信用卡信息(甚至不需要接觸實際的卡號,因為卡號是由下層的支付處理系統存儲的)。如果商戶已經獲得了一個標記,當處理支付的時候,商戶簡單的傳遞標記給支付處理系統,然后支付處理系統會找到相關的信用卡號。在這個方法中,如果切換到另外一個支付處理系統將導致有成本的數據提取和遷移。數據提取的費用有的時候是昂貴的。
網關集成的標記化
這種方法與上面處理器集成的標記化方法類似,不同的是標記化是被獨立的網關所處理的(一個網關可能代理幾個支付處理系統)。這個方法的優點是如果商戶從一個支付處理系統切換到另外一個支付處理系統(同一個網關服務的),標記化流程保持不變,不需要數據遷移等。在這個方法中,商戶也不需要解除信用卡信息,商戶完全脫離了PCI合規范圍。
第三方標記化
卡信息是由第三方存儲的,和交易處理流程是分離的。商戶根據需要使用API進行標記和反標記化卡信息。這個方法不是特別的安全,因為盡管商戶不存儲卡號,但是它處理交易之前,它需要反標記化交易,拿到實際的卡號然后送給支付處理系統。商戶會拿到卡號但是不存儲卡號。所以,這個解決方案減少商戶PCI合規范圍,但是沒有讓商戶完全脫離合規范圍。
本迷你系列中后續的文章將會覆蓋支付卡數據流程,不同的解決方案允許商戶減少或者最終脫離PCI合規范圍。
點擊《信用卡標記化支付技術》閱讀原文。
【本文為51CTO專欄作者“李艷鵬”的原創稿件,轉載可通過作者簡書號(李艷鵬)或51CTO專欄獲取聯系】
