支付標記化
出自 MBA智库百科(https://wiki.mbalib.com/)
支付標記化(Payment Tokenization)
目錄 |
支付標記化技術是由國際晶元卡標準化組織EMVCo於2014年正式發佈的一項最新技術,原理在於通過支付標記(token)代替銀行卡號進行交易驗證,從而避免卡號信息泄露帶來的風險。支付標記化是使用一個唯一的數值來替代傳統的銀行卡主賬號的過程,同時確保該值的應用被限定在一個特定的商戶、渠道或設備。支付標 記可以運用在銀行卡交易的各個環節,與現有基於銀行卡號的交易一樣,可以在產業中跨行使用,具有通用性。
2013年,中國銀聯就啟動了支付標記化(Payment Tokenization)技術研究和產品實施工作,完成了支付標記化系統的框架設計規劃、系統開發與測試、產品試點應用以及產業影響性分析等多方面的工作;並同步完成了配套的技術實施指引的編製,旨在為商戶、收單機構、發卡行等產業相關方在應用支付標記技術時提供指導性的建議和參考。
支付標記化技術作為全球支付領域的最新前沿技術,其優勢體現在三個方面:
第一,敏感信息無需留存,持卡人卡號與卡片有效期在交易中不出現;
第二,支付標記僅可在限定交易場景使用,使得支付更安全;
第三,支付標記靈活性更高,與傳統銀行卡驗證功能相比較,支付標記綜合了個人身份與設備信息驗證、支付信息附加驗證、風險等級評估等功能進行交易合法性識別和風險管控。因此,支付標記化不僅可防範交易各環節的持卡人敏感信息泄露,同時也降低了欺詐交易的發生概率。
支付標記化系統架構(如圖1所示)描述了現有支付產業中主要主體及關係,標記請求方與標記服務提供方兩個角色與現有傳統支付流程的關係和數據交互介面,明確了支付標記如何共同為持卡人和商戶提供標記服務。
1、標記請求方註冊
標記服務提供方應根據自己的業務需求制定所管轄的標記請求方的申請和註冊流程(如圖2所示)。擬註冊為標記請求方的實體可以在多個標記服務提供方分別進行註冊。
標記服務請求方在申請註冊時,標記服務提供方自主決定所需要收集的信息,可能包括持卡人賬戶驗證信息、標記請求方所支持的用戶場景、以及標記的 域控等。一旦標記請求方註冊成功,那麼標記請求方被分配一個唯一的ID,對應該ID下的支付標記域控和其他交易控制措施將同步記錄在標記服務提供方的系統 中,用於後續的交易驗證。
2、標記申請流程
圖3概括性的描述了支付標記的申請流程:
1)支付數據標記化的過程對持卡人而言是一個綁卡的操作,需要用戶在商戶或者支付服務商的頁面提交賬戶信息;在用戶綁卡時,採集用戶賬戶信息的主體可作為標記請求方向標記服務提供方申請支付標記;
2)由支付標記請求方(商戶或支付服務商)向標記服務提供方申請Token;
3)標記服務提供方在收到標記申請時,需要與發卡機構共同驗證持卡人的身份信息以及部分附加信息;
4)在完成賬戶驗證之後,標記服務提供方生成Token,並下發給標記請求方;
3、標記的交易流程
支付標記化交易的處理流程與現有基於主賬號的交易處理流程完全一致,僅在去標記化操作時需要支付標記服務提供方完成支付標記的交易驗證和還原卡號操作。而支付標記的交易路由與主賬號的交易路由一致,均是由轉接組織根據BIN表來進行路由控制以及交易分發。TSP作為支付標記服務提供方的處理系 統,完成支付標記化與原始卡號的轉換操作。
