支付标记(Payment Token)
目录 |
支付标记是指主账号(PAN) 的一个替代值,一般由13至19位的数字组成,该数值必须符合主账号的基本验证规则,其中包括LUHN算法校验。另外,对于所产生的支付标记应被分配在一个BIN范围内,而该BIN属于一个合法的BIN表。该支付标记不得与真实PAN值相同或冲突。
在银行卡支付交易中用支付标记替换卡号,用支付标记的有效期替换卡号有效期,不影响交易处理,增强了交易安全。
支付标记="62BBBBBB"(Token BIN)+"YYYYYYYYY"+1位校验位
标记服务提供方是负责产生、维护标记的主体,它也负责管理标记请求方,并向其提供标记的相关服务。标记服务提供方作为支付标记的发行机构,负责支付标记化系统(TSP)的建设、维护以及运营。
向标记服务提供方提交标记申请的机构。该机构可以是传统支付行业的参与者或者某类专业化服务提供方。在标记化系统中,标记服务提供方管理并唯一标识标记请求方。
标记申请环境:
标记使用环境:
线上支付场景 | 线上线下支付(O2O)场景 | ||
Card-on-File Merchant/存留卡信息的商户 | Digital Wallet/数字钱包 | QR and Bar Code/QR二维码与条码 | NFC and Chip/NFC和芯片 |
该类商户在其服务器中存储持卡人信息(卡号或者标记),如:亚马逊、携程 | 该钱包机构提供支付账户与卡号(或标记)绑定的服务,如:Paypal、支付宝、Visa,MCW、银联 | 该服务商提供支付标记服务,可将二维码用于POS支付,如:韩国新韩银行 | 该服务商将支付标记存放在NFC设备或者SE中,可用于POS支付 |
1、参与方
(1)持卡人
b.在多数情况下,持卡人无需知道生成的标记和其账户的关系和操作。
c.标记请求者也可以选择让持卡人获悉,并让持卡人参与标记风控的ID&V流程。
(2)发卡行
a.继续保持其当前角色并维护持卡人和对应的账户关系。
c.应考虑符合本规范,从而与使用本规范提出的解决方案保持可互操作性和一致性。
(3)商户/第三方
a.继续保持当前的角色。
b.第三方一般将成为标记请求方。
c.在部分场景中,商户也可能是标记请求方,如Cardon File商户。
d.依照本规范和及相关处理要求来实施任何必需或可选报文域。
2、转接网络
(1)继续保持其当前角色。
(3)转接网络是TSP角色的最佳承担方。
3、收单
(1)继续保持其当前角色。
(2)应考虑符合本规范,从而与使用本规范提出的解决方案保持可互操作性和一致性。
4、各方的利益
(1)发卡机构和持卡人
可从更加安全的支付方式获得收益。提高交易授权级别,并减少了数据泄露事件所带来的欺诈风险(泄露的是支付标记而非主账号)。
(2)收单机构和商户
可降低遭受线上攻击和数据泄露等威胁的可能性。
受限制的使用渠道减少了成为攻击目标的可能。
TSP风控评定中风险低的支付标记可用于大额交易场景。
(3)转接网络
采用开放性标准,促进交易报文的互操作性并有助降低对支付网络及其参与者的数据保护要求。