支付标记化(Payment Tokenization)
目录 |
支付标记化技术是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,原理在于通过支付标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。支付标记化是使用一个唯一的数值来替代传统的银行卡主账号的过程,同时确保该值的应用被限定在一个特定的商户、渠道或设备。支付标 记可以运用在银行卡交易的各个环节,与现有基于银行卡号的交易一样,可以在产业中跨行使用,具有通用性。
2013年,中国银联就启动了支付标记化(Payment Tokenization)技术研究和产品实施工作,完成了支付标记化系统的框架设计规划、系统开发与测试、产品试点应用以及产业影响性分析等多方面的工作;并同步完成了配套的技术实施指引的编制,旨在为商户、收单机构、发卡行等产业相关方在应用支付标记技术时提供指导性的建议和参考。
支付标记化技术作为全球支付领域的最新前沿技术,其优势体现在三个方面:
第一,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现;
第二,支付标记仅可在限定交易场景使用,使得支付更安全;
第三,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。
支付标记化系统架构(如图1所示)描述了现有支付产业中主要主体及关系,标记请求方与标记服务提供方两个角色与现有传统支付流程的关系和数据交互接口,明确了支付标记如何共同为持卡人和商户提供标记服务。
1、标记请求方注册
标记服务提供方应根据自己的业务需求制定所管辖的标记请求方的申请和注册流程(如图2所示)。拟注册为标记请求方的实体可以在多个标记服务提供方分别进行注册。
标记服务请求方在申请注册时,标记服务提供方自主决定所需要收集的信息,可能包括持卡人账户验证信息、标记请求方所支持的用户场景、以及标记的 域控等。一旦标记请求方注册成功,那么标记请求方被分配一个唯一的ID,对应该ID下的支付标记域控和其他交易控制措施将同步记录在标记服务提供方的系统 中,用于后续的交易验证。
2、标记申请流程
图3概括性的描述了支付标记的申请流程:
1)支付数据标记化的过程对持卡人而言是一个绑卡的操作,需要用户在商户或者支付服务商的页面提交账户信息;在用户绑卡时,采集用户账户信息的主体可作为标记请求方向标记服务提供方申请支付标记;
2)由支付标记请求方(商户或支付服务商)向标记服务提供方申请Token;
3)标记服务提供方在收到标记申请时,需要与发卡机构共同验证持卡人的身份信息以及部分附加信息;
4)在完成账户验证之后,标记服务提供方生成Token,并下发给标记请求方;
3、标记的交易流程
支付标记化交易的处理流程与现有基于主账号的交易处理流程完全一致,仅在去标记化操作时需要支付标记服务提供方完成支付标记的交易验证和还原卡号操作。而支付标记的交易路由与主账号的交易路由一致,均是由转接组织根据BIN表来进行路由控制以及交易分发。TSP作为支付标记服务提供方的处理系 统,完成支付标记化与原始卡号的转换操作。