扶余惠民村镇银行
支付标记化技术知多少
日期:2018-01-11 10:17:16 打印

    为从源头切实防范支付安全风险,2016年11月9日,中国人民银行发布《中国金融移动支付 支付标记化技术规范》,要求各商业银行、非银行支付机构、银行卡清算机构从2016年12月1日起全面应用支付标记化技术。

  1 背景

  1.1 为何要使用支付标记化?

  近年来,全球范围内的银行卡信息泄露事件频发,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除风险。

  1.2 什么是支付标记化技术?

  所谓支付标记化技术,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,原理在于通过标记(token)代替银行卡号进行交易验证。概言之,支付标记化技术是一种全环节的卡号替换机制,能有效保护用户信息、降低交易欺诈。

  2 支付标价化技术简介

  2.1 基本术语

  1) 支付账号

  具有金融交易功能的银行账户、非银行支付机构支付账户的编码,及银行卡卡号。

  2) 支付标记

  作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。

  3) 支付标记化

  用支付标记替换支付账号等原始交易要素的过程。

  2.2 支付标记化参与方

  支付标记化的参与方包括用户、商户、收单方、转接清算方、PA(PaymentAccount)发行方、标记请求方TR(TokenRequestor)、标记服务提供方TSP(TokenServiceProvider)。其中:

  1) PA发行方为支付账号的发行方,如:使用银行卡则为该银行卡的发卡行、使用互联网支付账户则为该互联网支付机构等。

  2) TR为发起支付标记化相关操作请求一方,如:商户、非银行支付机构等。

  3) TSP为标记化框架的核心角色,提供Token的生成、管理、去标记化等功能,负责TR的注册和管理。TSP对PA发行方信息进行维护,确保PA发行方信息的真实性和有效性,并向TR、业务需求方提供数据接口。TSP可由商业银行、非银行支付机构、支付转接清算机构承担。

  2.3 支付标记化主要流程

  1) 支付标记申请

   用户向TR提交支付账号等原始交易要素信息;

   TR向TSP申请Token;

   TSP向PA发行方验证账户信息及用户身份信息;

   PA发行方将验证结果返回至TSP;

   TSP生成Token,并返回给TR;

   TR向用户返回Token。

  2) 支付标记使用

  在实际的交易过程中使用支付标记时,流程与现有基于PA的交易处理流程一致,仅在去标记化(验证支付标记与PA的一致性)操作时需要TSP完成标记的验证和还原,降低了交易过程中涉及的各参与方的系统改造成本和难度。

  2.4 支付标记的安全保护

  支付标记作为替代原始交易要素的手段,虽然可以保证在交易过程中不出现用户的原始支付账号的信息。但由于支付标记可用于完成交易,因此在交易过程中仍需采用技术手段对支付标记进行安全防护,防止支付标记被拦截、利用。

  3 支付标记化意义

  使用支付标记化技术对交易信息进行处理后,交易过程中使用支付标记信息即可,不再使用原本的支付账号信息,避免了支付账号信息的泄露。

 



分享: