此迷你系列文章为有需求实现支付卡行业合规的商户提供向导,这篇文章是其中的一篇。在这部分,我们会介绍实现信用卡标记化的方法和实现支付卡行业合规审计的可选解决方案
如果你还没有读前一篇关于支付卡行业合规的文章,我们推荐你先读上一篇文章支付卡行业合规(PCI),因为它是理解这篇文章内容的前提。
1 信用卡标记化概念
标记化的原理是由支付网关和支付处理系统代理存储信用卡,而不是在特定的业务系统中存储,例如:网站、在线存储或者CRM等。标记化的目的是商户不需要存储信用卡号也能进行二次支付。为了达到这个目标,需要由标记替换信用卡号,在这种情况下,商户存储标记而不是信用卡号。
通常来讲,实现标记化有两种主流方法。
2 实现信用卡标记化的方法
从概念上来讲,实现信用卡标价化的方法分为纯标记化和测写两种。
纯标记化
在纯标记化的方法中,仅仅信用卡号(银行卡号)需要标记化。然而,如果有必要,ACH使用的路由码(标志银行分支的代号)、社会保险号、甚至驾照号也能进行标记化。简单来说,每个敏感字段都需要进行标记化(挨个的标记化)。
当发起一个信用卡处理请求(二次支付过程中),处理过程中使用标记而不是信用卡,实现了商户不需要存储信用卡信息的目的。
测写
实现信用卡标记化的第二种方法更精致、更详细,它涉及到维护完全的或者部分的用户画像。
与纯标记化不同的是,这种方法需要维护支付信息,包括:账单地址、发货地址等(依赖于业务系统的需要),这些信息存储在用户画像中(包括信用卡号)。当处理一笔交易的时候,发送画像ID,而不需要任何其他字段,服务器端需要根据ID拉取客户画像信息,这也包括信用卡号。
一些支付系统使用客户画像的变种,在这种实现中,并不使用画像ID,而是使用历史交易的ID从历史交易中获得缺少的信息,例如:信用卡号等。
在处理二次支付的时候,画像ID(或者历史交易ID)取代了信用卡号,因此,实现了商户不再存储信用卡号的目的。
***种方法的优点是业务系统不需要存储单独的用户画像,而仅仅需要一个数字token替换信用卡号。第二种方法的的优点是更多的信息可以存储在商户系统外。***,如果商户基本的前端系统不想存储支付信息(例如:邮编等),它可以依赖标记化提供者存储这些信息,这对商户可能是更方便的。然而,在这个方法中假设商户负责保持用户画像的时效性。
现在我们来看一下最通用实现信用卡标记化的方式。
3 通过设备实现信用卡标记化
通过设备实现标记化通常是用来实现上面描述的纯标记化方法。
设备是硬件(用于加解密信用卡号)和PA-DSS合规的软件(用于存储加密值和产生标记)的结合。硬件设备通常是主板上的一个芯片或者一个PCI插卡。设备(包括软硬件)运行在商户的本地网络上。
硬件、设备解决方案不排除对PCI合规证书的需求,但是它确实较少了合规的范围,并且简化了PCI审计流程。因为信用卡信息的存储是由PA-DSS合规软件实现的。
对于具有较大交易量的商户,这些商户已经具有能够发布设备的PCI环境的能力,通过设备实现信用卡标记化是最理想的。
4 信用卡标记化作为服务
另外一种方法是标记化服务托管,商户使用第三方提供的服务代理存储信用卡信息,取代将合规设备运行在自己的网络内。在这种情况下,商户必须使用一些形式的API来产生token。
在信用卡标记化作为服务的方法中,概念上有3个的不同方法,区别很小,但是很重要,值得详细说明:
处理器集成的标记化
标记化是支付处理系统集成的一个服务。优点是商户仅仅需要与一方打交道就能处理信用卡标记化流程。为了处理一个交易,没有必要反标记化信用卡信息(甚至不需要接触实际的卡号,因为卡号是由下层的支付处理系统存储的)。如果商户已经获得了一个标记,当处理支付的时候,商户简单的传递标记给支付处理系统,然后支付处理系统会找到相关的信用卡号。在这个方法中,如果切换到另外一个支付处理系统将导致有成本的数据提取和迁移。数据提取的费用有的时候是昂贵的。
网关集成的标记化
这种方法与上面处理器集成的标记化方法类似,不同的是标记化是被独立的网关所处理的(一个网关可能代理几个支付处理系统)。这个方法的优点是如果商户从一个支付处理系统切换到另外一个支付处理系统(同一个网关服务的),标记化流程保持不变,不需要数据迁移等。在这个方法中,商户也不需要解除信用卡信息,商户完全脱离了PCI合规范围。
第三方标记化
卡信息是由第三方存储的,和交易处理流程是分离的。商户根据需要使用API进行标记和反标记化卡信息。这个方法不是特别的安全,因为尽管商户不存储卡号,但是它处理交易之前,它需要反标记化交易,拿到实际的卡号然后送给支付处理系统。商户会拿到卡号但是不存储卡号。所以,这个解决方案减少商户PCI合规范围,但是没有让商户完全脱离合规范围。
本迷你系列中后续的文章将会覆盖支付卡数据流程,不同的解决方案允许商户减少或者最终脱离PCI合规范围。
点击《信用卡标记化支付技术》阅读原文。
【本文为51CTO专栏作者“李艳鹏”的原创稿件,转载可通过作者简书号(李艳鹏)或51CTO专栏获取联系】
