信用卡标记化支付技术

本文为译文,阅读原文请点击Payment Concepts: Credit Card Tokenization

信用卡标记化支付技术

此迷你系列文章为有需求实现支付卡行业合规的商户提供向导,这篇文章是其中的一篇。在这部分,我们会介绍实现信用卡标记化的方法和实现支付卡行业合规审计的可选解决方案

如果你还没有读前一篇关于支付卡行业合规的文章,我们推荐你先读上一篇文章支付卡行业合规(PCI),因为它是理解这篇文章内容的前提。

1 信用卡标记化概念

标记化的原理是由支付网关和支付处理系统代理存储信用卡,而不是在特定的业务系统中存储,例如:网站、在线存储或者CRM等。标记化的目的是商户不需要存储信用卡号也能进行二次支付。为了达到这个目标,需要由标记替换信用卡号,在这种情况下,商户存储标记而不是信用卡号。

通常来讲,实现标记化有两种主流方法。

2 实现信用卡标记化的方法

从概念上来讲,实现信用卡标价化的方法分为纯标记化和测写两种。

纯标记化

在纯标记化的方法中,仅仅信用卡号(银行卡号)需要标记化。然而,如果有必要,ACH使用的路由码(标志银行分支的代号)、社会保险号、甚至驾照号也能进行标记化。简单来说,每个敏感字段都需要进行标记化(挨个的标记化)。

当发起一个信用卡处理请求(二次支付过程中),处理过程中使用标记而不是信用卡,实现了商户不需要存储信用卡信息的目的。

测写

实现信用卡标记化的第二种方法更精致、更详细,它涉及到维护完全的或者部分的用户画像。

与纯标记化不同的是,这种方法需要维护支付信息,包括:账单地址、发货地址等(依赖于业务系统的需要),这些信息存储在用户画像中(包括信用卡号)。当处理一笔交易的时候,发送画像ID,而不需要任何其他字段,服务器端需要根据ID拉取客户画像信息,这也包括信用卡号。

一些支付系统使用客户画像的变种,在这种实现中,并不使用画像ID,而是使用历史交易的ID从历史交易中获得缺少的信息,例如:信用卡号等。

在处理二次支付的时候,画像ID(或者历史交易ID)取代了信用卡号,因此,实现了商户不再存储信用卡号的目的。

第一种方法的优点是业务系统不需要存储单独的用户画像,而仅仅需要一个数字token替换信用卡号。第二种方法的的优点是更多的信息可以存储在商户系统外。最后,如果商户基本的前端系统不想存储支付信息(例如:邮编等),它可以依赖标记化提供者存储这些信息,这对商户可能是更方便的。然而,在这个方法中假设商户负责保持用户画像的时效性。

现在我们来看一下最通用实现信用卡标记化的方式。

3 通过设备实现信用卡标记化

通过设备实现标记化通常是用来实现上面描述的纯标记化方法。

设备是硬件(用于加解密信用卡号)和PA-DSS合规的软件(用于存储加密值和产生标记)的结合。硬件设备通常是主板上的一个芯片或者一个PCI插卡。设备(包括软硬件)运行在商户的本地网络上。

硬件、设备解决方案不排除对PCI合规证书的需求,但是它确实较少了合规的范围,并且简化了PCI审计流程。因为信用卡信息的存储是由PA-DSS合规软件实现的。

对于具有较大交易量的商户,这些商户已经具有能够发布设备的PCI环境的能力,通过设备实现信用卡标记化是最理想的。

4 信用卡标记化作为服务

另外一种方法是标记化服务托管,商户使用第三方提供的服务代理存储信用卡信息,取代将合规设备运行在自己的网络内。在这种情况下,商户必须使用一些形式的API来产生token。

在信用卡标记化作为服务的方法中,概念上有3个的不同方法,区别很小,但是很重要,值得详细说明:

  1. 处理器集成的标记化 标记化是支付处理系统集成的一个服务。优点是商户仅仅需要与一方打交道就能处理信用卡标记化流程。为了处理一个交易,没有必要反标记化信用卡信息(甚至不需要接触实际的卡号,因为卡号是由下层的支付处理系统存储的)。如果商户已经获得了一个标记,当处理支付的时候,商户简单的传递标记给支付处理系统,然后支付处理系统会找到相关的信用卡号。在这个方法中,如果切换到另外一个支付处理系统将导致有成本的数据提取和迁移。数据提取的费用有的时候是昂贵的。
  2. 网关集成的标记化 这种方法与上面处理器集成的标记化方法类似,不同的是标记化是被独立的网关所处理的(一个网关可能代理几个支付处理系统)。这个方法的优点是如果商户从一个支付处理系统切换到另外一个支付处理系统(同一个网关服务的),标记化流程保持不变,不需要数据迁移等。在这个方法中,商户也不需要解除信用卡信息,商户完全脱离了PCI合规范围。
  3. 第三方标记化 卡信息是由第三方存储的,和交易处理流程是分离的。商户根据需要使用API进行标记和反标记化卡信息。这个方法不是特别的安全,因为尽管商户不存储卡号,但是它处理交易之前,它需要反标记化交易,拿到实际的卡号然后送给支付处理系统。商户会拿到卡号但是不存储卡号。所以,这个解决方案减少商户PCI合规范围,但是没有让商户完全脱离合规范围。

本迷你系列中后续的文章将会覆盖支付卡数据流程,不同的解决方案允许商户减少或者最终脱离PCI合规范围。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链资讯

BCH扩容的摩尔定律——为什么BCH目前不选择分片?

通常情况下,摩尔定律是适用于比特币现金扩容的,作为比特币现金如何随着未来使用量的增加而扩容的论据。的确,过去晶体管的数量变化符合摩尔定律。但是,值得注意的是,当...

723
来自专栏腾讯云数据库团队的专栏

云MongoDB优化让LBS服务性能提升十倍

腾原生MongoDB在LBS服务场景下有较大的性能瓶颈,经腾讯云团队专业的定位分析与优化后,云MongoDB在LBS服务的综合性能上,有10倍以上的提升。

8942
来自专栏Crossin的编程教室

【每周一坑】让程序替你等待

管挖不管埋的每周一坑又来了,今天是个实用的坑。 在1999年的时候,曾经有人搞过一场真人秀,就是给你一些钱和“电子货币”,把你关在一个可以上网的房间里。你需要借...

33510
来自专栏人工智能头条

深度 | 图计算系统进展和展望

2334
来自专栏腾讯大数据的专栏

四两拨千斤:借助Spark GraphX将QQ千亿关系链计算提速20倍

腾讯QQ有着国内最大的关系链,而共同好友数,属于社交网络分析的基本指标之一,是其它复杂指标的基础。借助Spark GraphX,我们用寥寥100行核心代码,在高...

2348
来自专栏牛客网

成都-阿里Java研发工程师面经

11号去成都参加阿里面试,网上预约的3点,两点半就到了,刚签完到马上就喊去面试。经历了一面二面和HR面。 一面 1.介绍一下你的项目,说一下哪个项目印象最深 ...

3488
来自专栏域名资讯

“的士”域名D4.com以31.2万元被拍

像D4.com这类2杂米字符简短,而且资源数量也不算多,因此也颇受投资人、终端的青睐,而“的士“这一枚2杂域名D4.com就以31.2万元结拍了。

1710
来自专栏大数据和云计算技术

技术专栏丨2018 存储技术热点与趋势总结

类型:技术专栏 作者介绍 张凯(Kyle Zhang),SmartX 联合创始人 & CTO。毕业于清华大学计算机系,研究方向为分布式系统和体系结构。2013...

3838
来自专栏Petrichor的专栏

车载网络: 常见车载网络

车载网络是早期的汽车内部传感器、控制和执行器之间的通讯用点对点的连线方式连成复杂的网状结构。

1278
来自专栏FreeBuf

扒一扒基于词法分析和语法分析的SQL注入攻击检测

周末了,又到了一星期中的美好时刻,因为期待,因为渲染在时光中的慵散。本周,Black Hat大会,应该是安全界中的大事件。 这不,经过一番紧锣密鼓的搜罗,发现了...

3518

扫码关注云+社区