为从源头切实防范支付安全风险,2016年11月9日,中国人民银行发布《中国金融移动支付 支付标记化技术规范》,要求各商业银行、非银行支付机构、银行卡清算机构从2016年12月1日起全面应用支付标记化技术。
1.背景
1.1 为何要使用支付标记化
近年来,全球范围内的银行卡信息泄露事件频发,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除风险。
1.2 什么是支付标记化技术
所谓支付标记化技术,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,原理在于通过标记(token)代替银行卡号进行交易验证。概言之,支付标记化技术是一种全环节的卡号替换机制,能有效保护用户信息、降低交易欺诈。
2.支付标价化技术简介
2.1 基本术语
1)支付账号
具有金融交易功能的银行账户、非银行支付机构支付账户的编码,及银行卡卡号。
2)支付标记
作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。
3)支付标记化
用支付标记替换支付账号等原始交易要素的过程。
2.2 支付标记化参与方
支付标记化的参与方包括用户、商户、收单方、转接清算方、PA(PaymentAccount)发行方、标记请求方TR(TokenRequestor)、标记服务提供方TSP(TokenServiceProvider)。其中:
1) PA发行方为支付账号的发行方,如:使用银行卡则为该银行卡的发卡行、使用互联网支付账户则为该互联网支付机构等。
2) TR为发起支付标记化相关操作请求一方,如:商户、非银行支付机构等。
3) TSP为标记化框架的核心角色,提供Token的生成、管理、去标记化等功能,负责TR的注册和管理。TSP对PA发行方信息进行维护,确保PA发行方信息的真实性和有效性,并向TR、业务需求方提供数据接口。TSP可由商业银行、非银行支付机构、支付转接清算机构承担。
2.3 支付标记化主要流程
1)支付标记申请
用户向TR提交支付账号等原始交易要素信息;
TR向TSP申请Token;
TSP向PA发行方验证账户信息及用户身份信息;
PA发行方将验证结果返回至TSP;
TSP生成Token,并返回给TR;
TR向用户返回Token。
2)支付标记使用
在实际的交易过程中使用支付标记时,流程与现有基于PA的交易处理流程一致,仅在去标记化(验证支付标记与PA的一致性)操作时需要TSP完成标记的验证和还原,降低了交易过程中涉及的各参与方的系统改造成本和难度。
2.4 支付标记的安全保护
支付标记作为替代原始交易要素的手段,虽然可以保证在交易过程中不出现用户的原始支付账号的信息。但由于支付标记可用于完成交易,因此在交易过程中仍需采用技术手段对支付标记进行安全防护,防止支付标记被拦截、利用。
3.支付标记化意义
使用支付标记化技术对交易信息进行处理后,交易过程中使用支付标记信息即可,不再使用原本的支付账号信息,避免了支付账号信息的泄露。
