一、背景

　　隨著信息化和移動化的迅猛發展，用戶更傾向于利用碎片化的時間，移動、跨屏幕、跨設備地接入互聯網。在金融服務方面，移動金融由于其靈活、便利、快捷的特點，近些年得以迅猛發展。據報道，2017年全球移動支付市場規模將高達900億美元。移動支付為用戶帶來便利的同時，也為支付行業帶來了全新的挑戰和機遇。越來越多的不法分子將支付卡信息視為攻擊目標，諸如美國某零售商巨頭遭曝光可直接獲取大規模賬戶信息、境內某航旅類商戶被曝光明文存儲賬戶信息等，接連發生的持卡人賬戶信息泄露事件，使得卡組織與發卡機構收到持卡人的大量投訴，發生泄露事件的商戶面臨巨大的經濟風險，甚至在某些地區，面臨法律訴訟。

　　為保護用戶敏感信息、提升支付安全、防止信息泄露和欺詐交易，(Token)代替銀行卡號進行交易驗證，并對標記的應用范圍加以限定。與傳統銀行卡驗證功能相比，支付標記還綜合了個人身份與設備信息驗證、支付信息附加驗證、風險等級評估等功能進行交易合法性識別和風險管控，最大程度上保障用戶的交易安全。

　　二、業務場景

　　下圖為支付標記化基本架構，描述了支付標記化的業務場景、場景中支付標記化的主要角色及關系，標記請求方(TR)與標記服務提供方(TSP)兩個新增角色與現有傳統支付流程的關系和數據交互接口。

　　其中，TSP是該標記化框架的核心角色，它提供了PA標記的申請、生成、管理、去標記化等功能，包括TR的注冊和管理職責。根據不同的業務場景、受理渠道以及標記的應用域控，TSP應制定與之配套個性化參數和控制措施，最終達到標記交易控制和風險監控。TR作為標記請求的實體向TSP申請PA標記。TR必須向TSP注冊，由TSP向TR分配唯一的TR ID。一般來說，承擔TR角色的實體為轉接清算機構、發卡機構、商戶、非銀行支付機構、電信運營商、手機終端制造商或者互聯網移動支付終端設備制造商等。

　　三、支付標記化流程

　　支付標記化流程按照標記過程分為支付標記申請流程、交易流程。

　　1、支付標記申請流程

　　步驟1：支付數據標記化的過程對用戶而言是對PA進行標記化處理，需要用戶提交賬戶信息，TR應采用頁面跳轉至TSP的方式進行PA、有效期的輸入，TSP應采取信息輸入安全防護、及時數據加密功能的安全控件確保輸入信息的安全;

　　步驟2：由TR(商戶或支付服務商)向TSP申請Token;

　　步驟3：TSP在收到標記申請時，需要向PA發行方驗證用戶的身份信息以及部分附加信息;

　　步驟4：PA發行方將驗證結果返回至TSP;步驟5：在完成賬戶驗證之后，TSP生成Token，并下發給TR。

　　2、支付標記的交易流程

　　支付標記交易的處理流程與現有基于PA的交易處理流程一致，僅在去標記化操作時需要TSP完成標記的驗證和還原PA號操作。用戶發起交易，商戶將交易信息(包含用于識別交易的電子憑證信息，該憑證信息應與本次支付使用的Token一一對應)發送給收單方，收單方將交易信息發送至轉接清算方，最后由PA發行方完成交易。在交易過程中可由PA發行方或轉接清算方向TSP發起去標記化過程。而Token交易路由與PA的交易路由一致。TSP作為標記服務處理系統，完成Token與原PA的轉換操作。

　　交易處理具體如下：

　　a)去標記化過程中，需要對Token的有效性(有效期、標記狀態等)進行驗證，如果Token無效，應拒絕交易。

　　b)TRID(標記請求方ID)是一個控制數據元，應當在交易中進行校驗。如果交易報文中的TRID與TSP標記庫中存儲的該支付標記對應的TRID不匹配時，應拒絕交易。

　　c)從交易報文中提取域控相關的數據元，并與TSP標記庫中定義的交易域控元素比對，若不匹配，則拒絕交易。

　　d)TSP需要根據交易類型進行交易數據驗證(驗磁、驗ARQC授權請求密文等)操作，確保交易信息安全可信。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：王超