支付标记化技术在移动金融的应用
支付标记化技术在移动金融的应用
一、背景
随着信息化和移动化的迅猛发展,用户更倾向于利用碎片化的时间,移动、跨屏幕、跨设备地接入互联网。在金融服务方面,移动金融由于其灵活、便利、快捷的特点,近些年得以迅猛发展。据报道,2017年全球移动支付市场规模将高达900亿美元。移动支付为用户带来便利的同时,也为支付行业带来了全新的挑战和机遇。越来越多的不法分子将支付卡信息视为攻击目标,诸如美国某零售商巨头遭曝光可直接获取大规模账户信息、境内某航旅类商户被曝光明文存储账户信息等,接连发生的持卡人账户信息泄露事件,使得卡组织与发卡机构收到持卡人的大量投诉,发生泄露事件的商户面临巨大的经济风险,甚至在某些地区,面临法律诉讼。
为保护用户敏感信息、提升支付安全、防止信息泄露和欺诈交易,(Token)代替银行卡号进行交易验证,并对标记的应用范围加以限定。与传统银行卡验证功能相比,支付标记还综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控,最大程度上保障用户的交易安全。
二、业务场景
下图为支付标记化基本架构,描述了支付标记化的业务场景、场景中支付标记化的主要角色及关系,标记请求方(TR)与标记服务提供方(TSP)两个新增角色与现有传统支付流程的关系和数据交互接口。
其中,TSP是该标记化框架的核心角色,它提供了PA标记的申请、生成、管理、去标记化等功能,包括TR的注册和管理职责。根据不同的业务场景、受理渠道以及标记的应用域控,TSP应制定与之配套个性化参数和控制措施,最终达到标记交易控制和风险监控。TR作为标记请求的实体向TSP申请PA标记。TR必须向TSP注册,由TSP向TR分配唯一的TR ID。一般来说,承担TR角色的实体为转接清算机构、发卡机构、商户、非银行支付机构、电信运营商、手机终端制造商或者互联网移动支付终端设备制造商等。
三、支付标记化流程
支付标记化流程按照标记过程分为支付标记申请流程、交易流程。
1、支付标记申请流程
步骤1:支付数据标记化的过程对用户而言是对PA进行标记化处理,需要用户提交账户信息,TR应采用页面跳转至TSP的方式进行PA、有效期的输入,TSP应采取信息输入安全防护、及时数据加密功能的安全控件确保输入信息的安全;
步骤2:由TR(商户或支付服务商)向TSP申请Token;
步骤3:TSP在收到标记申请时,需要向PA发行方验证用户的身份信息以及部分附加信息;
步骤4:PA发行方将验证结果返回至TSP;步骤5:在完成账户验证之后,TSP生成Token,并下发给TR。
2、支付标记的交易流程
支付标记交易的处理流程与现有基于PA的交易处理流程一致,仅在去标记化操作时需要TSP完成标记的验证和还原PA号操作。用户发起交易,商户将交易信息(包含用于识别交易的电子凭证信息,该凭证信息应与本次支付使用的Token一一对应)发送给收单方,收单方将交易信息发送至转接清算方,最后由PA发行方完成交易。在交易过程中可由PA发行方或转接清算方向TSP发起去标记化过程。而Token交易路由与PA的交易路由一致。TSP作为标记服务处理系统,完成Token与原PA的转换操作。
交易处理具体如下:
a)去标记化过程中,需要对Token的有效性(有效期、标记状态等)进行验证,如果Token无效,应拒绝交易。
b)TRID(标记请求方ID)是一个控制数据元,应当在交易中进行校验。如果交易报文中的TRID与TSP标记库中存储的该支付标记对应的TRID不匹配时,应拒绝交易。
c)从交易报文中提取域控相关的数据元,并与TSP标记库中定义的交易域控元素比对,若不匹配,则拒绝交易。
d)TSP需要根据交易类型进行交易数据验证(验磁、验ARQC授权请求密文等)操作,确保交易信息安全可信。