支付标记化 保卫银行卡
支付标记化就是使用数值来替代传统的银行卡主账号的过程。同时,确保该值的应用被限定在一个特定的商户、渠道或设备
即使有相关技术和制度保驾护航,普通消费者在支付时也应增强风险防范意识
银行卡在自己手里,钱却被盗了;持卡人未收到动态交易密码,银行卡账户却发生网上支付……随着刷卡和网上支付的日渐增多,盗用他人银行卡信息,非法牟利的案例屡见不鲜。不过,从12月1日起,银行卡信息泄露和欺诈交易迎来克星。
今年7月,央行发布了《关于进一步加强银行卡风险管理的通知》,要求自12月1日起,各商业银行、支付机构应使用支付标记化技术。为加速推进支付标记化,日前央行下发了《中国金融移动支付 支付标记化技术规范》,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。支付标记化时代已经到来。
如何预防信息泄露
据了解,支付标记化技术是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项技术,原理在于通过标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。
第三方支付机构快钱公司相关负责人表示,简单来说,支付标记化就是使用数值来替代传统银行卡主账号的过程。同时,确保该值的应用被限定在一个特定商户、渠道或设备。支付标记可以运用在银行卡交易的各个环节,与现有基于银行卡号的交易一样,可在产业中跨行使用,具有通用性。运用该技术,交易过程中不再传递银行卡信息,仅有一个唯一数值(token),能最大限度地避免信息泄露。
实际上,Visa、万事达卡等国际银行卡清算组织早已将支付标记技术引入到其数字支付服务中。不过,国内只有部分机构应用了此项技术。
第三方支付机构乐富支付相关负责人介绍,之前被广泛应用的银联“云闪付”就集成了支付标记化的功能。以苹果支付为例,支付标记化的过程表现为,用户通过手机支付后,商户POS机打印出的小票上显示的银行卡号被标记化显示为一串与真实银行卡号不同的数字,标记化后的数字将代替用户真实卡号进行交易。
苏宁金融研究院高级研究员薛洪言表示,标记化技术提出了“域控”概念,举例来说,支付机构可以为线上商户定义一个单独的域控,如此一来,即使支付标记被攻击或者泄露,也不能用到其他支付交易场景中。
银联技术专家周明曾在一篇文章中介绍,除了敏感信息无需存留以及仅可在限定交易场景使用外,支付标记化的灵活性也更高。与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。因此,支付标记化不仅可防范交易各环节的敏感信息泄露,同时也降低了欺诈交易的发生概率。
是否影响支付体验
新技术的应用是否影响支付体验呢?快钱公司相关负责人认为,支付体验上几乎没有影响。
快钱公司上述负责人进一步介绍说,在大多数交易过程中,持卡人对支付标记没有特别的感知。持卡人只需正常发起交易,支付标记化的处理过程则在后台完成。持卡人不需要了解交易过程中使用的是支付标记还是主账号。
不过,该负责人还表示,在个别场景中,支付标记的最后4位可能显示在商户的收据中,以使持卡人感知到支付标记的存在。比如,持卡人使用苹果支付之后,用户可以在POS机打印小票上看到标记化后的四位数字与银行卡号有所不同。
“在体验基本不受影响的情况下,持卡人还可获得多方面的益处。”一位银行内部人士表示,一张主卡可生成多个标记,其中任何一个标记发生泄漏或者存储该标记的设备丢失后,该标记可被禁用,减少了重新发卡的麻烦和可能引起的交易中断。此外,支付标记过程使用动态验证技术,持卡人不再需要输入敏感信息执行身份验证。
据了解,推行支付标记化,发卡机构需要系统改造,实现对支付标记交易的识别和处理,支付机构也需要进行技术改造。改造过程中,是否会给支付带来不便?
快钱公司表示,对快钱而言,由于投入相关的基础建设时间较早,目前已满足支付标记化规范。乐富支付则表示,已经从技术层面对持卡人及商户的敏感信息进行标记化处理,技术方面的改造全部完成。第三方支付机构银联商务也对记者表示,已对线下终端进行了金融交易标准PBOC3.0的全面改造,用标记化技术替换主账号PAN信息。相关银行业内人士也透露,目前各商业银行也基本完成了相关的技术改造,正常的银行卡支付业务基本不受影响。
“此外,支付机构只需要在系统上把持卡人的卡片信息进行处理或者隐藏就可以,因此对支付机构、持卡人来说,推行标记化也不会增加成本。”乐富支付相关负责人说。