扶余惠民村鎮銀行

為從源頭切實防范支付安全風險，2016年11月9日，中國人民銀行發布《中國金融移動支付支付標記化技術規范》，要求各商業銀行、非銀行支付機構、銀行卡清算機構從2016年12月1日起全面應用支付標記化技術。

　　1 背景

　　1.1 為何要使用支付標記化？

　　近年來，全球范圍內的銀行卡信息泄露事件頻發，采用支付標記化方案后，商戶可以通過“支付標記”來替換主賬號PAN信息，且該支付標記可限定在該商戶下單獨使用，從而消除風險。

　　1.2 什么是支付標記化技術？

　　所謂支付標記化技術，是由國際芯片卡標準化組織EMVCo于2014年正式發布的一項最新技術，原理在于通過標記（token）代替銀行卡號進行交易驗證。概言之，支付標記化技術是一種全環節的卡號替換機制，能有效保護用戶信息、降低交易欺詐。

　　2 支付標價化技術簡介

　　2.1 基本術語

　　1）支付賬號

　　具有金融交易功能的銀行賬戶、非銀行支付機構支付賬戶的編碼，及銀行卡卡號。

　　2）支付標記

　　作為支付賬號等原始交易要素的替代值，用于完成特定場景支付交易。

　　3）支付標記化

　　用支付標記替換支付賬號等原始交易要素的過程。

　　2.2 支付標記化參與方

　　支付標記化的參與方包括用戶、商戶、收單方、轉接清算方、PA（PaymentAccount）發行方、標記請求方TR（TokenRequestor）、標記服務提供方TSP（TokenServiceProvider）。其中：

　　1） PA發行方為支付賬號的發行方，如：使用銀行卡則為該銀行卡的發卡行、使用互聯網支付賬戶則為該互聯網支付機構等。

　　2） TR為發起支付標記化相關操作請求一方，如：商戶、非銀行支付機構等。

　　3） TSP為標記化框架的核心角色，提供Token的生成、管理、去標記化等功能，負責TR的注冊和管理。TSP對PA發行方信息進行維護，確保PA發行方信息的真實性和有效性，并向TR、業務需求方提供數據接口。TSP可由商業銀行、非銀行支付機構、支付轉接清算機構承擔。

　　2.3 支付標記化主要流程

　　1）支付標記申請

　　? 用戶向TR提交支付賬號等原始交易要素信息；

　　? TR向TSP申請Token；

　　? TSP向PA發行方驗證賬戶信息及用戶身份信息；

　　? PA發行方將驗證結果返回至TSP；

　　? TSP生成Token，并返回給TR；

　　? TR向用戶返回Token。

　　2）支付標記使用

　　在實際的交易過程中使用支付標記時，流程與現有基于PA的交易處理流程一致，僅在去標記化（驗證支付標記與PA的一致性）操作時需要TSP完成標記的驗證和還原，降低了交易過程中涉及的各參與方的系統改造成本和難度。

　　2.4 支付標記的安全保護

　　支付標記作為替代原始交易要素的手段，雖然可以保證在交易過程中不出現用戶的原始支付賬號的信息。但由于支付標記可用于完成交易，因此在交易過程中仍需采用技術手段對支付標記進行安全防護，防止支付標記被攔截、利用。

　　3 支付標記化意義

　　使用支付標記化技術對交易信息進行處理后，交易過程中使用支付標記信息即可，不再使用原本的支付賬號信息，避免了支付賬號信息的泄露。

詳情