社会保险信用卡标记化支付技术

本文为译文,阅读原来的书文请点击Payment Concepts: Credit Card
Tokenization

社会保险 1

信用卡标记化支付技术

社会保险,此迷你种类小说为有须求达成支付卡行业合规的经纪人提供指路,那篇作品是里面包车型客车一篇。在这一部分,大家会介绍完成信用卡标记化的主意和兑现支付卡行业合规审计的可选化解方案

借使你还未曾读前一篇有关支付卡行业合规的文章,大家推荐你先读上一篇作品支付卡行业合规(PCI),因为它是清楚那篇小说内容的前提。

1 信用卡标记化概念

标记化的规律是由开发网关和支付处理体系代理存款和储蓄信用卡,而不是在特定的事体系统中贮存,例如:网站、在线存款和储蓄可能C昂CoraM等。标记化的指标是生意人不要求仓储信用卡号也能拓展三回开发。为了达到这一个目的,需求由标记替换信用卡号,在那种场合下,专营商存款和储蓄标记而不是信用卡号。

常常来讲,实现标记化有三种主流格局。

2 达成信用卡标记化的主意

从概念上来讲,完成信用卡标价化的措施分为纯标记化和测写三种。

纯标记化

在纯标记化的办法中,仅仅信用卡号(银行卡号)须求标记化。不过,假设有必不可少,ACH使用的路由码(标志银行分支的代号)、社会保险号、甚至驾照号也能开始展览标记化。一句话来说,各种敏感字段都急需开始展览标记化(挨个的标记化)。

当发起3个信用卡处理请求(二回开发进程中),处理进程中选用标志而不是信用卡,完毕了经纪人不需求仓库储存信用卡音信的目标。

测写

贯彻信用卡标记化的第二种办法更小巧、更详尽,它关系到有限支撑完全的要么局地的用户画像。

与纯标记化分裂的是,那种办法必要珍视支付音信,蕴含:账单地址、发货地址等(依赖于业务类别的急需),这个音讯囤积在用户画像中(包罗信用卡号)。当处理一笔交易的时候,发送画像ID,而不需求此外别的字段,服务器端要求基于ID拉取客户画像音信,那也包含信用卡号。

一些成本系列采纳客户画像的变种,在那种完成中,并不应用画像ID,而是采纳历史交易的ID从历史交易中得到贫乏的信息,例如:信用卡号等。

在处理贰次开发的时候,画像ID(恐怕历史交易ID)取代了信用卡号,因而,完成了卖家不再存款和储蓄信用卡号的指标。

率先种艺术的优点是业务系统不需求仓库储存单独的用户画像,而独自供给贰个数字token替换信用卡号。第二种办法的的亮点是愈来愈多的音信方可储存在商贩系统外。最终,借使商行基本的前端系统不想囤积支付音信(例如:邮政编码等),它能够注重标记化提供者存款和储蓄那几个音讯,那对商行只怕是更有利于的。然则,在这么些点子中只要卖家负责维持用户画像的时效性。

于今我们来看一下最通用达成信用卡标记化的点子。

3 通过设备完成信用卡标记化

透过设备落实标记化平常是用来兑现地点描述的纯标记化方法。

设施是硬件(用于加解密信用卡号)和PA-DSS合规的软件(用于存款和储蓄加密值和发生标记)的三结合。硬件装备平日是主板上的二个芯片可能一个PCI插卡。设备(包含软硬件)运转在商家的本地网络上。

硬件、设备消除方案不消除对PCI合规证书的须求,不过它的确较少了合规的限定,并且简化了PCI审计流程。因为信用卡信息的存款和储蓄是由PA-DSS合规软件达成的。

对于有所较大交易量的商行,这几个商行已经持有能够宣布设备的PCI环境的能力,通过配备落到实处信用卡标记化是最美好的。

4 信用卡标记化作为服务

其它一种形式是标记化服务托管,卖家使用第叁方提供的劳务代办存款和储蓄信用卡新闻,取代将合规设备运行在投机的网络内。在那种景色下,商行必须使用部分情势的API来发出token。

在信用卡标记化作为服务的格局中,概念上有三个的不比格局,区别一点都不大,可是很重点,值得详细表达:

  1. 微型总括机集成的标记化

    标记化是付出处理系列融为一炉的三个劳务。优点是生意人仅仅须求与一方打交道就能处理信用卡标记化流程。为了处理叁个贸易,没有须求反标记化信用卡信息(甚至不必要接触其实的卡号,因为卡号是由下层的支出处理类别存款和储蓄的)。假使商行已经得到了3个标志,当处理支付的时候,商家大约的传递标记给开发处理系统,然后支付处理系统会找到有关的信用卡号。在这些点子中,借使切换成此外四个支付处理系列将招致有资金财产的数量提取和迁移。数据提取的成本有的时候是昂贵的。

  2. 网关集成的标记化

    那种措施与地点处理器集成的标记化方法类似,不相同的是标记化是被单独的网关所处理的(一个网关恐怕代理多少个开发处理类别)。那几个措施的长处是一旦商行从二个支出处理系列切换来其余一个付出处理连串(同3个网关服务的),标记化流程保持不变,不必要多少迁移等。在那些点子中,商行也不须要化解信用卡音信,商行完全退出了PCI合规范围。

  3. 其三方标记化

    卡消息是由第一方存款和储蓄的,和贸易处理流程是分离的。商家依照须要利用API进行标记和反标记化卡新闻。那一个办法不是专门的安全,因为就算商家不存款和储蓄卡号,不过它处理贸易此前,它须要反标记化交易,得到骨子里的卡号然后送给支付处理系统。商家会得到卡号不过不存款和储蓄卡号。所以,那一个消除方案减弱商户PCI合规范围,可是没有让商行完全剥离合规范围。

本迷你种类中持续的稿子将会覆盖支付卡数据流程,不一样的消除方案允许商行收缩也许最后淡出PCI合规范围。


《分布式服务架构:原理、设计与实战》是一本天之骄子的理论与执行相结合的架构秘籍,京东购买销售请点这里还是扫描下方二维码。

社会保险 2

社会保险 3

《分布式服务架构:原理、设计与实战》京东主页


参与【云时期架构】技术社区,做网络时期最符合的架构,回归架构的洗练之美。

社会保险 4

小编简书博客

社会保险 5

云时期架构

发表评论

电子邮件地址不会被公开。 必填项已用*标注