无忧支付网首页
站内搜索
您当前的位置:主页 > 相关文档 >

支付标记化技术下电子支付信息保护方案实践

添加时间:2022-10-02

  随着互联网技术的快速发展与支付市场规模的不断扩大,支付产业面临着日益严峻的网络安全形势。保障支付信息安全(主要指银行卡账户信息,包括银行卡号、有效期等信息)成为当前金融机构面对的重要课题。尽管各金融机构目前采用了多种安全保护手段,但都很难从源头上解决问题,具有一定的局限性。

  同时,对电子支付产业而言,如何在不影响支付体验和便捷性的前提下,保护好用户的支付信息及敏感数据,已成为支付产业链各参与方关注的重点。支付标记化技术兼顾支付安全及支付体验,从源头上解决支付信息保护的难题,较好地满足了数字支付时代的安全要求。本文将从支付信息安全保护的现状、支付标记化技术本身及其应用等方面进行论述。

支付标记化

  1、背景和现状

  1. 相关背景

  支付信息泄露事件时有发生,不仅直接对人民群众利益造成影响,也会对金融机构的品牌影响力造成影响,还会给支付产业各方造成损失。随着信息技术的发展,支付行业从现金、存折,发展到银行卡以及移动支付,也对支付信息安全提出了更高的要求。

  银行卡是支付产业的基础,保护银行卡支付信息安全成为支付产业各方信息安全工作的重点。目前迫切需要引入一项有效的支付信息安全保护方案,从源头上降低支付信息泄露的风险。

  2. 标准层面对支付信息的保护

  个人信息与个人的利益、权利息息相关,平衡信息使用与信息保护是各金融机构需要解决的命题。目前,我国个人信息保护方面的标准主要有《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB Z28812—2012)及《中华人民共和国网络安全法》(简称《网络安全法》)中涉及到个人信息保护的方面。

  国际标准包括ISO IECJTC1 SC27隐私保护系列标准、PCI国际标准等。

  (1)ISO IECJTC1 SC27个人信息保护系列标准

  ISO IEC JTC1 SC27个人信息保护系列标准主要是ISO IEC 29100系列标准,主要包括:ISO IEC 29100《隐私保护框架》、ISO IEC 29101《隐私体系架构》、ISO IEC 29190《隐私能力评估模型》、ISO IEC 29134《隐私影响评估》、ISO IEC29151《个人可识别信息保护指南》等。

  ISO IEC 29100系列标准分别从隐私框架的基本要素、隐私保护遵守的原则、个人可标识信息(personal identifiable information,PII)生命周期的概念、用于评估企业具备的隐私能力级别、隐私影响评估的基本方法、PII安全控制措施和风险处理指南等方面,介绍了个人信息保护的要素,并对个人信息保护的过程进行了全方位阐述,形成了较为成熟的标准体系,对个人信息保护工作具有重要的指导意义。

  (2)PCI账户信息安全标准

  支付卡产业联盟组织(PCI)成立后,致力于保护银行卡账户和交易信息的安全,提升银行卡的抗风险能力,抵御银行、持卡人和商户等可能遭受到的非法利益侵害。目前,各卡组织合力推行PCI的统一安全标准,该标准对银行卡机具产品和存储、处理、传输银行卡账户信息的卡片收单机构提出了有关技术和管理的要求,以加强银行卡账户信息的安全管理水平。

  PCI数据安全标准(payment card industry data security standard,PCI DSS)系列安全标准规范提供了用于保护持卡人数据安全的技术和操作要求的基准。

  PCI安全标准主要分为2类:

  一类是面向机具产品的标准。针对POS、密码键盘等终端产品进行安全检测,以保证刷卡时数据信息进入支付处理网络过程的安全性,防止交易前端持卡人的敏感信息出现泄露。

  另外一类是面向支付信息系统安全的标准。PCI DSS标准对收单机构、特约商户和第三方收单专业化服务提供商等涉及银行卡交易过程中的持卡人信息存储、传输和处理过程提出了6个控制目标、12项具体要求,其中包括:

  1)建立并维护安全的网络;

  2)保护持卡人数据,加密开放或公共网络上的持卡人数据传输;

  3)维护一个漏洞扫描管理程序,使用定期升级的防病毒软件或计算机程序;

  4)实施强有力的安全访问控制措施;

  5)定期监视并测试网络;

  6)维护信息安全策略。

  PCI安全标准委员会严格地维护了授权评估体系,面向收单银行、商户、服务提供商等支付产业相关机构,提供安全扫描和安全评估服务,并出具符合性报告。

  (3)个人信息保护国家标准

  国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GBZ 28828—2012)中要求:处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人信息使用目的之后删除个人信息。该项标准最显着的特点是将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。

  对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对便可收集和利用。但对于个人敏感信息则需要建立在明示同意的基础上,在收集和利用之前必须首先获得个人信息主体明确的授权。标准明确了处理个人信息时应当遵循的8项基本原则:目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

  《网络安全法》要求网络运营者建立健全用户信息保护制度,收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等;同时还规定了收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。目前,国家正在制定《个人信息保护法》《数据安全法》,从立法层面规定个人信息保护的法律责任,推动国内各行业落实个人信息保护工作。

  3. 金融机构对支付信息的整体保护方案

  支付交易过程涵盖了支付信息的存储、验证、传输与应用等环节,涉及了银行卡账号、相关密钥、个人密码、交易金额等众多敏感数据和信息。金融机构对于支付信息安全的保护方案是整体性方案。为加强支付信息安全管理,主要采取了以下措施:

  1)保障网络、系统等基础设施的安全性;

  2)加强网络攻击防范,防止信息窃取;

  3)强化支付敏感信息内控管理、安全防护和交易密码保护机制;

  4)推动银行卡向芯片卡升级换代;

  5)加强POS终端机具安全管理;

  6)实施风险交易监测。

  4. 支付信息安全面临的形势和挑战

  网络安全形势日益严峻,给支付信息安全保护带来挑战:一是网络安全漏洞呈现频发、高发趋势,高危漏洞数量呈现上升趋势,由漏洞导致被攻击,将直接引发信息泄露。二是网络安全威胁更加多元化、复杂化,具有特殊目的、针对性更强的网络攻击越来越多,个人信息和重要数据泄露风险严峻。

  2019年上半年,全球共发生4 000多起数据泄露事件,泄露数据超41亿条,多数为个人信息和重要数据泄露,其中,支付信息泄露事件也频繁发生。2019年8月,网曝某信用卡代还APP发生信息泄露。三是国家网络安全治理要求更加严格,支付信息保护的合规性要求更高。

  中央网信办、公安部等4部委联合开展移动APP违规收集个人信息专项治理、互联网网络安全专项整治工作,保障个人信息安全,打击网络违法犯罪行为。

  同时,随着新技术和新设备的广泛应用,支付信息泄露的风险日益增大:一是随着信息技术的迅速发展,手机等智能设备呈现爆炸式增长,移动支付等支付创新模式不断涌现。业务的终端化、智能化开放,带来攻击入口全面开放,增加了信息泄露的入口,从而增大了信息泄露的可能性。

  二是支付产业链环节众多,涉及金融机构、非银行支付机构、收单机构、商户和持卡人等。只要有一个环节存在风险就将影响整个支付产业链。尽管传统金融机构非常重视支付信息安全,但中小型支付机构、代理商由于投入资源有限等多方面原因,在支付信息安全保护方面存在风险隐患。

  因此,如何从根本上杜绝支付信息的泄露,且兼顾用户体验,基于支付标记化技术的信息保护方案及其应用成为必然趋势。

  2、支付标记化技术

  1. 支付标记化技术背景

  支付标记化是一项支付安全技术,源于《EMV支付标记化技术框架1.0》(2014年3月发布,目前已升级为2.1版本)。在交易中使用支付标记(payment token,Token)替换银行卡信息(如图1所示),实现敏感信息的脱敏,从而在源头上降低银行卡卡号信息泄露的风险。2014年,国际芯片卡标准化组织正式发布支付标记化(Token)技术。

  人民银行作为行业主管单位要求各商业银行、支付机构应使用支付标记化技术,通过设置支付标记的交易次数、交易限额、有效期、支付渠道等域控属性,从源头上控制信息泄露和欺诈交易风险。

支付标记化技术示例图

图1 支付标记化技术示例图

  2. 支付标记化技术的特征

  作为一项国际通用性安全技术,支付标记化技术具有以下显着特征:

  1)通过Token替代银行卡号等支付信息,从源头降低支付信息泄露的可能性。支付标记化技术使用特定数值来替代传统的银行卡主账号及有效期,并确保该数值被限定在特定的范围内使用,从源头上降低银行卡号相关支付信息泄露的可能性。

  2)通过Token与交易场景绑定,降低支付信息跨渠道盗用的风险。由于在支付标记产生时对标记应用的范围进行了限定,进一步降低了支付标记泄露后的影响范围。支付标记化技术不仅可以应对在线支付与移动支付的市场竞争与安全问题,同时还兼顾了未来线上支付与线下支付融合的趋势。

  3)具备兼容性和互操作性,兼容现有银行卡支付体系。支付标记在格式上与银行卡主账号保持一致,由13~19位数字组成,且符合卡号的基本验证规则,且不与真实的卡BIN(bank identification number)相同或冲突,确保了支付标记可以像银行卡号一样在转接清算网络中正常处理。

  4)支付标记的申请和交易过程对用户支付过程无影响。支付过程应用支付标记化技术后,可以做到持卡人全程无感知,持卡人无需了解在交易过程中用的是支付标记还是银行卡号。

  3、基于支付标记化技术信息保护方案及应用实践

  1. 支付标记化典型应用场景

  支付标记化技术是电子支付时代的基础核心技术,可以支持线上线下不同的支付模式和应用场景。以下列举2种典型应用场景。

  (1)手机闪付

  手机闪付是银行、银联和手机厂商合作,通过手机(支持NFC功能)芯片安全单位(SE)中加载IC卡功能,可以完成网上支付和线下支付。支付标记化技术解决了该支付模式下卡号被滥用的问题。手机闪付中应用支付标记化技术的主要业务流程包括:

  1)用户绑卡申请Token

  用户在手机钱包(如华为钱包)中首次绑定银行卡,手机厂商将向标记服务提供方申请支付标记。通过移动设备在线申请,经由发卡银行进行账户验证通过后,下发银行卡对应的Token到移动设备上,Token关联银行卡账户的资金账户、密码、用卡权益等。

  2)使用Token进行支付交易

  发起线下交易时,手机与POS终端交互,将一个含有Token、Token有效期以及芯片数据元素的报文,通过非接通信方式完成数据交换,并在现有的支付网络中完成交易的授权操作。

  发起线上交易时,商户APP可调起本地手机闪付接口,通过读取手机设备中的Token信息,实现远程支付。

  (2)商户快捷支付模式

  商户快捷支付模式中,持卡人预先在商户网站上,以绑定银行卡的方式将个人用户与银行卡信息进行关联,个人银行卡卡号及有效期等支付信息留存在商户网站系统中。当持卡人在商户网站购物或消费后,无需再次输入卡号及验证信息,该模式带来了便捷的支付体验,但由于商户系统中留存银行卡号会存在一定的支付信息泄露风险。

  采用支付标记化方案后交易流程不变:

  1)持卡人仍然按照以前的流程在商户网站上(或APP)绑定个人银行卡信息,商户系统在收到绑卡申请后,将发起Token申请操作(如图2所示),并在系统内部留存所申请到的Token,不留存银行卡卡号等信息。该支付模式中,商户可作为标记请求方向支付标记化服务系统提供方申请Token,申请成功后,所有后续的电子支付交易都会使用Token及其有效期字段来处理。

Token申请流程

图2 Token申请流程

  2)进行支付交易时,商户网站系统使用之前留存的对应Token来发起支付申请。

  3)商户持卡人申请的Token会被限制只允许在该商户发起交易。这样,即使该商户网站发生信息泄露,被非法获取的Token信息也无法与其他商户进行交易,进一步缩小了交易风险敞口。

  2. 支付标记化系统建设方案

  (1)支付标记化系统建设框架

  支付标记化系统框架(如图3所示)中,主要角色包括标记服务提供方(Token service provider,TSP)和标记请求方(Token requestor,TR)。

支付标记申请和交易框架图

图3 支付标记申请和交易框架图

  标记服务提供方是负责产生、维护标记的主体,也负责管理标记请求方,并向其提供标记的相关服务。标记服务提供方作为支付标记的发行机构,负责TSP系统的建设、维护以及运营,主要有以下功能:

  1)支付标记的生成、发布和去标记化,以及生命周期管理;

  2)支付标记库的持续运行和维护;

  3)支付标记安全应用和控制;

  4)支付标记请求方的注册功能;

  5)建立及管理其自身的标记请求者API;

  6)确保支付标记BIN与传统卡号BIN不同,以防止银行卡号与支付标记的冲突。

  标记请求方是指向标记服务提供方提交标记申请的机构。标记请求方的实体主要包括:存留卡号信息的商户、数字钱包服务商、收单机构、收单机构的外包服务方、移动设备制造商等。标记请求方在申请注册时,标记服务提供方自主决定所需要收集的信息,可能包括持卡人账户验证信息、标记请求方所支持的用户场景以及标记的域控信息等。

  一旦标记请求方注册成功,那么标记请求方被分配一个唯一的ID,对应该ID下的支付标记域控信息和其他交易控制措施将同步记录在标记服务提供方的系统中,用于后续的交易验证。

  (2)标记请求方管理

  支付标记服务提供方建立TSP管理平台,实现对标记请求方的信息管理以及支付标记域控信息管理。标记域控信息表示与Token绑定的使用场景限制和控制要求,包括交易类型、交易次数、有效时间、交易限额、支付渠道、收单机构、商户等,支持以上限定场景及控制要求的组合,用于交易过程中安全和风险控制。

  标记服务提供方建设标记管理库,存储和维护Token的申请信息、域控信息等,实现对Token全生命周期的管理。

  (3)支付标记申请

  标记请求方采集持卡人账户信息和身份验证信息,收到标记申请后执行账户验证,向发卡机构验证持卡人的身份信息以及部分附加信息。在完成账户验证之后,标记服务提供方生成Token及其相关数据,并将生成的Token发送给标记请求方。

  账户验证就是验证持卡人和账户有效性的过程。标记服务提供方在接收到Token申请后,根据实际需要对标记请求方提交的银行卡账户信息、持卡人身份信息进行验证,只有验证通过才能为该银行卡号分配Token,以保证Token生成环节的合法性、安全性。

  标记服务提供方基于标记请求方的申请,按照规定的Token编码规则生成Token号,并为Token分配有效期等关联信息,并保证Token号的唯一性。

  (4)支付标记交易

  支付标记化交易的处理流程与基于银行卡的交易处理流程一致。交易路由与银行卡的交易路由一致,均是由卡组织交换网络根据卡BIN表来进行路由控制以及交易分发。在交易处理的过程中,标记服务提供方需要对以下5项内容作出验证:

  1)对Token的有效性(有效期、标记状态等信息)进行验证,如果Token无效,则拒绝交易;

  2)对标记请求方ID进行校验,如果交易报文中的ID与TSP标记库中存储的该支付标记对应的ID不匹配时,则拒绝交易;

  3)从交易报文中提取标记域控信息的有关数据元,并与TSP标记库中定义的交易域控元素比对,若不匹配则拒绝交易;

  4)根据交易类型进行交易数据验证操作,确保安全;

  5)可调用风险控制服务,实现交易风控对Token交易的覆盖。

  (5)支付标记管理

  支付标记管理主要指对支付标记的持续性生命周期管理功能。主要包括:激活、临时锁定(挂失)、解锁、注销,并实现Token的未激活、已激活、已挂失、已注销这4种状态间的转换。

  1)激活:将未激活状态的Token变更为已激活状态。

  2)临时锁定:将Token与卡号的映射关系变更为临时失效。

  3)解锁:锁定的Token状态恢复正常,Token与卡号的映射关系被重新激活。

  4)注销:Token与卡号的映射关系解除,对应关系废止。

  3. 系统应用效果

  在实际应用过程中,卡组织建设支付标记化服务系统,面向发卡机构、收单机构、商户等产业各方提供支付标记化申请和管理服务。在不同交易场景下,支付标记的交易会依据不同的交易场景、交易流程、用户习惯以及系统交互等方面,设计与之对应的交易报文,并增加相应的交易要素,运营支付标记化服务。

  笔者所在单位建设运营的支付标记化服务系统,已经运行将近5年,承载了数亿个支付标记,被确定为网络安全等级保护3级系统。通过多年运行,笔者认为该系统实现了以下功能:

  1)对于持卡人而言,支付标记化技术方案在不改变现有用户习惯的前提下,有效降低了用银行卡号等支付信息在多个交易系统存储并被黑客攻击的风险。即使发生支付标记泄露或存储支付标记的设备丢失等情况,挂失或注销单个支付标记即可避免交易风险,而不影响其他标记的正常交易,减少持卡人重新申请银行卡的麻烦,提供更便利的支付体验。

  2)对于发卡机构,可以通过支付标记化方案开展移动支付业务,与现有基于卡号的支付相比可提高交易授权级别,并减少了数据泄露事件所带来的欺诈风险。

  3)对于收单机构(商户),支付标记化技术方案可削弱遭受线上攻击和数据泄露后产生问题的严重性,借助支付标记域控信息实现对交易风险的控制。由于支付标记数据被限定在某一特定的应用范围,即使攻击成功攻击者也无法获取银行卡账号等支付信息,所获取的支付标记配合持卡人认证后才能在特定的范围使用,其影响范围缩小,影响性降低,不会影响到原始银行卡的使用。

  4)对于卡组织运营的支付处理网络,通过采用开放性的标准,既促进交易报文的互操作性,又有助于加强对支付网络及其参与者的系统级数据安全保护,增强了支付网络的整体安全性。

  4、结束语

  支付标记化技术方案通过用唯一的支付标记替换传统银行卡号,在不影响支付便捷性的同时,提升了支付安全性,大大降低电子商务等多种渠道的欺诈风险,有效减轻潜在的商户数据泄露风险。

  支付标记化技术的应用,对持卡人、发卡机构、收单机构、卡组织等各相关方都带来更加安全及便利的体验,也进一步增强了发卡行管控风险、提供个性化服务以及支付创新的能力,应在支付产业中全面推广应用。

关闭

1.点击下面按钮复制微信号

***********

2.打开微信→查找微信号

加为好友 开始支付接入