主账号截断对支付卡行业影响几何

日期: 2010-09-09 作者:Ed Moyle and Diana Kelley翻译:王勇 来源:TechTarget中国 英文

在支付卡数据加密方面,信用卡支付巨头Visa公司已经走在了美国支付卡行业安全标准委员会的前面。今年7月,Visa发布了自己的标记化(Tokenization)和主账号截断(PAN Truncation)最佳实践指南。这份指南详细阐述了标记化技术,而对于主账号截断只是一笔带过。但我们认为,主账号截断将有益于解决重要的支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)合规性问题的另一面:取消商户对主账号的存储。

  就其本意而言,截断(Truncation)是指简单地将某物从整体上截掉一部分而使其变得比原来短的行为。对……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在支付卡数据加密方面,信用卡支付巨头Visa公司已经走在了美国支付卡行业安全标准委员会的前面。今年7月,Visa发布了自己的标记化(Tokenization)和主账号截断(PAN Truncation)最佳实践指南。这份指南详细阐述了标记化技术,而对于主账号截断只是一笔带过。但我们认为,主账号截断将有益于解决重要的支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)合规性问题的另一面:取消商户对主账号的存储。

  就其本意而言,截断(Truncation)是指简单地将某物从整体上截掉一部分而使其变得比原来短的行为。对信用卡号码来说,截断是指截掉整个主账号(Primary Account Number,PAN)或压制在信用卡上的16位卡号的一部分。实际上,主账号截断通常是通过账号屏蔽实现的,即使用诸如“X”或“*”这样的字符替代部分真正的信用卡号码。例如,在收条、显示器和报告中,信用卡号码就是这样处理的。

  一般情况下,主账号截断将屏蔽信用卡号码的前12位数字,只留下最后4位数字是可见和可读的。在现实生活中,我们大多数人都遇到过主账号截断。例如,在商户提供给我们的收条中,信用卡号码最后四位的前面是一连串的“X”或“*”,这就是主账号截断。

  对于PCI DSS合规来说,主账号的截断和屏蔽不是一个新概念。几年前,PCI DSS标准的要求3.3(显示主账号时要采取屏蔽措施)和要求3.4的条款之一(提交主账号时至少保证主账号不可读)已经对截断和屏蔽做出了强制要求。那么,Visa为什么现在发布主账号截断最佳实践指南呢?该指南对商户及其收单行有什么影响呢(如果有的话)?

  这一问题的关键不在于主账号截断/屏蔽是不是一个好办法。毫无疑问,主账号截断/屏蔽当然是一个好办法,而且还是PCI DSS明确要求的。然而,存储经过截断处理的账号信息是否会对商户解决纠纷的能力造成不利影响,这才是问题的关键所在。对于商户来说,在接受信用卡支付时,解决纠纷可能是商户最为关心的事情。其原因在于退单(退单是指信用卡持卡人要求其信用卡公司撤销已获批准的交易,该持卡人可能因退单而获得退款——译者注)可能给商户造成损失。

  对大多数信用卡来说,持卡人对信用卡丢失后未经授权的消费最多承担50美元的赔偿责任。也就是说,如果窃贼盗取了持卡人的信用卡,则持卡人不需要承担窃贼使用信用卡产生的费用。但这笔费用仍然要有人支付。那如何决定谁来支付这笔费用呢?在实践中,举证的责任是由商户承担的。商户要保存并能够提供详尽的交易记录(例如已签名的授权书),以顺利解决纠纷。当发生纠纷时,发卡行将会向商户提出一个“副本请求”,要求商户提供其产品或服务的原始收据。如果商户不能响应该“副本请求”(即不能及时提供原始销售收据),则该笔交易将自动被作为退单处理。

  那么,经过截断处理或标记化的主账号与解决纠纷有什么关系呢?事实上,二者之间存在着相当大的关系。到目前为止,许多商户仍然认为,他们需要存储完整的主账号,从而能够解决纠纷并在发生退单之前及时响应发卡行的“副本请求”,因为发卡行是这样要求的。一些传统的纠纷解决实践(以及传统的收单系统)要求完整的主账号,以便收单行或商户能够查询特定的交易记录。商户对这一问题看法是:保留完整的主账号可能避免退单,而截断主账号则可能造成损失。

  主账号截断最佳实践指南详细说明了在处理信用卡号码时,商户应该如何决定保留哪些信息、截断哪些信息。与此同时,该指南也向收单行和发卡行提出了新的要求:应该按照指南的要求支持商户截断主账号。例如,不要求商户保留主账号以解决纠纷;向商户提供替代的标示符以在收单系统中查询交易记录;不要求商户在后端的报告或通讯中包含主账号。在某些情况下,这可能需要修改收单行的处理流程或商户支持应用程序。但是,由于收单行最终要对其支持的商户的信用卡支付系统的合规性状况负责。因此,从长远来看,收单行改进支付系统的投资终究会得到回报。

  那么,主账号截断最佳实践给商户和收单行带来了什么样的影响呢?从商户的角度来看,主账号截断不是要颠覆现有的收单系统。主账号截断仍然只是一种可行的、符合PCI DSS要求的替代方案。然而,对于由于其收单行要求保留主账号而不能采用主账号截断的商户来说,主账号截断最佳实践指南的发布应该是一个良好的契机,藉此实行改造,建设更安全的支付环境。对于收单行来说,该指南是一个行动的号角:通过不要求商户保留主账号,帮助您的商户在支付环境中消除主账号的存储。

翻译

王勇
王勇

相关推荐

  • 标记化vs.加密

    目前,支付行业的管理人员和安全专家正在讨论保存和保护信用卡数据的正确方法。商家可以选择多种格式,其中包括保存加密格式、基于卡的标记格式等。

  • PCI标记化指南 支付处理商的福音

    支付卡行业安全标准委员会(PCI SSC)将发布一项关于使用标记(token)来代替信用卡数据的指南,这次转变会给支付处理商带来什么好处呢?

  • 利用标记化和交易加密减轻信用卡风险

    利用标记化和交易加密技术能对信用卡资料进行抽象化处理,使真正的信用卡资料无法轻易甚至根本不能从抽象化数据中推导出来。它能更有效地保护信用卡资料和减轻信用卡风险。

  • 金雅拓扩展银行个人化业务

    数字安全企业金雅拓宣布正在为花旗银行和Visa提供个人化业务,以支持由花旗银行,移动运营商Mobile One以及Visa携手在新加坡开展的基于近场通信技术的移动支付试用活动……