在支付卡數(shù)據(jù)加密方面，信用卡支付巨頭Visa公司已經(jīng)走在了美國支付卡行業(yè)安全標準委員會的前面。今年7月，Visa發(fā)布了自己的標記化（Tokenization）和主賬號截斷（PAN Truncation）***實踐指南。這份指南詳細闡述了標記化技術，而對于主賬號截斷只是一筆帶過。但我們認為，主賬號截斷將有益于解決重要的支付卡行業(yè)數(shù)據(jù)安全標準（Payment Card Industry Data Security Standard，PCI DSS）合規(guī)性問題的另一面：取消商戶對主賬號的存儲。

就其本意而言，截斷（Truncation）是指簡單地將某物從整體上截掉一部分而使其變得比原來短的行為。對信用卡號碼來說，截斷是指截掉整個主賬號（Primary Account Number，PAN）或壓制在信用卡上的16位卡號的一部分。實際上，主賬號截斷通常是通過賬號屏蔽實現(xiàn)的，即使用諸如“X”或“*”這樣的字符替代部分真正的信用卡號碼。例如，在收條、顯示器和報告中，信用卡號碼就是這樣處理的。

一般情況下，主賬號截斷將屏蔽信用卡號碼的前12位數(shù)字，只留下***4位數(shù)字是可見和可讀的。在現(xiàn)實生活中，我們大多數(shù)人都遇到過主賬號截斷。例如，在商戶提供給我們的收條中，信用卡號碼***四位的前面是一連串的“X”或“*”，這就是主賬號截斷。

對于PCI DSS合規(guī)來說，主賬號的截斷和屏蔽不是一個新概念。幾年前，PCI DSS標準的要求3.3（顯示主賬號時要采取屏蔽措施）和要求3.4的條款之一（提交主賬號時至少保證主賬號不可讀）已經(jīng)對截斷和屏蔽做出了強制要求。那么，Visa為什么現(xiàn)在發(fā)布主賬號截斷***實踐指南呢？該指南對商戶及其收單行有什么影響呢（如果有的話）？

這一問題的關鍵不在于主賬號截斷/屏蔽是不是一個好辦法。毫無疑問，主賬號截斷/屏蔽當然是一個好辦法，而且還是PCI DSS明確要求的。然而，存儲經(jīng)過截斷處理的賬號信息是否會對商戶解決糾紛的能力造成不利影響，這才是問題的關鍵所在。對于商戶來說，在接受信用卡支付時，解決糾紛可能是商戶最為關心的事情。其原因在于退單（退單是指信用卡持卡人要求其信用卡公司撤銷已獲批準的交易，該持卡人可能因退單而獲得退款——譯者注）可能給商戶造成損失。

對大多數(shù)信用卡來說，持卡人對信用卡丟失后未經(jīng)授權的消費最多承擔50美元的賠償責任。也就是說，如果竊賊盜取了持卡人的信用卡，則持卡人不需要承擔竊賊使用信用卡產生的費用。但這筆費用仍然要有人支付。那如何決定誰來支付這筆費用呢？在實踐中，舉證的責任是由商戶承擔的。商戶要保存并能夠提供詳盡的交易記錄（例如已簽名的授權書），以順利解決糾紛。當發(fā)生糾紛時，發(fā)卡行將會向商戶提出一個“副本請求”，要求商戶提供其產品或服務的原始收據(jù)。如果商戶不能響應該“副本請求”（即不能及時提供原始銷售收據(jù)），則該筆交易將自動被作為退單處理。

那么，經(jīng)過截斷處理或標記化的主賬號與解決糾紛有什么關系呢？事實上，二者之間存在著相當大的關系。到目前為止，許多商戶仍然認為，他們需要存儲完整的主賬號，從而能夠解決糾紛并在發(fā)生退單之前及時響應發(fā)卡行的“副本請求”，因為發(fā)卡行是這樣要求的。一些傳統(tǒng)的糾紛解決實踐（以及傳統(tǒng)的收單系統(tǒng)）要求完整的主賬號，以便收單行或商戶能夠查詢特定的交易記錄。商戶對這一問題看法是：保留完整的主賬號可能避免退單，而截斷主賬號則可能造成損失。

主賬號截斷***實踐指南詳細說明了在處理信用卡號碼時，商戶應該如何決定保留哪些信息、截斷哪些信息。與此同時，該指南也向收單行和發(fā)卡行提出了新的要求：應該按照指南的要求支持商戶截斷主賬號。例如，不要求商戶保留主賬號以解決糾紛；向商戶提供替代的標示符以在收單系統(tǒng)中查詢交易記錄；不要求商戶在后端的報告或通訊中包含主賬號。在某些情況下，這可能需要修改收單行的處理流程或商戶支持應用程序。但是，由于收單行最終要對其支持的商戶的信用卡支付系統(tǒng)的合規(guī)性狀況負責。因此，從長遠來看，收單行改進支付系統(tǒng)的投資終究會得到回報。

那么，主賬號截斷***實踐給商戶和收單行帶來了什么樣的影響呢？從商戶的角度來看，主賬號截斷不是要顛覆現(xiàn)有的收單系統(tǒng)。主賬號截斷仍然只是一種可行的、符合PCI DSS要求的替代方案。然而，對于由于其收單行要求保留主賬號而不能采用主賬號截斷的商戶來說，主賬號截斷***實踐指南的發(fā)布應該是一個良好的契機，藉此實行改造，建設更安全的支付環(huán)境。對于收單行來說，該指南是一個行動的號角：通過不要求商戶保留主賬號，幫助您的商戶在支付環(huán)境中消除主賬號的存儲。

【編輯推薦】

1. IronPort幫助零售商符合支付卡行業(yè)標準
2. 由PCI保障持卡人數(shù)據(jù)安全看國內支付安全