此迷你系列文章為有需求實現(xiàn)支付卡行業(yè)合規(guī)的商戶提供向導，這篇文章是其中的一篇。在這部分，我們會介紹實現(xiàn)信用卡標記化的方法和實現(xiàn)支付卡行業(yè)合規(guī)審計的可選解決方案

如果你還沒有讀前一篇關于支付卡行業(yè)合規(guī)的文章，我們推薦你先讀上一篇文章支付卡行業(yè)合規(guī)(PCI)，因為它是理解這篇文章內容的前提。

1 信用卡標記化概念

標記化的原理是由支付網(wǎng)關和支付處理系統(tǒng)代理存儲信用卡，而不是在特定的業(yè)務系統(tǒng)中存儲，例如：網(wǎng)站、在線存儲或者CRM等。標記化的目的是商戶不需要存儲信用卡號也能進行二次支付。為了達到這個目標，需要由標記替換信用卡號，在這種情況下，商戶存儲標記而不是信用卡號。

通常來講，實現(xiàn)標記化有兩種主流方法。

2 實現(xiàn)信用卡標記化的方法

從概念上來講，實現(xiàn)信用卡標價化的方法分為純標記化和測寫兩種。

純標記化

在純標記化的方法中，僅僅信用卡號(銀行卡號)需要標記化。然而，如果有必要，ACH使用的路由碼(標志銀行分支的代號)、社會保險號、甚至駕照號也能進行標記化。簡單來說，每個敏感字段都需要進行標記化(挨個的標記化)。

當發(fā)起一個信用卡處理請求(二次支付過程中)，處理過程中使用標記而不是信用卡，實現(xiàn)了商戶不需要存儲信用卡信息的目的。

測寫

實現(xiàn)信用卡標記化的第二種方法更精致、更詳細，它涉及到維護完全的或者部分的用戶畫像。

與純標記化不同的是，這種方法需要維護支付信息，包括：賬單地址、發(fā)貨地址等(依賴于業(yè)務系統(tǒng)的需要)，這些信息存儲在用戶畫像中(包括信用卡號)。當處理一筆交易的時候，發(fā)送畫像ID，而不需要任何其他字段，服務器端需要根據(jù)ID拉取客戶畫像信息，這也包括信用卡號。

一些支付系統(tǒng)使用客戶畫像的變種，在這種實現(xiàn)中，并不使用畫像ID，而是使用歷史交易的ID從歷史交易中獲得缺少的信息，例如：信用卡號等。

在處理二次支付的時候，畫像ID(或者歷史交易ID)取代了信用卡號，因此，實現(xiàn)了商戶不再存儲信用卡號的目的。

***種方法的優(yōu)點是業(yè)務系統(tǒng)不需要存儲單獨的用戶畫像，而僅僅需要一個數(shù)字token替換信用卡號。第二種方法的的優(yōu)點是更多的信息可以存儲在商戶系統(tǒng)外。***，如果商戶基本的前端系統(tǒng)不想存儲支付信息(例如：郵編等)，它可以依賴標記化提供者存儲這些信息，這對商戶可能是更方便的。然而，在這個方法中假設商戶負責保持用戶畫像的時效性。

現(xiàn)在我們來看一下最通用實現(xiàn)信用卡標記化的方式。

3 通過設備實現(xiàn)信用卡標記化

通過設備實現(xiàn)標記化通常是用來實現(xiàn)上面描述的純標記化方法。

設備是硬件(用于加解密信用卡號)和PA-DSS合規(guī)的軟件(用于存儲加密值和產(chǎn)生標記)的結合。硬件設備通常是主板上的一個芯片或者一個PCI插卡。設備(包括軟硬件)運行在商戶的本地網(wǎng)絡上。

硬件、設備解決方案不排除對PCI合規(guī)證書的需求，但是它確實較少了合規(guī)的范圍，并且簡化了PCI審計流程。因為信用卡信息的存儲是由PA-DSS合規(guī)軟件實現(xiàn)的。

對于具有較大交易量的商戶，這些商戶已經(jīng)具有能夠發(fā)布設備的PCI環(huán)境的能力，通過設備實現(xiàn)信用卡標記化是最理想的。

4 信用卡標記化作為服務

另外一種方法是標記化服務托管，商戶使用第三方提供的服務代理存儲信用卡信息，取代將合規(guī)設備運行在自己的網(wǎng)絡內。在這種情況下，商戶必須使用一些形式的API來產(chǎn)生token。

在信用卡標記化作為服務的方法中，概念上有3個的不同方法，區(qū)別很小，但是很重要，值得詳細說明：

處理器集成的標記化

標記化是支付處理系統(tǒng)集成的一個服務。優(yōu)點是商戶僅僅需要與一方打交道就能處理信用卡標記化流程。為了處理一個交易，沒有必要反標記化信用卡信息(甚至不需要接觸實際的卡號，因為卡號是由下層的支付處理系統(tǒng)存儲的)。如果商戶已經(jīng)獲得了一個標記，當處理支付的時候，商戶簡單的傳遞標記給支付處理系統(tǒng)，然后支付處理系統(tǒng)會找到相關的信用卡號。在這個方法中，如果切換到另外一個支付處理系統(tǒng)將導致有成本的數(shù)據(jù)提取和遷移。數(shù)據(jù)提取的費用有的時候是昂貴的。

網(wǎng)關集成的標記化

這種方法與上面處理器集成的標記化方法類似，不同的是標記化是被獨立的網(wǎng)關所處理的(一個網(wǎng)關可能代理幾個支付處理系統(tǒng))。這個方法的優(yōu)點是如果商戶從一個支付處理系統(tǒng)切換到另外一個支付處理系統(tǒng)(同一個網(wǎng)關服務的)，標記化流程保持不變，不需要數(shù)據(jù)遷移等。在這個方法中，商戶也不需要解除信用卡信息，商戶完全脫離了PCI合規(guī)范圍。

第三方標記化

卡信息是由第三方存儲的，和交易處理流程是分離的。商戶根據(jù)需要使用API進行標記和反標記化卡信息。這個方法不是特別的安全，因為盡管商戶不存儲卡號，但是它處理交易之前，它需要反標記化交易，拿到實際的卡號然后送給支付處理系統(tǒng)。商戶會拿到卡號但是不存儲卡號。所以，這個解決方案減少商戶PCI合規(guī)范圍，但是沒有讓商戶完全脫離合規(guī)范圍。

本迷你系列中后續(xù)的文章將會覆蓋支付卡數(shù)據(jù)流程，不同的解決方案允許商戶減少或者最終脫離PCI合規(guī)范圍。

點擊《信用卡標記化支付技術》閱讀原文。

【本文為51CTO專欄作者“李艷鵬”的原創(chuàng)稿件，轉載可通過作者簡書號(李艷鵬)或51CTO專欄獲取聯(lián)系】

戳這里，看該作者更多好文