据悉,目前银联TSP已逐步实现对线上、线下交易产品的支持,国际化支持以及Token远程管理服务。《指引》中表示,中国银联目前制定了四种不同应用场景下支付标记的技术解决方案。主要包括NFC支付(分HCE模式和SE模式)、数字钱包支付、大商户支付以及二维码支付,同时正在对基于芯片卡的支付标记化方案进行研究。
持卡人可以免于信息泄露恐慌?
根据国际数据公司(IDC)的一项调查显示,到2017年,全球移动支付规模将达到1万亿美元。与此同时,越来越多的不法分子也将支付卡信息视为攻击目标。
那么,采用支付标记化技术是否就能杜绝各类信息泄露等风险?
比如此前的携程信息泄露事件,涉及信用卡敏感信息,如果采用支付标记化技术,是不是持卡人就可以免于恐慌?禁用支付标记后,是否就不用挂失卡片和重新发卡?
《每日经济新闻》记者注意到,早在2014年,“携程信息泄露”事件就将移动支付安全问题推至舆论的高点。
当时,漏洞发现者称由于携程开启了用户支付服务接口的调试功能,导致携程安全支付日志存在漏洞,日志可以泄露持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
“目前商户需要在数据库中存储持卡人的主账号、有效期等敏感信息,以便在后续交易中减少持卡人重复输入账户信息的操作。由于存储卡片数据中可能会导致商户系统被攻击、泄露敏感信息等安全事件。”银联方面的分析指出,采用支付标记化方案后,商户可以通过“支付标记”来替换主账号PAN信息,且该支付标记可限定在该商户下单独使用,从而消除相应风险。该应用场景中, 商户很可能是标记请求方,一旦标记被返回给这些留存卡号信息的商户,所有后续的电子商务交易都会使用标记和标记有效期 (而不是主账号和主账号的有效期)字段来处理。
谈及对非银支付机构的影响,一家支付机构人士坦言,这个改造会造成所有数据交互接口的改造,几乎相当于把现在所有的机具更新一遍,还涉及与外卡对接的问题等。
上述《指引》也指出,收单机构目前对持卡人的忠诚度分析、优惠券承兑等业务,均依赖卡号进行管理,在应用支付标记化后, 会出现同一主账户派生出不同支付标记,收单机构无法关联的问题。不过,为协助收单机构识别对应同一主账号的不同支付标记,银联也提出了技术方案。(每日经济新闻)