网络代币化:安全支付,更高授权率
卡号是糟糕的支付凭证。一个16位数的主账号在不同商户之间不会改变,它会随着时间的推移缓慢老化,而且存储在数十个数据库中——任何一个数据库都可能遭到入侵。支付行业早就意识到了这一点,但直到最近,大规模的解决方案才变得切实可行。
网络令牌化正是解决之道。Visa、Mastercard 和 Amex 将存储的卡号替换为一个替代值——网络令牌。该令牌仅适用于特定的商户,并且每次交易都会生成一次性加密代码。即使令牌被盗,在其他地方也毫无价值。Visa 的数据显示:使用网络令牌的商户,平均欺诈率降低了 26%,非面对面交易的授权率提高了 4.6%。
本文涵盖了其机制、与网关代币化的比较(两者在财务上确实存在一些重要区别),以及在实践中的实现方式。
什么是网络代币化?
您的银行卡主账号 (PAN) 是一个静态的 16 位标识符。它不会因商户或交易的不同而改变;在银行重新发行实体卡之前,该值会存储在十几个不同的数据库中。问题就在这里。静态且广泛存储的凭证很容易成为攻击目标。
Visa、Mastercard、American Express 等卡组织通过网络令牌化解决了这个问题。它们用一个随机生成的数值(即网络令牌)替换主账号 (PAN),该网络令牌仅在卡组织自身的基础设施内才能映射到真实的卡片。该令牌是商户专属的。即使从一家商户截获了令牌,也无法在其他商户重放该令牌或用于克隆卡片。
网关令牌化(也称为PCI令牌化)的工作原理有所不同。支付服务提供商或网关生成自己的令牌并将其保存在自己的令牌库中。网关令牌只能在其特定的生态系统内使用。网络令牌则来自卡组织本身,并携带发卡机构认可的信任信号,这正是授权率提升的关键所在。
网络代币化工作原理
生命周期分为三个阶段:配置、事务处理和生命周期管理。
配置过程发生在首次充电之前:
- 商户或支付提供商将卡数据提交给令牌请求服务提供商 (TPSP),通常是具有直接卡网络集成的 PSP 或网关。
- TPSP 将请求路由到相关的卡网络(Visa Token Service、Mastercard Digital Enablement Service 等)。
- 卡组织会向发卡银行核实卡片信息。一旦获得批准,就会生成一个与该商户和设备上下文关联的网络令牌。
- 令牌返回给第三方支付服务提供商 (TPSP) 并被存储。不再需要原始主账号 (PAN)。
交易处理遵循以下流程:
- 顾客付款。
- 商家将网络令牌发送给支付处理商。
- 处理器向卡组织请求一个加密代码。该加密代码是一次性代码,有效期为15分钟,与本次交易绑定。
- 令牌加密码将送交发卡银行进行授权。
- 发卡机构看到网络验证的凭证后,会处理交易。
生命周期管理在后台静默运行。当卡片因过期、遗失或欺诈而重新发行时,卡组织会更新令牌映射。商户存储的令牌无需客户任何操作即可继续使用。
网络令牌与网关令牌:主要区别
大多数商家已经通过其支付服务提供商 (PSP) 存储了令牌化的卡片数据。网关令牌在一个支付环境中保护这些数据,但它们存在网络令牌所不具备的局限性。
| 特征 | 网络代币 | 网关/PCI令牌 |
|---|---|---|
| 由...发出 | 卡组织(Visa、Mastercard、Amex) | 支付网关或PSP |
| 范围 | 可在卡网络生态系统中通用 | 锁定到单个处理器或保险库 |
| 重新发布时自动更新 | 是的,由卡网络处理。 | 不,需要客户操作或手动更新。 |
| 欺诈责任转移 | 经批准的交易转移至发行人 | 商户承担责任 |
| 发行人信任信号 | 发行方认可网络代币为已验证代币。 | 标准PAN等效风险 |
| 授权率提升 | 4.6%(Visa),2.1%(Mastercard)CNP | 没有可衡量的提升 |
| 交换费降低 | Visa 合格交易最高可享 10 个基点折扣 | 没有任何 |
| PCI DSS 范围缩减 | 重要提示:商户环境中不存在原始PAN | 中等程度,缩小了PSP生态系统内的范围 |
网关令牌是一种安全控制措施。网络令牌是一种安全控制措施,同时还能提高收益。
网络代币化对商家的好处
这些数据足够具体,可以围绕它们构建商业案例:
- 欺诈率降低 26%。Visa对使用网络令牌的商户的研究表明,欺诈率平均下降了 26%。被拦截的令牌无法在其他商户重复使用——其设计本身就锁定在特定商户。
- 更高的授权率。Visa的全球非接触式交易授权率较原始 PAN 提交数据提高了 4.6%。万事达卡的数据显示,这一数字为 2.1%。每月数百万笔交易,这意味着可观的收入增长。
- 自动卡片更新。当卡片过期或更换时,网络令牌会自动更新。这样,商家就不会再遇到因客户更换卡片但未更新支付信息而导致的订阅续订失败的情况。
- 拒付责任转移。对于使用网络代币和加密技术完成的交易,拒付责任从商户转移到发卡银行。减少纠纷量,降低运营成本。
- 更低的交换费。Visa对符合条件的代币化交易的交换费率比非代币化交易的费率低 10 个基点。对于月交易额达 1 亿美元的商户而言,这相当于每月节省 10 万美元。
- PCI DSS 范围缩小。由于商户环境中不再存储原始主账号 (PAN),因此需要接受 PCI 审计的系统数量减少。这降低了合规成本,并减少了需要接受审查的流程数量。
ClearSale 的研究提供了更多背景信息:39% 的持卡人在一次误拒付款后会停止在该商家购物。美国商家每遭受 1 美元的实际欺诈损失,就会损失 3.75 美元(Statista)。这两个数字都表明,任何能够提高付款成功率并减少非法损失的优化措施都值得提倡。
应用场景:哪些用户最需要网络代币?
网络令牌化在需要存储和重复扣款的卡片凭证(而不仅仅是在结账时使用一次)的情况下最为有利。
- 订阅和SaaS业务。循环计费需要存储凭证才能在续费时保持有效。过期的信用卡会导致客户非自愿流失——客户并非取消订阅,而是付款失败。网络令牌会在信用卡重新发行时自动更新,从而确保凭证始终有效。
- 存储了银行卡信息的电商商户,尤其是非接触式支付(CNP)交易,面临着最高的欺诈风险。为实现一键结账而存储银行卡数据的商户,是凭证盗窃的主要目标。网络令牌可以完全消除商户环境中原始主账号(PAN)的存储。
- 市场和平台。代表用户持有支付方式的多边平台享有可移植性优势:即使底层银行卡发生变化,跨支付处理商,令牌仍然有效。
- 旅游和酒店行业。酒店、航空公司和预订平台通常会在首次预订后向信用卡收取费用——例如入住后的杂项支出、座位升级和行程变更等。自动令牌更新可以防止因扣款失败而引发预订纠纷。
- 游戏和数字内容。应用内购买和钱包充值均通过已存储的银行卡进行,交易频率很高。网络代币减少了重新验证的麻烦,同时又不会增加欺诈风险。
如何实现网络令牌化
大多数商户并不直接与Visa或万事达卡集成。卡组织通过令牌请求服务提供商(TPSP)与商户对接,而大多数主流支付服务提供商(PSP)已经内置了这些TPSP集成功能。
务实之路:
- 选择支持原生网络令牌化的支付服务提供商 (PSP) 或支付网关。Stripe 、Adyen、Checkout.com 和 Braintree 都会在存储银行卡信息时自动处理网络令牌配置,无需您进行任何单独的集成。
- 在您的支付配置中启用此功能。对于原生支持网络令牌化的支付服务提供商 (PSP),启用网络令牌化通常只需设置一个配置选项,无需修改代码。请查看您的服务提供商的文档——该功能可能已启用。
- 对已存储的卡片进行追溯性令牌化。拥有大量PAN卡号?您的支付服务提供商 (PSP) 可以通过批量配置功能批量提交这些PAN卡号,从而在不影响任何客户账户的情况下,将卡库从基于PAN的架构转换为基于令牌的架构。
- 在您的支付流程中传递令牌和密文。支付服务提供商 (PSP) 会为每笔交易生成一个密文。您的集成在发起收费时会发送令牌引用,而不是原始主账号 (PAN)。
- 确认生命周期管理功能已启用。请确保您的支付服务提供商 (PSP) 已启用自动账户更新和令牌生命周期管理功能。此功能可在无需客户干预的情况下处理卡片重新发行。
值得考虑的一种场景是:如果您使用多个支付服务提供商 (PSP) 或需要在不同处理器之间实现令牌迁移,则需要明确处理这种情况。可选方案包括独立的令牌库提供商,或支持网关间凭证迁移的 PSP。
网络令牌化和 PCI DSS 合规性
网络令牌化缩小了 PCI DSS 的范围,但并不能消除 PCI 义务。
实际好处在于:存储的网络令牌不属于PCI DSS规定的持卡人数据,因为它并非卡号。仅接触令牌而从不访问原始主账号(PAN)的系统可以完全脱离PCI DSS的监管范围。这减少了需要进行年度评估的系统、人员和业务流程的数量,从而降低了成本和风险。
责任转移强化了这一点。对于使用加密代码完成的代币化交易,发卡机构在确认凭证已通过网络验证后才会批准付款。如果发卡机构批准的交易发生欺诈,责任由发卡机构承担,而非商户。这从结构上改变了拒付机制。
局限性在于:网络令牌化无法覆盖配置步骤。当原始 PAN 首次提交给第三方支付服务提供商 (TPSP) 时,该传输必须安全,并且此时处理 PAN 的任何系统都处于 PCI 合规范围之内。目标是将这种风险暴露降至最低——让 PAN 尽快离开您的环境,并且不应出现在您堆栈中的任何其他位置。
PCI合规性仍然需要加密、访问控制和网络分段。令牌化是一种强有力的控制措施,但不能替代完整的合规方案。
对于运营银行卡支付业务的商户而言,网络令牌化已从可选升级转变为基础架构。更高的授权率、更低的欺诈率、自动化的卡片生命周期管理以及交易手续费的节省,在任何可观的交易量下都能迅速带来显著优势。
对于那些完全寻求摆脱传统银行卡支付方式的企业而言,像Plisio这样的加密支付网关提供了一个替代方案,消除了上述所有顾虑。基于区块链的支付方式无需存储任何银行卡凭证,无需提供主账号 (PAN),交易流程中也无需发卡机构——对于有此需求的商家来说,这是一种截然不同的安全模型。
