在支付卡数据加密方面,信用卡支付巨头Visa公司已经走在了美国支付卡行业安全标准委员会的前面。今年7月,Visa发布了自己的标记化(Tokenization)和主账号截断(PAN Truncation)最佳实践指南。这份指南详细阐述了标记化技术,而对于主账号截断只是一笔带过。但我们认为,主账号截断将有益于解决重要的支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)合规性问题的另一面:取消商户对主账号的存储。
就其本意而言,截断(Truncation)是指简单地将某物从整体上截掉一部分而使其变得比原来短的行为。对信用卡号码来说,截断是指截掉整个主账号(Primary Account Number,PAN)或压制在信用卡上的16位卡号的一部分。实际上,主账号截断通常是通过账号屏蔽实现的,即使用诸如“X”或“*”这样的字符替代部分真正的信用卡号码。例如,在收条、显示器和报告中,信用卡号码就是这样处理的。
一般情况下,主账号截断将屏蔽信用卡号码的前12位数字,只留下最后4位数字是可见和可读的。在现实生活中,我们大多数人都遇到过主账号截断。例如,在商户提供给我们的收条中,信用卡号码最后四位的前面是一连串的“X”或“*”,这就是主账号截断。
对于PCI DSS合规来说,主账号的截断和屏蔽不是一个新概念。几年前,PCI DSS标准的要求3.3(显示主账号时要采取屏蔽措施)和要求3.4的条款之一(提交主账号时至少保证主账号不可读)已经对截断和屏蔽做出了强制要求。那么,Visa为什么现在发布主账号截断最佳实践指南呢?该指南对商户及其收单行有什么影响呢(如果有的话)?
这一问题的关键不在于主账号截断/屏蔽是不是一个好办法。毫无疑问,主账号截断/屏蔽当然是一个好办法,而且还是PCI DSS明确要求的。然而,存储经过截断处理的账号信息是否会对商户解决纠纷的能力造成不利影响,这才是问题的关键所在。对于商户来说,在接受信用卡支付时,解决纠纷可能是商户最为关心的事情。其原因在于退单(退单是指信用卡持卡人要求其信用卡公司撤销已获批准的交易,该持卡人可能因退单而获得退款——译者注)可能给商户造成损失。
对大多数信用卡来说,持卡人对信用卡丢失后未经授权的消费最多承担50美元的赔偿责任。也就是说,如果窃贼盗取了持卡人的信用卡,则持卡人不需要承担窃贼使用信用卡产生的费用。但这笔费用仍然要有人支付。那如何决定谁来支付这笔费用呢?在实践中,举证的责任是由商户承担的。商户要保存并能够提供详尽的交易记录(例如已签名的授权书),以顺利解决纠纷。当发生纠纷时,发卡行将会向商户提出一个“副本请求”,要求商户提供其产品或服务的原始收据。如果商户不能响应该“副本请求”(即不能及时提供原始销售收据),则该笔交易将自动被作为退单处理。
那么,经过截断处理或标记化的主账号与解决纠纷有什么关系呢?事实上,二者之间存在着相当大的关系。到目前为止,许多商户仍然认为,他们需要存储完整的主账号,从而能够解决纠纷并在发生退单之前及时响应发卡行的“副本请求”,因为发卡行是这样要求的。一些传统的纠纷解决实践(以及传统的收单系统)要求完整的主账号,以便收单行或商户能够查询特定的交易记录。商户对这一问题看法是:保留完整的主账号可能避免退单,而截断主账号则可能造成损失。
主账号截断最佳实践指南详细说明了在处理信用卡号码时,商户应该如何决定保留哪些信息、截断哪些信息。与此同时,该指南也向收单行和发卡行提出了新的要求:应该按照指南的要求支持商户截断主账号。例如,不要求商户保留主账号以解决纠纷;向商户提供替代的标示符以在收单系统中查询交易记录;不要求商户在后端的报告或通讯中包含主账号。在某些情况下,这可能需要修改收单行的处理流程或商户支持应用程序。但是,由于收单行最终要对其支持的商户的信用卡支付系统的合规性状况负责。因此,从长远来看,收单行改进支付系统的投资终究会得到回报。
那么,主账号截断最佳实践给商户和收单行带来了什么样的影响呢?从商户的角度来看,主账号截断不是要颠覆现有的收单系统。主账号截断仍然只是一种可行的、符合PCI DSS要求的替代方案。然而,对于由于其收单行要求保留主账号而不能采用主账号截断的商户来说,主账号截断最佳实践指南的发布应该是一个良好的契机,藉此实行改造,建设更安全的支付环境。对于收单行来说,该指南是一个行动的号角:通过不要求商户保留主账号,帮助您的商户在支付环境中消除主账号的存储。